|
|
 |
| |
DONNEES PERSONNELLES
Caprioli & Associés, Données personnelles, www.caprioli-avocats.com
Première mise en ligne : mai 2007
Les nouvelles obligations faites aux responsables de traitements
de données à caractère personnel suite au décret n°2007-451
du 25 mars 2007 (JO 28 mars 2007)
Isabelle Cantero
Cabinet Caprioli & Associés
www.caprioli-avocats.com
contact@caprioli-avocats.com
La préparation et la publication du décret n°2007-451 du 25
mars 2007 ont été pour le moins discrètes. Pourtant, ce texte
vient compléter le dispositif existant avec force de précisions
importantes, notamment en ce qui concerne les obligations des
responsables de traitements de données à caractère personnel.
On pourrait reprocher au décret du 25 mars 2007 un manque de
clarté patent. En effet, ce texte vient officiellement modifier
le décret du 20 octobre 2005 [en conséquence de quoi, on se
référera désormais à la version modifiée du décret du 20 octobre
2005]. Toutefois, des modifications et références directes à
la loi y sont également insérées. Pour pouvoir appréhender l'ampleur
des changements, il s'ensuit un va et vient entre les deux décrets
pris pour l'application de la loi " Informatique, fichier et
libertés " du 6 janvier 1978 modifiée et la loi elle-même. En
outre, les précisions qui ont été apportées sur les obligations
faites aux responsables de traitements sont réparties dans tout
le texte et non pas exclusivement dans le titre dédié au sujet,
à savoir le Titre VI intitulé "Des obligations incombant
aux responsables de traitements et des droits des personnes".
Concrètement, en premier lieu, le décret du 25 mars 2007 vient
préciser l'obligation d'information incombant aux responsables
de traitements, qu'il s'agisse des informations d'ordre général
qui doivent être fournies pour tous les traitements ou de celles
qui sont requises en cas de transfert de données à caractère
personnel vers un Etat tiers à la Communauté européenne (I).
En second lieu, le décret pose de nouvelles contraintes inhérentes
aux droits reconnus aux personnes dont les données à caractère
personnel sont collectées et traitées (II).
I/ L'OBLIGATION D'INFORMATION INCOMBANT AUX RESPONSABLES
DE TRAITEMENTS
1) Pour les informations d'ordre général relatives aux traitements
Rappelons qu'en vertu de l'article 32-I de la loi " Informatique,
fichiers et libertés ", le responsable de traitement doit obligatoirement
fournir certaines informations relatives au traitement à toute
personne auprès de laquelle des données à caractère personnel
sont collectées en vue d'être traitées. Les informations à fournir
ont trait à l'identité du responsable du traitement, à la finalité
poursuivie par le traitement, au caractère obligatoire ou facultatif
des réponses, aux conséquences personnelles d'un défaut de réponse,
aux catégories de destinataires des données et aux droits des
personnes tels que consacrés par la loi du 6 janvier 1978 modifiée
- droit d'opposition, droit d'accès, droit de rectification
et de suppression des données.
Le décret du 20 octobre 2005 n'a précisé l'obligation d'information
à la charge du responsable que pour les traitements de données
ayant pour fin la recherche dans le domaine de la santé (articles
36 et 37).
Le décret du 25 mars 2007 va au-delà puisqu'il vise tout type
de traitement, quel qu'en soit le régime (dispense, déclaration
normale ou simplifiée, demande d'autorisation) et quel que soit
le secteur (public ou privé).
En vertu de l'article 14 du décret du 25 mars 2007, d'une part,
le responsable de traitement est tenu de donner les informations
requises au titre de l'article 32 de la loi du 6 janvier 1978
modifiée directement aux personnes auprès desquelles les
données à caractère personnel sont collectées (article 90
nouveau du décret du 20 octobre 2005 modifié).
