Le 25 mars dernier, a été adopté un décret modifiant celui du 10 octobre 2005 « pris pour l’application de la loi du 6 janvier 1978 relative à l’informatique, aux fichier et aux libertés ».
Pour mémoire, cette loi avait été modifiée en 2004 pour transposer la directive européenne sur les traitements des données à caractère personnel du 24 octobre 1995.
Sous l’influence du droit communautaire, la loi informatique et libertés française s’est plutôt simplifiée, le contrôle préalable de la CNIL étant par exemple désormais limité aux seuls traitements présentant des risques particuliers d’atteintes aux droit et libertés. Parallèlement, cet effort s’est accompagné d’un accroissement des pouvoirs d’intervention de la CNIL et d’un renforcement des droits des personnes sur leurs données.
Dans cet esprit, le nouveau décret complète le précédant par un nouveau titre VI comportant des dispositions relatives à l’obligation d’information incombant aux responsables de traitement et aux droits des personnes à l’égard des traitements de données à caractère personnel et un titre VII portant sur le transfert de données à caractères personnel vers un État n’appartenant pas à l’Union européenne.
Nous laisserons de côté les quelques dispositions du nouveau décret relatives à l’organisation au fonctionnement et aux procédures internes de la CNIL (qui auraient d’ailleurs pu être adoptées par la CNIL elle-même au titre d’une modification de son règlement intérieur).
L’écrit au cœur de l’information préalable des personnes concernées
Seuls les traits principaux des obligations d’information incombant aux responsables des traitements figuraient dans la loi de 1978 (articles 32 et suivants notamment) mais celle-ci rendait nécessaire (article 33-1) l’adoption d’un décret précisant les modalités d’application de ces articles.
La loi imposait déjà au responsable du traitement d’informer la personne concernée de son identité, de la finalité poursuivie par le traitement, du caractère facultatif ou obligatoire des réponses, des destinataires des données et, le cas échéant, du transfert de ces données vers un pays non-membre de l’Union européenne.
Le nouveau décret précise désormais les modalités pratiques de cette information préalable : celle-ci doit intervenir « en caractères lisibles » sur le support de collecte ou sur un document préalablement communiqué. Il faut en outre également indiquer « les coordonnées du service compétent auprès duquel elles peuvent exercer leur droit d’opposition, d’accès et de modification ». Ces informations doivent pouvoir êtres communiqués postérieurement par écrit (y compris par voie électronique si la personne concernée y a consenti). Ainsi, lorsque la collecte des données est opérée oralement à distance, « il est donnée lecture de ces informations aux intéressés en leur indiquant qu’ils peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit ».
Transferts en dehors de l’Union européenne : plus d’informations pour autant de formalités
En cas de transfert des données vers un État non-membre de l’Union européenne, le décret précise qu’il n’est désormais plus suffisant d’informer les personnes concernées de l’existence d’un tel transfert. Il convient en effet de préciser :
- le ou les pays d’établissement du destinataire des données dans les cas ou ces pays sont déterminés lors de la collecte des données
- la nature des données transférées
- la finalité du transfert
- la ou les catégories de destinataires des données
- le niveau de protection offert par le ou les pays tiers.
Jusqu’à présent, ces informations devaient seulement figurer dans l’annexe du formulaire adressé à la CNIL et relatif à un tel transfert de données. Désormais, toutes ces informations devront donc être portées à la connaissance des personnes concernées.
On s’étonnera donc que la CNIL, en décalage avec le texte même de la loi (article 69), impose toujours aux responsables des traitements de conclure un contrat de transfert ou d’adopter des règles internes contraignantes en cas de transfert des données vers un pays n’ayant pas un niveau de protection équivalente. Dans la mesure où la personne concernée est dûment informée de ce transfert et renseignée au titre de la nouvelle obligation réglementaire, elle devrait être en mesure de donner valablement son consentement à un tel transfert sans qu’il soit nécessaire d’ajouter d’autres formalités.
Le décret encadre les conditions dans lesquelles la CNIL délivre les autorisations et avis relatifs aux transferts internationaux de données, ainsi que les informations que le responsable de traitement doit fournir à la CNIL lorsqu’un tel transfert est envisagé.
Le décret distingue selon que l’État de destination est au nombre de ceux pour lesquels la Commission européenne considère qu’ils assurent un niveau de protection suffisant des données à caractère personnel d’une part, et ceux qui n’en font pas partie d’autre part.
Dans ce dernier cas, le responsable de traitement devra préciser à la CNIL l’exception qu’il invoque pour justifier le transfert.
Dans le cas où le transfert envisagé fait partie de ceux qui nécessitent un avis de la CNIL, le responsable de traitement devra notamment lui préciser les mesures ou le dispositif destiné à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.