Quotidien future finance
              



Dure est la loi... mais c’est la fameuse loi « Informatique et Libertés »


La conférence sur l’application de la nouvelle loi « informatique et libertés », co-organisée le 20 janvier par l’EBG et le cabinet Gide Loyrette Nouel a rencontré un vif succès, comptant plus de 350 participants. Malheureusement, cette salle comble témoigne du fait que les entreprises tentent de suivre l’actualité, mais demeurent complètement perdues face à la complexité des articles de loi. La conférence a toutefois apporté des éclaircissements sur certains thèmes.



Dure est la loi... mais c’est la fameuse loi « Informatique et Libertés »
Publiée au Journal officiel du 8 août 2004, la nouvelle loi transpose la directive communautaire 95/46/CE du 24/10/1995 concernant « la protection des données personnelles » et modifie la loi du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés. Si la France était le premier pays européen à mettre en place une loi pour la protection des données, elle est aujourd’hui le dernier à transposer la directive européenne.
Toutefois, si l’objectif assigné à l’origine visait à simplifier les procédures et à alléger les formalités, force est de constater que les entreprises sont dorénavant confrontées à des textes touffus, peu évidents à analyser, et qui, au contraire, conduisent à une multiplication des procédures.
Cette conférence de l’Electronic Business Group intitulée « Comment appliquer la nouvelle loi Informatique et Libertés » se trouve donc au cœur de l’actualité, avec l’apparition des premiers textes, des premières normes d’exonération et des premières autorisations de traitements, réalisés par la CNIL. Il convient donc de préciser les modifications apportées par la nouvelle loi « informatique et libertés », car comme le rappelle Etienne Drouard, avocat au cabinet Gide Loyrette Nouel : « nul n’est, d’ores et déjà, censé ignorer cette loi »…

Une refonte des procédures de notification

La nouvelle loi était censée privilégier un allègement des procédures, ce qui est plutôt réussi en ce qui concerne les traitements publics. Il en va autrement pour le secteur privé qui peut constater un effet inverse : bien que la déclaration ordinaire, telle que les entreprises la connaissaient auparavant existe toujours et qu’une déclaration simplifiée à effectuer en ligne ait vu le jour, il faut savoir que certains traitements autrefois étaient soumis à déclaration sont aujourd’hui soumis à autorisation par la CNIL.
Les traitements liés à des données sensibles, telles que des appartenances religieuses, les données biométriques, ou liés à des condamnations doivent bien entendu faire l’objet d’une autorisation par la CNIL. Toutefois, il en va de même pour les traitements susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, qui conduisent, par exemple, à la création de listes noires, ou de scoring. Sont également concernés les traitements comportant des appréciations sur les difficultés sociales des personnes, comme l’exploitation marketing d’une information précisant que tel client est bénéficiaire du RMI, par exemple.
La dernière catégorie soumise à une autorisation regroupe les traitements d’interconnexion entre fichiers publics ou entre fichiers privés ayant des finalités principales différentes. Le terme est tellement vaste qu’il ramène dans le giron de la CNIL toutes sortes de traitements. En effet, si l’on pense aux systèmes de pilotage, aux ERP et à tous les outils permettant d’identifier les clients, le principe vise justement cette interconnexion de fichiers !
En ce qui concerne les traitements fréquents et banals, Christophe Pallez, secrétaire général de la CNIL explique qu’une autorisation unique pour la famille de traitements pourra être délivrée, pour un système d’information géographique à destination des collectivités locales, pour le cadastre ou l’urbanisme, par exemple. En revanche, s’il s’agit de traitements pour obtenir une gestion fine de la population à destination d’autres acteurs, une autorisation de la CNIL sera obligatoire.
Des exonérations légales de déclaration de traitements concernent les membres d’association ou de partis politiques, ainsi que les traitements ayant pour objet la tenue d’un registre public destiné à l’information du public (listes électorales, RCS…). Toutefois, des exonérations de déclaration pourront être prononcées par la CNIL par le biais de normes : par exemple, les traitements de paie anciennement soumis à déclaration simplifiée sont exonérés de déclaration depuis le 7 janvier 2005.
Les traitements mis en œuvre par l’Etat comportant des données sensibles (fichiers de police et de justice) ou numéro de sécurité sociale sont en revanche soumis à une autorisation par le Conseil d’Etat, et une autorisation par « soi-même » peut être émise pour les traitements publics de police et de justice qui ne comportent pas données sensibles, ou ceux qui intéressent la sûreté de l’Etat et la défense.

