CNIL : vos obligations, vos droits

La CNIL est la Commission Nationale de l’Informatique et des Libertés. Cet institution veille au respect de la loi informatique et libertés qui s’applique dès lors que vous réalisez des traitement de données personnelles à titre professionnel.

Découvrez 7 étapes pour vous mettre en conformité avec vos obligations (comme la déclaration cnil, dont il faut s’acquitter, sous peine de sanctions pénales. Le non-respect de ces obligations étant sanctionné par 5 ans d’emprisonnement et 300.000€ d’amende).

On détaillera les principales obligations CNIL.

1. Les obligations principales

Pour l’essentiel vous devez :

  1. Informer les personnes de leurs droits (mentions légales CNIL)
  2. Assurer la sécurité des données
  3. Respecter les règles spécifiques aux données sensibles
  4. Respecter les droits des personnes
  5. Déclarer vos fichiers…
  6. Respecter les principes essentiels de la loi (attention, il ne s’agit pas de « grand principes inutiles », au contraire, il s’agit de règles de droit pleinement applicables et qui font l’objet de sanctions pénales – la majorité du temps 5 ans d’emprisonnement et 300.000€ d’amende
  7. Conserver les données au sein de l’UE – ou respecter les dérogations spécifiques

1.1 Déclaration : que faut-il faire exactement ?

Vous devez déclarer vos fichier à la CNIL dès lors que vous réalisez un traitement de données personnelles, c’est-à-dire dès lors que vous collectez un email, un nom, un prénom, une photo, ou toutes données relatives à des personnes. Attention, il ne s’agit pas de déclarer ces données, mais simplement le fait que vous procédez à leur traitement.

Voici des exemples de traitement qu’il est nécessaire de déclarer :

  • Vous mettez en place une badgeuse sur le lieu de travail (avec le détail des employés, leurs horaires de passage…)
  • Un système de vidéo surveillance
  • Vos fichiers marketing (emails, nom, prénom…)
  • Fichiers d’initiés
  • Site e-commerce…

La liste est longue ! En général il est nécessaire de commencer par un audit afin de déterminer l’ensemble des traitements mis en oeuvre au sein d’une organisation, pour ensuite pouvoir les mettre en conformité, un par un (il faudra s’assurer qu’ils sont bien mis en oeuvre conformément à la loi). Une fois que l’organisation a dressé une liste de ses traitements et qu’elle s’est assurée qu’ils sont mis en oeuvre conformément à la loi, il convient de procéder à la réalisation des formalités légales. Il existe globalement deux procédures de déclaration : la déclaration simplifiée, et la déclaration normale. Attention : le traitement de certaines données nécessite parfois une autorisation de la CNIL et non une simple déclaration (ex : traitements de données biométriques – ou en pratique les données dont le traitement comporte le plus de risques). 

 

1.1.1 Déclaration simplifiée : la procédure simple

La CNIL édicte sur son site Internet un formulaire de déclaration simple de conformité à une norme simplifiée. Il est également possible de télécharger le formulaire Cnil de déclaration simplifiée au format pdf et le renvoyé directement.

Vous trouverez également de plus amples détails sur le régime de la déclaration simplifié ici. Personnellement je déconseille de se baser sur les normes simplifiées car en pratique il est rare que le responsable du traitement les maîtrise totalement. Il est fréquent de voir qu’une entreprise adhère à une NS pour se rendre compte ensuite que le traitement qu’elle réalise n’entre pas dans son champ d’application en réalité. Résultat : elle se trouve dans l’illégalité et commet une infraction pénale – ce qu’il est nécessaire d’éviter. Alors qu’une déclaration normale aurait permis d’éliminer ce risque. Voilà l’exemple parfait d’une procédure qui tente de simplifier les choses mais qui en réalité fait courir plus de risques et complexifie plus la situation qu’autre chose…

1.1.2 Déclaration normale : la procédure standard

La déclaration normale est le régime « standard ». Dès lors que vous avez un traitement de données personnelles qui n’entre dans aucune des catégories spécifiques (ex : il n’existe pas de norme simplifiée), il est nécessaire de se reporter à la déclaration normale.

1.2 Les sanctions en cas de non déclaration

La loi informatique et libertés à assorti le non-respect des obligations de nombreuses sanctions pénales. Voici un exemple de sanctions en ce qui concerne le non respect de l’obligation de déclaration CNIL :

Article 226-16 du Code pénal
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

 

2. Qu’est-ce que la CNIL ?

La CNIL est une autorité administrative indépendante dont la mission est de s’assurer du respect des obligations issues de la loi informatique et libertés.

2.1 Définition

L’acronyme de la CNIL est : Commission Nationale de l’Informatique et des Libertés.

2.2 Adresse et points de contact

L’adresse de la CNIL est 8 Rue Vivienne, 75002 Paris, France. Métro Bourse (ligne 3 et 9), Palais Royal (ligne 1 et 7).

Il est possible de la joindre par téléphone :

  • Tél : 01 53 73 22 22
  • Fax : 01 53 73 22 00

Question fréquentes :

  • Est-ce que la déclaration est payante ? Non !
  • Quels fichiers faut-il déclarer : l’ensemble des traitements de données personnelles que vous réalisez
  • Doit-on déclarer un site web à la CNIL ? La majorité du temps oui !
Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)