Mardi 08 Octobre 2013
Les nouvelles obligations faites aux responsables de traitements de données à caractère personnel suite au décret n°2007-451 du 25 mars 2007 (JO 28 mars 2007)

Caprioli & Associés, Données personnelles, www.caprioli-avocats.com Première mise en ligne : mai 2007 Les nouvelles obligations faites aux responsables de traitements de données à caractère personnel suite au décret n°2007-451 du 25 mars 2007 (JO 28 mars 2007) Isabelle Cantero Cabinet Caprioli & Associés www.caprioli-avocats.com contact@caprioli-avocats.com


La préparation et la publication du décret n°2007-451 du 25 mars 2007 ont été pour le moins discrètes. Pourtant, ce texte vient compléter le dispositif existant avec force de précisions importantes, notamment en ce qui concerne les obligations des responsables de traitements de données à caractère personnel. On pourrait reprocher au décret du 25 mars 2007 un manque de clarté patent. En effet, ce texte vient officiellement modifier le décret du 20 octobre 2005 [en conséquence de quoi, on se référera désormais à la version modifiée du décret du 20 octobre 2005]. Toutefois, des modifications et références directes à la loi y sont également insérées. Pour pouvoir appréhender l'ampleur des changements, il s'ensuit un va et vient entre les deux décrets pris pour l'application de la loi " Informatique, fichier et libertés " du 6 janvier 1978 modifiée et la loi elle-même. En outre, les précisions qui ont été apportées sur les obligations faites aux responsables de traitements sont réparties dans tout le texte et non pas exclusivement dans le titre dédié au sujet, à savoir le Titre VI intitulé "Des obligations incombant aux responsables de traitements et des droits des personnes". Concrètement, en premier lieu, le décret du 25 mars 2007 vient préciser l'obligation d'information incombant aux responsables de traitements, qu'il s'agisse des informations d'ordre général qui doivent être fournies pour tous les traitements ou de celles qui sont requises en cas de transfert de données à caractère personnel vers un Etat tiers à la Communauté européenne (I). En second lieu, le décret pose de nouvelles contraintes inhérentes aux droits reconnus aux personnes dont les données à caractère personnel sont collectées et traitées (II). I/ L'OBLIGATION D'INFORMATION INCOMBANT AUX RESPONSABLES DE TRAITEMENTS 1) Pour les informations d'ordre général relatives aux traitements Rappelons qu'en vertu de l'article 32-I de la loi " Informatique, fichiers et libertés ", le responsable de traitement doit obligatoirement fournir certaines informations relatives au traitement à toute personne auprès de laquelle des données à caractère personnel sont collectées en vue d'être traitées. Les informations à fournir ont trait à l'identité du responsable du traitement, à la finalité poursuivie par le traitement, au caractère obligatoire ou facultatif des réponses, aux conséquences personnelles d'un défaut de réponse, aux catégories de destinataires des données et aux droits des personnes tels que consacrés par la loi du 6 janvier 1978 modifiée - droit d'opposition, droit d'accès, droit de rectification et de suppression des données. Le décret du 20 octobre 2005 n'a précisé l'obligation d'information à la charge du responsable que pour les traitements de données ayant pour fin la recherche dans le domaine de la santé (articles 36 et 37). Le décret du 25 mars 2007 va au-delà puisqu'il vise tout type de traitement, quel qu'en soit le régime (dispense, déclaration normale ou simplifiée, demande d'autorisation) et quel que soit le secteur (public ou privé). En vertu de l'article 14 du décret du 25 mars 2007, d'une part, le responsable de traitement est tenu de donner les informations requises au titre de l'article 32 de la loi du 6 janvier 1978 modifiée directement aux personnes auprès desquelles les données à caractère personnel sont collectées (article 90 nouveau du décret du 20 octobre 2005 modifié). En pratique, l'information doit figurer sur le support de la collecte. A défaut, un document préalable doit avoir été fourni aux personnes concernées, dont il est précisé qu'il est rédigé en caractères lisibles. S'agissant de l'information relative aux droits des personnes, le responsable de traitement doit indiquer les coordonnées du service compétent auprès duquel les droits d'opposition, d'accès et de rectification peuvent être exercés. D'autre part, il est fait obligation au responsable d'adresser les informations requises, individuellement et par écrit, aux personnes concernées qui en font la demande orale ou écrite. En cas d'information effectuée oralement à distance et sous réserve de l'accord de la personne, les informations requises peuvent être envoyées par voie électronique. 2) Pour les informations spécifiques au transfert de données hors Union européenne Lorsqu'un transfert des données est envisagé vers un Etat n'appartenant pas à l'Union européenne (ou Etat tiers), le responsable du traitement doit fournir les informations d'ordre général requises énoncées par l'article 32-I de la loi " Informatique, fichiers et libertés " du 6 janvier 1978 modifiée, selon les modalités définies par l'article 14 du décret du 25 mars 2007 (article 90 nouveau du décret du 20 octobre 2005 modifié). Il est également tenu de délivrer des informations complémentaires relatives au transfert, directement à toute personne concernée par l'opération (article 91 nouveau du décret du 20 octobre 2005). Ainsi, le responsable doit indiquer le (ou les) pays destinataire(s) des données, la nature des données transférées, la finalité du transfert envisagé, les catégories de destinataires des données et le niveau de protection offert par les pays tiers. Pour les pays tiers qui sont considérés comme offrant un niveau de protection suffisant [liste établie par la Commission européenne], le responsable de traitement doit mentionner la décision de la Commission européenne autorisant le transfert. Pour les autres Etats tiers, c'est-à-dire ceux qui ne satisfont pas aux conditions posées pour garantir un niveau de protection suffisant, le responsable de traitement