Des contraintes nouvelles sur les transferts de données hors de l’Union Européenne

L’interdiction de transferts de données personnelles vers les pays tiers qui n’assurent pas un niveau de protection adéquat a été levée : le « Safe harbor » et les transferts vers les Etats-Unis constituent une solution visant à remédier à cette interdiction. La Commission peut constater qu’un pays tiers assure un niveau de protection adéquat en raison d’engagements internationaux, dont le respect sera vérifié chaque année.
Un contrat de transfert de données personnelles doit être réalisé entre celui qui envoie les fichiers et celui qui les reçoit pour procéder au transfert de données. Le destinataire doit respecter la finalité, la non transmission à des tiers sans l’accord de l’expéditeur et désigner un représentant en charge de la protection des données.
En revanche, aucune condition particulière n’est imposée lorsque l’internaute a donné sans ambiguïté son consentement au transfert, lors d’une inscription en ligne sur un site américain, par exemple, dans laquelle il laisse son adresse électronique. Il en va de même lorsque le transfert de données personnelles est nécessaire à la réalisation d’un contrat, tel que l’achat d’un livre sur un site américain.
Les transferts vers un Etat tiers qui n’assurent pas un niveau de protection adéquat demeurent possibles sous réserve d’une décision de la CNIL. Un décret d’application décrira la procédure de « décision » de la CNIL en matière de transferts de données hors de l’Union Européenne.

Un renforcement des pouvoirs de la CNIL

La CNIL bénéficie d’un pouvoir d’investigation qui peut passer par des contrôles sur place, ce qui n’est pas foncièrement nouveau. Elle peut également dénoncer au Procureur de la République les infractions à la loi « Informatique et Libertés » qu’elle constate, comme elle l’avait réalisé en 2002 suite à son opération « Boîte à spam » à l’encontre de la société ABS, notamment.
En revanche, le pouvoir de prononcer des sanctions administratives en cas de violation de la loi constitue une innovation majeure. La CNIL peut en effet, après une procédure contradictoire, mais sans préjudice des sanctions pénales encourues, ordonner la cessation d’un traitement et prononcer des amendes administratives jusqu’à un montant de 300 000 euros. Cependant, cette procédure forme un chantier en cours de réalisation et selon Christophe Pallez, implique de trouver une bonne manière, une bonne mesure, ce qui n’est pas aisé. Il précise toutefois que quarante-cinq contrôles ont été effectués en 2004, et que la CNIL pourra doubler ou tripler le nombre de contrôles, mais qu’ils resteront très partiels. Les sanctions également resteront limitées, la procédure de sanction avec les délais, les allers-retours, les mises en demeure vise plus à inciter les entreprises à se mettre en conformité qu’à aller jusqu’à la sanction.
Des sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende peuvent être prononcées en cas d’absence de notification préalable d’un traitement, ou de non respect des conditions de traitement posées par la CNIL dans une norme simplifiée ou d’exonération de déclaration. Le fait de ne pas prendre toutes les mesures utiles pour préserver la sécurité, l’intégrité et la confidentialité des données peut également être sanctionné pénalement, ce qui signifie que dans le cadre d’un piratage d’un site ou d’un système d’information, la victime d’une attaque peut agir contre l’entreprise propriétaire des données.
Des peines contraventionnelles pour défaut d’information des personnes peuvent atteindre 1500 à 3000 euros par infraction constatée : il peut par exemple s’agir d’une collecte de données personnelles par une entreprise sans avoir informé la personne sur les éléments prévus par la loi, d’où l’urgence à se mettre en conformité et à changer les mentions légales.

La création du Correspondant Informatique et Libertés

Les responsables de traitements qui disposent d’un correspondant à la protection des données, rebaptisé « correspondant Informatique et Libertés », sont exonérées de l’obligation de déclaration ordinaire ou simplifiée.
Le statut de ce correspondant est en cours d’élaboration par la CNIL et fait l’objet d’un projet de décret d’application prévu pour le premier semestre 2005. Son rôle consistera à devenir le relais de la CNIL dans l’entreprise, en prodiguant des conseils en amont, en assurant une certaine pédagogie, et en réalisant des audits et une certaine médiation, en plus rôle d’alerte de la CNIL si violation ou irrégularités.
Ce correspondant peut être extérieur à l’entreprise, mais la CNIL souhaite définir un seuil dans les entreprises exigeant la nomination d’un correspondant interne : ce seuil pourrait être 50 personnes qui ont accès à des traitements. De plus, elle souhaiterait privilégier plusieurs correspondants en fonction des traitements internes à l’entreprise ou des clients.

Collectys logiciel de recouvrement (gestion encours-relances-litiges-procédures-reporting)

Avec l'aimable autorisation de Philippe Nieuwbourg

www.nieuwbourg.com


Samedi 5 Février 2005
Notez


Finyear: latest news, derniers articles