En pratique, l'information doit figurer sur le support de la
collecte. A défaut, un document préalable doit avoir été fourni
aux personnes concernées, dont il est précisé qu'il est rédigé
en caractères lisibles.
S'agissant de l'information relative aux droits des personnes,
le responsable de traitement doit indiquer les coordonnées du
service compétent auprès duquel les droits d'opposition, d'accès
et de rectification peuvent être exercés.
D'autre part, il est fait obligation au responsable d'adresser
les informations requises, individuellement et par écrit,
aux personnes concernées qui en font la demande orale ou
écrite. En cas d'information effectuée oralement à distance
et sous réserve de l'accord de la personne, les informations
requises peuvent être envoyées par voie électronique.
2) Pour les informations spécifiques au transfert de données
hors Union européenne
Lorsqu'un transfert des données est envisagé vers un Etat n'appartenant
pas à l'Union européenne (ou Etat tiers), le responsable du
traitement doit fournir les informations d'ordre général requises
énoncées par l'article 32-I de la loi " Informatique, fichiers
et libertés " du 6 janvier 1978 modifiée, selon les modalités
définies par l'article 14 du décret du 25 mars 2007 (article
90 nouveau du décret du 20 octobre 2005 modifié). Il est également
tenu de délivrer des informations complémentaires relatives
au transfert, directement à toute personne concernée par l'opération
(article 91 nouveau du décret du 20 octobre 2005). Ainsi, le
responsable doit indiquer le (ou les) pays destinataire(s) des
données, la nature des données transférées, la finalité du transfert
envisagé, les catégories de destinataires des données et le
niveau de protection offert par les pays tiers.
Pour les pays tiers qui sont considérés comme offrant un niveau
de protection suffisant [liste établie par la Commission européenne],
le responsable de traitement doit mentionner la décision de
la Commission européenne autorisant le transfert.
Pour les autres Etats tiers, c'est-à-dire ceux qui ne satisfont
pas aux conditions posées pour garantir un niveau de protection
suffisant, le responsable de traitement doit mentionner la décision
de la Commission Nationale Informatique et Libertés autorisant
le transfert ou, si tel est le cas, mentionner l'exception à
laquelle il se réfère parmi les exceptions prévues par l'article
69 de la loi du 6 janvier 1978 lui permettant d'effectuer le
transfert des données.
L'article 14 du décret du 25 mars 2007 (article 91 nouveau du
décret du 20 octobre 2005) prévoit également le cas où le transfert
de données à caractère personnel vers un Etat tiers n'aurait
pas été envisagé lors de la collecte des données. Pour transférer
les données ou certaines d'entre elles postérieurement à leur
collecte, le responsable de traitement doit fournir aux personnes
concernées les informations d'ordre général (article 90 nouveau)
et celles spécifiques au transfert (article 91 nouveau). Toutefois,
le transfert ne pourra être effectué que dans un délai de quinze
jours suivant la réception desdites informations par l'intéressé.
Au renforcement de l'obligation d'information incombant au responsable
de traitement, on doit ajouter d'autres contraintes qui sont
inscrites dans le corps du texte du décret du 25 mars 2007,
principalement eu égard aux modalités d'exercice des droits
des personnes dont les données à caractère personnel sont collectées
et traitées.
II/ LES OBLIGATIONS A LA CHARGE DES RESPONSABLES DE TRAITEMENTS
EN CE QUI CONCERNE LES DROITS DES PERSONNES
Le décret du 25 mars 2007 complète celui du 20 octobre 2005
en ce qui concerne les modalités d'exercice des droits " Informatique
et Libertés " consacrés par les articles 38 à 40 de la loi du
6 janvier 1978. Toutefois, les précisions apportées engendrent
de nouvelles obligations à la charge des responsables de traitements
que ce soit en terme d'information relative aux dits droits
ou en terme de réponses à fournir aux demandes.
