Les enquêtes donnant lieu à un recueil de données nominatives auprès des personnes interviewées doivent faire l’objet d’une déclaration auprès de la Commission Nationale Informatique et Libertés, la « CNIL » par l’opérateur des traitements informatiques. L’objet de cet article est de vous aider à remplir les obligations légales, que votre entreprise assure elle-même l’ensemble des traitements ou qu’elle fasse appel à des sous-traitants informatiques ; dans ce cas assurez-vous que les sous-traitants s’y plient parce que la responsabilité de votre entreprise demeure entière.
Les textes à connaître
La CNIL agit dans le cadre de la loi du 6 Janvier 1978 qui prévoit de protéger l’individu des dangers liés à la multiplication des fichiers. Autorité de contrôle indépendante, la CNIL veille sur les droits des personnes et vérifie le respect des obligations des organismes publics et privés qui détiennent des informations nominatives. L’article 4 de la loi stipule que « … Sont réputées nominatives … les informations qui permettent sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent… ». Et, l’article 5 définit par « … traitement automatisé d’informations nominatives … tout ensemble d’opérations réalisées par les moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives ».
Vos obligations
Les formalités et obligations auxquelles vous vous engagez en tant que responsable du fichier sont les suivantes :
1. Déclarer vos intentions à la CNIL à propos de :
- la finalité du fichier
- la nature des informations collectées
- la durée d’utilisation
- les personnels et organismes qui y auront accès
- la désignation du service auprès duquel les interviewés pourront
exercer un droit d’accès
2. Ne pas détourner la finalité du traitement,
3. Ne pas substituer l’ordinateur à l’homme pour la prise de décision,
4. Ne pas collecter d’informations de manière frauduleuse, déloyale, ou illicite. Et, d’accompagner la collecte d’une bonne information des personnes, les informations « sensibles » (race, opinions politiques, condamnations…) doivent être recueillies conformément à la loi.
5. Ne pas conserver d’informations au-delà de la durée prévue,
6. Veiller à la sécurité des données afin d’en empêcher le détournement par un tiers,
7. Ne pas communiquer d’informations à des personnes non autorisées,
8. En cas de commercialisation éventuelle des données, de procéder dans le cadre légal,
9. Se conformer au droit français pour échanger des flux transfrontières de données.
La procédure à suivre
Complétez le formulaire de déclaration et joignez les éventuelles annexes exigées, dactylographiées sur papier libre, ainsi que les documents supplémentaires requis. Adressez à la CNIL en 3 exemplaires l’ensemble des documents par envoi recommandé avec demande d’accusé de réception. Lorsqu’un traitement est déclaré, la CNIL adresse au déclarant un récépissé indiquant le n° sous lequel celui-ci est enregistré. L’autorisation de traitement La mise en œuvre du traitement dans le cas général est subordonnée pour le secteur public :
- à la publication de l’acte réglementaire (pris après avis de la
CNIL) portant création du traitement ;
- en cas de déclaration simplifiée, à la délivrance du récépissé de
déclaration de la CNIL.
Les organismes ou entreprises du secteur privé peuvent démarrer leurs opérations à la délivrance du récépissé de déclaration à la CNIL, pour les déclarations ordinaires ou simplifiées.
Responsable mais pas coupable
Le responsable de la mise en œuvre du traitement nominatif est considéré comme juridiquement responsable du contenu de la déclaration, qu’il doit signer. Attention, la responsabilité juridique peut concerner le donneur d’ordre dans le cas d’une opération confiée en sous-traitance. Dans la pratique, la majorité des enquêtes adressées échappe aux obligations de contrôle par la CNIL, dans la mesure où le traitement des données collectées est anonyme. Prenons l’exemple d’une enquête administrée par courrier ou par téléphone, généralement adressée à un interlocuteur défini dont les coordonnées peuvent faire partie d’un fichier acheté pour cet usage. L’enquête est légale sans déclaration si le traitement des données est parfaitement anonyme, c’est-à-dire que les réponses d’un individu soient insuffisantes pour l’identifier par un raisonnement logique. Ainsi, la lecture automatique d’un questionnaire par scanner donne un fichier anonyme si les champs identifiant l’individu pour le mailing sont ignorés en lecture.