doit mentionner la décision de la Commission Nationale Informatique et Libertés autorisant le transfert ou, si tel est le cas, mentionner l'exception à laquelle il se réfère parmi les exceptions prévues par l'article 69 de la loi du 6 janvier 1978 lui permettant d'effectuer le transfert des données. L'article 14 du décret du 25 mars 2007 (article 91 nouveau du décret du 20 octobre 2005) prévoit également le cas où le transfert de données à caractère personnel vers un Etat tiers n'aurait pas été envisagé lors de la collecte des données. Pour transférer les données ou certaines d'entre elles postérieurement à leur collecte, le responsable de traitement doit fournir aux personnes concernées les informations d'ordre général (article 90 nouveau) et celles spécifiques au transfert (article 91 nouveau). Toutefois, le transfert ne pourra être effectué que dans un délai de quinze jours suivant la réception desdites informations par l'intéressé. Au renforcement de l'obligation d'information incombant au responsable de traitement, on doit ajouter d'autres contraintes qui sont inscrites dans le corps du texte du décret du 25 mars 2007, principalement eu égard aux modalités d'exercice des droits des personnes dont les données à caractère personnel sont collectées et traitées. II/ LES OBLIGATIONS A LA CHARGE DES RESPONSABLES DE TRAITEMENTS EN CE QUI CONCERNE LES DROITS DES PERSONNES Le décret du 25 mars 2007 complète celui du 20 octobre 2005 en ce qui concerne les modalités d'exercice des droits " Informatique et Libertés " consacrés par les articles 38 à 40 de la loi du 6 janvier 1978. Toutefois, les précisions apportées engendrent de nouvelles obligations à la charge des responsables de traitements que ce soit en terme d'information relative aux dits droits ou en terme de réponses à fournir aux demandes. 1) Obligations relatives à l'exercice des droits Pour tous les droits reconnus aux personnes en vertu de la loi " Informatique, fichiers et libertés " de 1978 - droit d'opposition, droit d'accès, droit de rectification et de suppression des données - les responsables de traitements sont tenus de fournir les coordonnées du service compétent pour recevoir les demandes relatives à l'exercice de ces droits. L'article 14 du décret du 25 mars 2007 (article 92 nouveau du décret du 20 octobre modifié) prévoit en outre qu'à défaut d'identification possible par le demandeur du responsable du traitement (ou, le cas échéant du correspondant à la protection des données), la demande peut être adressée directement au siège de la société et "est transmise immédiatement au responsable de traitement". Rappelons à cet endroit que le décret du 20 octobre a précisé les sanctions pénales encourues en cas de défaut d'information relative à l'identité du responsable ou de son représentant. En ce qui concerne le droit d'opposition, il doit pouvoir être exercé avant la fin de la collecte des données à caractère personnel, y compris par voie électronique ou oralement (article 96 nouveau). En outre, lorsqu'une personne a exercé son droit d'opposition auprès d'un responsable de traitement, ce dernier est tenu d'en informer sans délai tout autre responsable de traitement destinataire des données concernées (article 97 nouveau). De même, pour le droit de rectification, le responsable de traitement ayant procédé à des rectifications est tenu d'en informer les tiers destinataires des données sans délai, qui doivent à leur tour procéder sans délai aux rectifications requises (article 99 nouveau). En conséquence de quoi, force est de constater que le nouveau décret met en place une véritable chaîne de responsabilités en ce qui concerne la répercussion des droits d'opposition et de rectification. 2) Obligations relatives aux réponses des responsables Quelle que soit la forme de la demande (écrite ou sur place), le responsable dispose d'un délai de deux mois pour répondre à la demande à compter de sa réception. L'absence de réponse de la part du responsable dans ce délai est considérée comme un refus de la demande (accès aux données, opposition au traitement, demande de rectification ou de suppression des données). Or, en dehors des demandes manifestement abusives, pour toute demande présentée, les décisions de refus prises par les responsables de traitement doivent être motivées et mentionner les voies et les délais de recours ouverts pour contester. Toutefois, si la demande est imprécise ou incomplète et ne permet donc pas au responsable de réaliser les opérations requises (opposition, accès, rectification), ce dernier peut demander à l'intéressé de lui fournir les éléments nécessaires, avant l'expiration des deux mois impartis pour sa réponse. La demande d'informations complémentaires suspend ledit délai. Lorsque les documents supports des réponses aux demandes comportent des codes, sigles ou abréviations, ceux-ci doivent être explicités, si nécessaire sous la forme d'un lexique. Pour les demandes qui sont présentées sur place, lorsque la demande ne peut recevoir de réponse immédiate, il est remis au demandeur un avis de réception daté et signé. S'agissant du droit d'accès, le responsable de traitement doit mettre à la disposition du demandeur toutes les données qui le concernent et pendant une durée suffisante. Une copie des données à caractère personnel du demandeur doit pouvoir être remise immédiatement, et le responsable atteste, le cas échéant, de la somme perçue à ce titre. Ainsi, à côté de l'obligation d'information, d'autres contraintes sont inscrites dans le corps du texte du décret du 25 mars 2007 qui, d'un point de vue concret, imposent aux responsables de traitements de vérifier les procédures mises en place voire d'adopter des procédures adaptées afin de répondre à ces nouvelles exigences. Au demeurant, il lui appartient de conserver les preuves du respect des obligations qui lui incombent en application de ces textes. La formalisation des procédures mises en place et la traçabilité des opérations réalisées doivent alors être au cœur des préoccupations du responsable de traitement.



  • Ajouté : 08-10-2013
  • Modifié : 25-11-2013
  • Visiteurs : 5 470