TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
LE SECOND DÉCRET D’APPLICATION DE LA LOI INFORMATIQUE ET LIBERTÉS
fl Article publié le 16/04/2007
fl Auteur : M. Nicolas Samarcq  Juriste TIC .
fl Domaines : Informatique et libertés, Vie privée.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 5113 fois |

News Le second décret d’application de la loi précise les modalités d’exercice des obligations d’information incombant aux responsables de traitements, les droits des personnes à l’égard de ces traitements, ainsi que la mise en œuvre d’un référé « mesures utiles » spécifique au secteur public.

fl Le second décret d’application de la loi1 précise les modalités d’exercice des obligations d’information incombant aux responsables de traitements, les droits des personnes à l’égard de ces traitements, ainsi que la mise en œuvre d’un référé « mesures utiles » spécifique au secteur public.


Les modalités d’exercice des obligations d’information2 relatives aux traitements

A l’égard des personnes concernées :

Les responsables de traitements doivent porter ces informations directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles.

Dans les mêmes conditions, ils les informent également des coordonnées du service compétent auprès duquel ces personnes peuvent exercer leurs droits d’opposition, d’accès et de rectification.

Lorsque la collecte des données est opérée oralement à distance, il est donné lecture de ces informations aux personnes3 en leur indiquant qu’elles peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit.

Ces informations peuvent être communiquées aux personnes4, avec leur accord, par voie électronique.

Si ces informations relatives aux traitements sont portées à la connaissance des personnes5 par voie d’affichage, il doit être indiqué qu’elles peuvent, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit.

Enfin, en cas de transfert de données personnelles vers un Etat non membre de l’Union européenne, le responsable du traitement doit informer, dans les mêmes conditions, les personnes6 sur :

- le ou les pays d’établissement du destinataire des données, et si ce ou ces pays figurent dans la liste de la Commission européenne autorisant ce transfert7, ou dans le cas contraire, il doit être fait mention de l’exception prévue par loi Informatique et Libertés permettant ce transfert8 ;

- la nature des données transférées ;

- la finalité du transfert envisagé ;

- les catégories de destinataires des données ;

- le niveau de protection offert par le ou les pays tiers.

Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l’intéressé des informations mentionnées ci-dessus.


A l’égard des tiers :

Lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers, qui doit procéder également sans délai à leur rectification.




Les modalités d’exercice des droits des personnes à l’égard des traitements :

L’exercice du droit d’accès direct :

Sauf disposition législative ou réglementaire contraire, une copie des données à caractère personnel qui concernent le demandeur et pendant une durée suffisante peut être obtenue immédiatement par ce dernier.

Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.


L’exercice du droit d’opposition :

Pour faciliter l’exercice du droit d’opposition, la personne doit être mise en mesure d’exprimer son choix avant la validation définitive de ses réponses.

Lorsque la collecte des données intervient par voie orale, la personne est mise en mesure d’exercer son droit d’opposition avant la fin de la collecte des données le concernant.

Le responsable du traitement auprès duquel le droit d’opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu’il a rendu destinataire des données à caractère personnel qui font l’objet de l’opposition.

Ces dispositions prohibent donc, par exemple, les formulaires de vente sur internet qui obligent l’internaute à accepter des conditions générales de vente dans lesquelles le droit de s’opposer à la cession de ses données personnelles auprès des partenaires commerciaux du vendeur s’exerce a posteriori et par écrit.


La durée d’exercice du droit de rectification

L’héritier d’une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, apporter la preuve de sa qualité d’héritier par la production d’un acte de notoriété ou d’un livret de famille.


Les demandes :

- Les demandes écrites des personnes tendant à la mise en œuvre de leurs droits d’accès, de rectification et d’opposition, sont signées et accompagnées de la photocopie d’un titre d’identité portant leur signature. Elles précisent, en outre, l’adresse à laquelle doit parvenir la réponse.

Lorsqu’il existe un doute sur l’adresse indiquée ou sur l’identité du demandeur, la réponse du responsable du traitement peut être expédiée sous pli recommandé sans avis de réception. La vérification de l’adresse ou de l’identité du demandeur s’effectuera lors de la délivrance du pli.

Réciproquement, lorsque le responsable du traitement ou le correspondant à la protection des données (CIL) n’est pas connu de la personne désirant exercer ses droits, celle-ci peut adresser sa demande au siège de la personne morale ou de l’autorité publique. La demande est alors transmise immédiatement au responsable du traitement.

- Les demandes présentées sur place doivent justifier par tout moyen de l’identité de la personne auprès du responsable du traitement. La personne peut se faire assister d’un conseil de son choix.

- La demande peut être également présentée par un mandataire, après justification de son mandat, de son identité et de l’identité du mandant.


