Présentation

La CNIL [1] est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle exerce ses missions conformément à la loi du 6 janvier 1978, modifiée le 6 août 2004. Depuis lors, elle dispose de pouvoirs de sanctions administratives et financières importants (jusqu’à 300.000€).

Mission

La CNIL se focalise sur les données à caractère personnel (nom, prénom, n° de sécurité sociale, date de naissance, éléments biométriques, n° de carte bancaire, courriel, informations ayant trait aux habitudes ou aux goûts...), et est chargée des missions suivantes :

• informer (droits, obligations...),
• garantir le droit d’accès des citoyens aux données les concernant,
• recenser les fichiers,
• contrôler,
• réglementer,

afin d’assurer à toute personne de pouvoir exercer ses droits :

• droit d’information (fichage ou non),
• droit d’accès,
• droit de rectification ou de radiation,
• droit d’opposition (à un usage publicitaire, à la cession des données à des tiers...),
• droit d’accès indirect (par l’intermédiaire de la CNIL).

Obligations

Les responsables des fichiers contenant des données à caractère personnel ont donc les obligations suivantes :

• notifier la mise en œuvre du fichier et ses caractéristiques à la CNIL, sauf cas de dispense,
• mettre les personnes concernées en mesure d’exercer leurs droits en les en informant [2],
• assurer la sécurité et la confidentialité des informations afin qu’elles ne soient pas déformées ou communiquées à des tiers non autorisés,
• se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à ses demandes de renseignements,

en plus de veiller à ne pas collecter de données sensibles (origines ethniques, opinions politiques, philosophiques ou religieuses…) ou inutiles à la finalité des traitements informatisés et à les conserver pendant une durée raisonnable.

Dispenses intéressant les PME

Concernant les entreprises du secteur privé, de nombreuses dispenses de déclarations existent, comme par exemple (à certaines conditions, notamment l’absence de cession ou d’échanges avec des tiers) :

• les fichiers de comptabilité générale (même si des informations nominatives sont présentes telles que nom, prénom, adresse, domiciliation bancaire...),
• les fichiers liés à la gestion de la paie,
• les fichiers de fournisseurs,
• les fichiers d’information ou de communication non commerciale, y compris les sites internet institutionnels (non marchands).

Obligations de déclarations pour les PME

A l’inverse, il faudra veiller à déclarer certains éléments, tels :

• les badges ou traitements mis en œuvre pour la gestion des accès, des horaires ou de la restauration,
• la gestion administrative des personnels (dossier professionnel, annuaires, élections professionnelles...), la mise à disposition d’outils informatiques, l’organisation du travail (agendas professionnels, gestion des tâches), la gestion des carrières, la formation,
• la gestion de la téléphonie sur le lieu de travail (maintenance du parc, gestion de l’annuaire interne, gestion de la messagerie interne, remboursement des services utilisés à titre privé, gestion de l’utilisation professionnelle et privée),
• les fichiers clients-prospects et vente en ligne (contrats, commandes, livraisons, factures, comptes clients et comptes fidélité, statistiques...),
• la géolocalisation des véhicules des employés,

l’ensemble des éléments cités ci-dessus étant déclarables en ligne sur le site de la CNIL (déclaration simplifiée).

La liste n’est toutefois pas exhaustive et il sera préférable de procéder le cas échéant à d’autres recherches sur le site de la CNIL, ou de la questionner, puis de réaliser si nécessaire une déclaration normale, voire une demande d’autorisation (enregistrement de données sensibles, à finalités spécifiques ou devant être transmises vers un pays hors CEE).