En cas d’opération sur des traitements de données à caractère personnels, deux points sont à prendre en compte : la loi actuelle prévoit des déclarations et autorisations selon la nature des données traitées mais un règlement européen va entrer en vigueur au printemps 2016 et modifier le système actuel.
Quand le règlement sera définitivement adopté, vous aurez alors deux ans à compter de sa publication pour vous mettre en conformité avec ses règles.
 
Les régimes de déclaration, d’autorisation et d’interdiction
 
Pour le moment, trois cas de figures s’offrent à vous quand vous êtes responsable d’un traitement de données personnelles selon que les données soint dangereuses ou pas.
Les données sensibles sont définies comme « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Il s’agit là de critères objectifs : ils sont généraux et ne se distinguent pas selon la finalité du traitement ou selon les activités propres des prestataires.
 

• Premier cas : régime de déclaration pour les données personnelles non sensibles

En tant que responsable de traitement, vous devrez satisfaire à une obligation de déclaration auprès de la CNIL (art. 22 LIL). Vous pouvez donc engager et mettre en place le traitement directement. Ce n’est  qu’une formalité déclarative qui peut être effectuée en ligne ou par voie postale, de façon normale ou simplifiée.
Peu contraignante, il est tout de même important de se plier à cette exigence et de ne pas la négliger. La CNIL peut faire des contrôles et vérifier que vous respectez les règles de traitement mais aussi que vos collectes sont conformes à ce que vous aviez déclaré.
Attention aussi à être bien sûr d’entrer dans ce cas de figure.
 

• Deuxième cas : régime d’interdiction de principe du traitement des données sensibles

Ce sont des données qu’il peut être dangereux de traiter. De ce fait, elles sont soumises à un principe d’interdiction de traitement. Normalement, vous ne pouvez donc ni les collecter, ni les traiter, ni les héberger.
Pour autant, si la personne concernée donne un consentement exprès à votre  traitement, ce dernier est possible.
De plus, la LIL prévoit des traitements et des finalités spécifiques qui peuvent mettre en jeu des données sensibles.
 

• Troisième cas : régime de déclaration préalable pour certaines données sensibles

Pour certains traitements particuliers , une autorisation de la CNIL peut permettre les opérations sur des données sensibles (Art.25 LIL). Les données concernées sont les suivants :

• Les statistiques publiques;
• Les données à caractère personnel qui doivent être anonymisées dans un bref délai ;
• En cas d’intérêt public justifié et autorisé ;
• Les données génétiques traitées automatiquement, hors ceux des médecins ou biologistes  « qui sont nécessaires aux fins de médecine préventives, des diagnostics médicaux ou de l’administration de soins ou de traitements »  ;
• Les données relatives aux infractions, condamnations ou mesures de sûretés, sauf pour les traitements des auxiliaires de justice ;
• « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »  ;
• « Les traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents  » et ceux avec une  » interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes »  ;
• Les données relatives aux numéros d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire;
• Les données relatives aux difficultés sociales des personnes ;
• Les données comportant des données biométriques.

Le texte prévoit éventuellement qu’une autorisation commune est possible pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires ». Il faut alors déclarer tous ces traitements dans sa demande auprès de la CNIL.
Les traitements réalisés pour le compte de l’Etat sont soumis à des dispositions particuliers. Vous pourrez les retrouver aux articles 25 et 26 de la LIL.
La CNIL est censée répondre dans un délai de deux mois à compter de la réception de la demande. Passé ce délai et sans nouvelle de sa part, c’est un rejet implicite.
Dans les faits, n’hésitez pas à régulièrement solliciter la CNIL pendant ce délai pour savoir où en est l’étude de votre demande et solliciter éventuellement une explication. 
 
Sur la nécessité d’un consentement (Art. 7 LIL)
 
En principe, le responsable de traitement doit avoir le consentement de la personne concernée. Ce consentement ne peut être déduit d’une simple absence de réponse. Selon l’article 7 de la LIL, le consentement doit être clair et non équivoque.
Par exemple, si vous faites valider un formulaire où la case consentement est déjà automatiquement cochée, ce dernier n’est pas valide.
Le texte prévoit tout de même cinq cas où le responsable de traitement peut mettre en oeuvre un traitement de données personnelles sans le consentement de la personne concernée :

• s’il respecte une obligation légale qui lui incombe ;
• en cas de « sauvegarde de la vie de la personne concernée » ;
• en cas de mission de service public ;
• dans le cadre de « l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci » ;
• pour la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » .

Cette dernière condition est répandue auprès des responsables de traitement qui y voient un fourre-tout bien pratique. Il faut rester précis dans la définition de l’intérêt légitime.
En effet, en cas de contrôle, la CNIL étudie la proportionnalité entre l’intérêt légitime défendu et revendiqué par le responsable de traitement et les mesures prises par ce dernier pour protéger les droits et libertés de la personne.
Pour mieux connaître la procédure instaurée par le Règlement européen, un article viendra compléter celui-ci.
(suite…)

Claire Gimenes