Conseils

Responsable d'un fichier de données personnelles : quelles sont vos obligations ?

On dénomme « données personnelles » toute information permettant d'identifier directement ou indirectement une personne (nom, n° de téléphone, photographie, adresse mail...).

Le fait de collecter, enregistrer, utiliser et/ou transmettre ce type d'information constitue un traitement de données à caractère personnel, soumis aux prescriptions de la loi Informatique et Libertés.

Si votre site internet met en œuvre un tel fichier, vos obligations sont les suivantes:
- déclarer, le cas échéant, le traitement auprès de la CNIL (cf: Faut-il déclarer le site internet à la CNIL ?)
- veiller aux conditions de collecte des données : il faut recueillir le consentement de la personne concernée; les données doivent être exactes ; certaines données sensibles ne peuvent être collectées (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelle ou à la santé).
- respecter la finalité du traitement : le fichier doit avoir un objectif précis, les informations recueillies doivent être cohérentes avec cet objectif et ne doivent pas être utilisées à d'autres fins.
- limiter la durée de conservation des données : vous devez fixer une durée de conservation raisonnable en fonction de l'objectif du fichier, et vous assurer de la suppression des données au-delà de cette durée.
- protéger votre fichier : concrètement, cela signifie adopter les mesures de sécurité physiques (protection des locaux) et logiques (sécurité des systèmes d'information) adéquates.
garantir la confidentialité des données : seules les personnes autorisées peuvent accéder aux données contenues dans votre fichier, c'est-à-dire les destinataires explicitement désignés (notamment dans la déclaration CNIL) ainsi que les « tiers autorisés » dans certains cas (police, fisc...).
- respecter les droits des personnes concernées :
> le droit à l'information : lors de la collecte des données, vous devez communiquer les informations suivantes: votre identité, la finalité du traitement, le caractère obligatoire ou facultatif des réponses, les conséquences de l'absence de réponse, les destinataires des informations, l'existence des droits d'opposition, d'accès et de rectification ainsi que les transmissions envisagées.
> le droit d'opposition : toute personne peut s'opposer, pour des motifs légitimes, à figurer dans un fichier; toute personne peut refuser, sans avoir à se justifier, que ses données soient collectées à des fins de prospection, notamment commerciale.
> le droit d'accès : toute personne justifiant de son identité a le droit d'interroger le responsable d'un fichier pour savoir si il détient des informations la concernant, et d'en obtenir communication.
> le droit de rectification : toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque des erreurs ont été décelées ou la présence de données dont la collecte, l'utilisation la communication ou la conservation est interdite.


ATTENTION :
La plupart de ces obligations sont sanctionnées pénalement (5 ans d'emprisonnement / 300 000 euros d'amende).
La CNIL dispose également d'un pouvoir de sanction.
En mars 2009, elle a sanctionné à hauteur de 30 000 euros un centre LECLERC qui n'avait pas respecté la loi Informatique et Libertés.


Sources : Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée par la loi du 6 août 2004)


Par Isabelle Dampenon, le lundi 11 mai 2009 à 15:22 · Commenter

Partager cet article :