Loi Informatique, Fichiers et Libertés : trois grands principes

Déclarer et/ou redéclarer

Déclarer ses fichiers est un principe connu. Auparavant, les déclarations auprès de la Cnil s'effectuaient sous forme de déclaration simplifiée ou ordinaire. Ce régime est totalement bouleversé puisqu'en fonction des informations, des traitements effectués, du statut du déclarant ou bien encore de la finalité des traitements, d'autres formalités peuvent exister ou ne plus exister. Si cette dispense de déclaration peut laisser croire un instant que la loi s'assouplit, tel n'est plus le cas pour la plupart des traitements de données à caractère personnel : autorisation, autorisation après arrêté ou décret, déclaration simplifiée ou ordinaire, dispense… Ces choix déclaratifs deviennent particulièrement complexes. Le simple recours à un traitement classique en VPC, tel que l'interconnexion, pourra ainsi nécessiter une autorisation. De même que les traitements s'appuyant sur des outils de CRM, aux fins de gérer l'entrepôt de données de plusieurs entreprises, même si elles appartiennent au même groupe.

Informer et réinformer

Deuxième obligation applicable : celle d'information. Une obligation qui n'est plus uniquement obligatoire en cas de collecte directe auprès d'un individu, mais aussi en cas de collecte indirecte. Cette information doit être effectuée, au plus tard, lors de la première communication de données, notamment à des tiers. Le principe même de l'information préalable est également sensiblement renforcé. S'il convient d'informer les personnes du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d'un défaut de réponse, des destinataires ou catégories de destinataires des données, de l'existence d'un droit d'accès et de rectification, d'autres informations doivent désormais être mentionnées. Il s'agit principalement de l'identité du responsable du traitement ou de son représentant, de la finalité poursuivie par le traitement auquel les données sont destinées, du droit d'opposition et, notamment, d'opposition en cas de prospection commerciale, ainsi que, le cas échéant, de transfert de données à caractère personnel envisagé à destination d'un Etat non membre de la Communauté européenne. Des contraintes particulières existeront également pour les entreprises de VAD ou utilisant les réseaux de communications électroniques. Là encore, le principe d'information préalable est strictement renforcé.

La sécurité renforcée

Le principe même de confidentialité et de sécurité des informations mais également de traitement des données à caractère personnel a été renforcé. Le principe reste inchangé : tout responsable du traitement est tenu de prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. Des décrets devraient être adoptés aux fins de préciser les prescriptions techniques, notamment pour certains traitements. En tout état de cause, la sécurité se trouve renforcée notamment dans le cas où les données à caractère personnel font l'objet d'un traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant. Dans ce cadre, ces prestataires ne peuvent agir que sur instructions du responsable du traitement. Le sous-traitant doit, par ailleurs, présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité, sachant que cette exigence ne décharge pas pour autant le responsable du traitement de son obligation de veiller au respect de ces mesures. Des contrats doivent être obligatoirement rédigés et comporter des clauses telles que l'indication des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données et prévoyant que le sous-traitant ne peut agir que sur instructions du responsable du traitement.