Les entreprises qui détiennent et gèrent des fichiers dans lesquels figurent des informations personnelles sont tenues, en principe, de les déclarer à la Commission nationale de l’informatique et des libertés (Cnil).
Précision : pour la loi, les informations « à caractère personnel » sont celles « qui sont relatives à une personne identifiée ou pouvant être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (nom, prénoms, date de naissance, photo, numéro de téléphone, adresse courriel, numéro d’immatriculation, etc.). Une définition large qui a donc vocation à s’appliquer à un grand nombre de données…
Étant précisé que l’obligation de déclaration ne concerne que les fichiers permettant d’identifier des personnes physiques. Les fichiers contenant exclusivement des données relatives à des personnes morales (sociétés, associations…) n’ont pas à être déclarés à la Cnil.
Selon le contenu des fichiers et la finalité des traitements dont ils font l’objet, la déclaration à produire peut relever de plusieurs procédures.
- La procédure simplifiée concerne les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles. La Cnil a ainsi établi et publié des normes qui précisent les finalités des traitements pouvant faire l’objet d’une déclaration simplifiée, les données à caractère personnel traitées, la catégorie de personnes concernées, les destinataires auxquels ces données sont communiquées et la durée de conservation de celles-ci.
Les dirigeants d’entreprise peuvent être rassurés : pour les cas les plus courants, ils n’ont à remplir qu’une déclaration simplifiée. Tel est, en effet, le cas des traitements des fichiers clients et prospects de l’entreprise, des fichiers de gestion des horaires des salariés, de la restauration d’entreprise, ou encore des fichiers courants des ressources humaines (gestion des carrières, formation professionnelle des salariés…).
- Pour les traitements qui ne sont pas expressément visés par une norme simplifiée, une déclaration ordinaire s’impose, dans laquelle un certain nombre d’informations complémentaires doivent être données. Il en est ainsi, par exemple, d’un traitement de recrutement des salariés (base de données de CV ou de candidats) ou d’un traitement permettant un contrôle de l’activité professionnelle des salariés.
Attention : simplifiée ou ordinaire, la déclaration doit être souscrite avant la mise en œuvre du traitement. Un retard dans l’accomplissement des formalités est susceptible d’être sanctionné au même titre qu’un défaut de déclaration.
- Les traitements les plus sensibles – ceux qui intègrent des données telles que l’origine raciale, les opinions politiques ou religieuses, l’appartenance à un syndicat, la santé, la vie sexuelle, des données génétiques ou biométriques, faisant état de condamnations en justice, etc. – requièrent, quant à eux, une autorisation préalable de la Cnil. C’est le cas par exemple lorsqu’une entreprise décide de ficher ses clients mauvais payeurs dans une « liste noire » ou lorsqu’elle entend créer un fichier permettant le fonctionnement d’un dispositif d’accès aux locaux par reconnaissance de l’empreinte digitale des salariés.
Certains traitements de données très courants, qui ne soulèvent aucune difficulté particulière, sont totalement dispensés de déclaration. Les traitements informatisés de la comptabilité de l’entreprise, de la paie du personnel (rémunérations, tenue des registres obligatoires, déclarations sociales) et de la gestion des fournisseurs peuvent ainsi être mis en œuvre sans aucune formalité à accomplir auprès de la Cnil.
Attention là encore, la dispense de déclaration est subordonnée au respect des conditions posées par la Cnil. Ainsi, par exemple, les fichiers paie sont dispensés de déclaration sous réserve que les traitements de ces données aient pour seules finalités celles indiquées par la Cnil (calcul et paiement des rémunérations…), que les données collectées soient uniquement celles énumérées par la Cnil (identité, situation familiale et matrimoniale, nombre d’enfants à charge…) et que leurs destinataires soient seulement ceux définis pas la Cnil (service chargé de l’administration et de la paie du personnel, organismes gérant les différents systèmes d’assurances sociales…).
Les entreprises peuvent déclarer leurs fichiers à la Cnil par courrier ou, plus simplement, par Internet sur le site www.cnil.fr. Plusieurs types de formulaires peuvent ainsi être remplis selon qu’il s’agit d’une déclaration normale ou simplifiée. Et quelques jours après la déclaration, l’entreprise reçoit un récépissé qui lui permet alors de mettre en œuvre le traitement projeté en toute légalité.
Les demandes d’autorisation nécessitent, quant à elles, un examen plus approfondi par la Cnil. Pouvant également être transmises en ligne, elles doivent faire l’objet d’un dossier complet comprenant un certain nombre d’informations très précises. La réponse de la Cnil intervenant, cette fois, dans un délai de deux mois environ.
À noter que toutes ces formalités sont gratuites.
Notre conseil : remplir correctement une déclaration, et a fortiori une demande d’autorisation, n’est pas simple. Aussi, est-il vivement conseillé de prendre contact avec la Cnil, qui vous informera de la nature et de l’étendue des éventuelles obligations à remplir à son égard et qui vous guidera dans l’accomplissement des formalités. Bien entendu, nous sommes à votre disposition pour vous assister dans vos démarches auprès de la Cnil.
Publié le mardi 13 décembre 2011 - © Copyright Les Echos Publishing - 2013