Dans le prolongement de la circulaire n°034/04, en date du 29 octobre 2004 sur la mise en œuvre de la loi du 6 août 2004 relative à la nouvelle loi Informatique et libertés, plusieurs organismes se sont manifestés pour obtenir des précisions complémentaires.
Les principales interrogations ont porté sur les points suivants :
Concernant la notion de traitement de données à caractère personnel :
La loi du 6 août 2004 donne une définition plus large de cette notion : elle ne fait plus référence au traitement « automatisé », mais au contraire souligne que constitue un traitement de données toute opération portant sur des données « quel que soit le procédé technique utilisé ».
Ainsi, les fichiers manuels doivent, sous certaines conditions (article 20), faire aussi l'objet de formalités auprès de la CNIL.
Concernant la simplification des formalités de déclaration:
Désormais ne sont soumis à autorisation ou avis de la CNIL que les seuls traitements présentant des risques particuliers au regard des droits et libertés des personnes.
Ainsi, tous les traitements exempts de risques doivent faire l'objet d'une déclaration.
En pratique, pour effectuer une déclaration, deux possibilités sont offertes :
- si votre traitement est conforme à une norme simplifiée, il suffit de réaliser la déclaration simplifiée en télé procédure directement sur le site de la CNIL
- si votre traitement ne correspond à aucune norme et n'est pas exonéré de déclaration, vous devez remplir le formulaire déclaration normale et les annexes disponibles dans le guide de la CNIL « comment déclarer ».
La simplification pour les Organismes de sécurité sociale réside dans le fait qu'il n'y a plus d'acte réglementaire à joindre au formulaire de déclaration.
Le but pour la CNIL est donc de permettre aux déclarants de remplir leurs obligations déclaratives de façon simple, la CNIL se chargeant, en fonction de l'analyse des caractéristiques du traitement déclaré, d'indiquer au déclarant si son traitement relève le cas échéant d'une procédure d'autorisation.
Concernant le correspondant CNIL :
La nouvelle loi prévoit que tout organisme bénéficiera d'un allégement de ses obligations déclaratives dès lors qu'il aura désigné un correspondant à la protection des données à caractère personnel.
Toutefois, ces dispositions ne sont pas d'application immédiate.
En effet, le statut et les missions du correspondant doivent être précisés dans un décret d'application.
La publication du décret par le Ministère de la Justice ne devrait pas intervenir avant la fin du premier semestre 2005.
Concernant l'obligation d'information :
Comme dans la loi de 1978, les responsables de traitements doivent apporter aux personnes auprès desquelles ils recueillent directement des données un certain nombre d'information (articles 32 et 39) : identité du responsable du traitement, finalité poursuivie par le traitement, existence d'un droit d'opposition et d'un droit d'accès.
En cas de recueil des données par questionnaire, ceux-ci doivent comporter la plupart de ces mentions.
En outre, lorsque les données n'auront pas été recueillies auprès de la personne, celle-ci devra cependant être informée des conditions d'utilisation de ses données et de ses droits, dès l'enregistrement de ses données ou lors de leur première communication.
Des dérogations à cette obligation sont cependant prévues lorsque les données sont collectées pour la prévention, la recherche ou la poursuite d'infractions pénales, lorsque les données, recueillies pour un autre objet, sont traitées pour être conservées à des fins historiques, statistiques ou scientifiques, ou encore lorsque l'information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.
Enfin, l'information délivrée peut se limiter à la seule indication de l'identité du responsable du traitement et des finalités poursuivies dès lors que le traitement porte sur des données sensibles et qu'elles sont destinées à être anonymisées dans de brefs délais.
Votre correspondant dans le domaine du Droit de l'informatique est Véronique DELILLE que vous pouvez joindre au 01.45.38.81.02 et aussi par mail à l'adresse suivante dsibdd@ucanss.fr.
L'UCANSS vous informera régulièrement au fur et à mesure de la publication des textes.
Je vous encourage également à consulter les informations disponibles sur ce sujet sur le site de l'UCANSS rubrique « conseil -> droit de l'informatique ».