Les réponses :

Les codes, sigles et abréviations figurant dans la réponse délivrée par le responsable de traitement doivent être explicités, si nécessaire sous la forme d’un lexique.

Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé. Le responsable du traitement dispose alors d’un délai de deux mois, à compter de la réception de la demande, pour répondre à la personne.

Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur, par lettre remise contre signature ou par voie électronique, à les lui fournir avant l’expiration du délai de 2 mois. Cette demande de compléments d’information suspend ledit délai.

Sauf lorsque la demande est manifestement abusive, les décisions du responsable du traitement de ne pas donner une suite favorable à la demande qui lui est présentée sont motivées et mentionnent les voies et délais de recours ouverts pour les contester.

Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus.

Ce formalisme applique donc aux responsables de traitements du secteur privé les règles classiques du droit administratif.


Le référé « mesures utiles » spécifique au secteur public

Le juge administratif peut être saisi en référé, sur le fondement de la loi Informatique et Libertés9, d'une demande relative au prononcé de toutes mesures utiles de nature à éviter toute dissimulation ou toute disparition de données à caractère personnel par l'Etat, une collectivité territoriale, toute autre personne publique ainsi que toute personne privée chargée d'une mission de service public.

A ce titre, le juge des référés peut prononcer des mesures provisoires ou conservatoires, et plus généralement des injonctions sous astreintes, à condition que l'urgence le justifie, qu'elles soient utiles et ne fassent obstacles à l'exécution d’une décision administrative.





Enfin, il est à noter que ce décret d’application comporte un ensemble de dispositions entrant dans le détail de l’organisation, du fonctionnement et des procédures internes de la Commission Nationale Informatique et Libertés (CNIL).

Or, la CNIL a rappelé que la loi Informatique et Libertés lui permet de fixer elle-même les règles relatives à son organisation et son fonctionnement. Dès lors, la CNIL a estimé que les termes de la loi « auraient pu conduire à limiter plus étroitement l'intervention du pouvoir réglementaire dans des matières que le législateur a expressément renvoyées au règlement intérieur de la CNIL, autorité administrative indépendante »10.

Il est donc à regretter que le gouvernement n’ait pas suivi l’ensemble des propositions d’amendement de la CNIL concernant son organisation interne.

Par exemple, après avoir rappelé que les délibérations de la CNIL avaient augmenté de 570 % entre 2003 et 2006, le gouvernement n’a pas suivi la proposition de l’autorité administrative indépendante de diminuer le délai de transmission au commissaire du Gouvernement des dossiers inscrits à son ordre au jour (six jours avant la date de la séance contre huit jours dans le décret). En effet, « l'examen d'un dossier, par la commission, voire l'adoption d'une délibération, ne sauraient être subordonnés à la transmission des dossiers au commissaire du Gouvernement qui constitue une règle de stricte procédure ».

Plus inquiétant, la CNIL n’a pas été suivie sur sa demande de suppression du régime d'avis favorable implicite concernant ses avis obligatoires sur les projet de loi et décrets relatifs à la protection des personnes à l’égard des traitements automatisés11.


Nicolas Samarcq - Juriste TIC
www.lexagone.com
Membre de l’AFCDP, Association Française des Correspondants aux Données Personnelles

Auteur : M. Nicolas Samarcq  Juriste TIC . | Source : Lexagone |
NOTES

1 Décret n° 2007- 451 du 25 mars 2007.

2 Article 32-I de la loi Informatique et Libertés : « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant

1°De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre (droits d’opposition, d’accès et de rectification) ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ».

3 personnes auprès desquelles sont recueillies des données à caractère personnel.

4 Ibid.

5 Ibid.

6 Ibid.

7 Norvège, Suisse, île de Man, Liechtenstein, Guernesey, Entreprises américaines adhérentes au « Safe Harbor », Canada, Argentine

8 Article 69 de la loi : notamment en cas d’autorisation de la CNIL en raison de clauses contractuelles ou de règles internes garantissant un niveau de protection adéquate.

9 Article 39 - I de la loi.

10 Délibération n° 2006-218 du 28 septembre 2006 portant avis sur le projet de décret modifiant le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, JO n° 74 du 28 mars 2007.

11 Nouvel article 6-1 du décret :

« I. - La Commission nationale de l’informatique et des libertés, saisie dans le cadre du a du 4° de l’article 11 de la loi du 6 janvier 1978 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d’avis du Gouvernement. Ce délai peut être prolongé d’un mois sur décision motivée du président de la commission.

En cas d’urgence, ce délai est ramené à un mois à la demande du Gouvernement.

Lorsqu’il n’est pas rendu à l’expiration des délais prévus aux alinéas précédents, l’avis demandé à la commission est réputé donné ».

Article 11 4° a de la loi : « Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés ».
LIENS
 

top
© 2000-2015 Julien Le Clainche