1) Obligations relatives à l'exercice des droits
Pour tous les droits reconnus aux personnes en vertu de la
loi " Informatique, fichiers et libertés " de 1978 - droit
d'opposition, droit d'accès, droit de rectification et de suppression
des données - les responsables de traitements sont tenus de
fournir les coordonnées du service compétent pour recevoir les
demandes relatives à l'exercice de ces droits.
L'article 14 du décret du 25 mars 2007 (article 92 nouveau du
décret du 20 octobre modifié) prévoit en outre qu'à défaut d'identification
possible par le demandeur du responsable du traitement (ou,
le cas échéant du correspondant à la protection des données),
la demande peut être adressée directement au siège de la société
et "est transmise immédiatement au responsable de traitement".
Rappelons à cet endroit que le décret du 20 octobre a précisé
les sanctions pénales encourues en cas de défaut d'information
relative à l'identité du responsable ou de son représentant.
En ce qui concerne le droit d'opposition, il doit pouvoir
être exercé avant la fin de la collecte des données à caractère
personnel, y compris par voie électronique ou oralement
(article 96 nouveau). En outre, lorsqu'une personne a exercé
son droit d'opposition auprès d'un responsable de traitement,
ce dernier est tenu d'en informer sans délai tout autre responsable
de traitement destinataire des données concernées (article
97 nouveau).
De même, pour le droit de rectification, le responsable
de traitement ayant procédé à des rectifications est tenu d'en
informer les tiers destinataires des données sans délai,
qui doivent à leur tour procéder sans délai aux rectifications
requises (article 99 nouveau).
En conséquence de quoi, force est de constater que le nouveau
décret met en place une véritable chaîne de responsabilités
en ce qui concerne la répercussion des droits d'opposition et
de rectification.
2) Obligations relatives aux réponses des responsables
Quelle que soit la forme de la demande (écrite ou sur place),
le responsable dispose d'un délai de deux mois pour répondre
à la demande à compter de sa réception. L'absence de réponse
de la part du responsable dans ce délai est considérée comme
un refus de la demande (accès aux données, opposition au traitement,
demande de rectification ou de suppression des données). Or,
en dehors des demandes manifestement abusives, pour toute demande
présentée, les décisions de refus prises par les responsables
de traitement doivent être motivées et mentionner les voies
et les délais de recours ouverts pour contester.
Toutefois, si la demande est imprécise ou incomplète et ne permet
donc pas au responsable de réaliser les opérations requises
(opposition, accès, rectification), ce dernier peut demander
à l'intéressé de lui fournir les éléments nécessaires, avant
l'expiration des deux mois impartis pour sa réponse. La
demande d'informations complémentaires suspend ledit délai.
Lorsque les documents supports des réponses aux demandes comportent
des codes, sigles ou abréviations, ceux-ci doivent être explicités,
si nécessaire sous la forme d'un lexique.
Pour les demandes qui sont présentées sur place, lorsque la
demande ne peut recevoir de réponse immédiate, il est remis
au demandeur un avis de réception daté et signé.
S'agissant du droit d'accès, le responsable de traitement
doit mettre à la disposition du demandeur toutes les données
qui le concernent et pendant une durée suffisante. Une copie
des données à caractère personnel du demandeur doit pouvoir
être remise immédiatement, et le responsable atteste, le cas
échéant, de la somme perçue à ce titre.
Ainsi, à côté de l'obligation d'information, d'autres contraintes
sont inscrites dans le corps du texte du décret du 25 mars 2007
qui, d'un point de vue concret, imposent aux responsables de
traitements de vérifier les procédures mises en place voire
d'adopter des procédures adaptées afin de répondre à ces nouvelles
exigences. Au demeurant, il lui appartient de conserver les
preuves du respect des obligations qui lui incombent en application
de ces textes. La formalisation des procédures mises en place
et la traçabilité des opérations réalisées doivent alors être
au cœur des préoccupations du responsable de traitement.
|
|
