Quelles sont mes obligations vis-à-vis de la loi Informatique et Libertés ?

Introduction

La loi n°78-17 du 6 janvier 1978 relative à l'informatique et aux libertés encadre les traitements de données à caractère personnel et met à la charge de toute personne qui envisage de réaliser un traitement de données à caractère personnel une série d'obligations légales.

 

Réponse apportée par le Leem

La loi n°78-17 du 6 janvier 1978 relative à l'informatique et aux libertés encadre les traitements de données à caractère personnel. Une donnée à caractère personnel s'entend comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou un ou plusieurs éléments qui lui sont propres.
Exemple : le prénom, le patronyme, l'adresse du domicile, l'adresse électronique, le numéro de téléphone d'une personne, etc.
Les entreprises peuvent être amenées à opérer des traitements de données à caractère personnel pour les besoins de leur activité.

Un traitement de données à caractère personnel s'entend de toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé et notamment la collecte, l'enregistrement, la conservation, la conservation, l'adaptation ou la modification ou encore la suppression de ces données.
Tout traitement de données à caractère personnel doit répondre à une finalité. Cette finalité doit être explicite, déterminée et légitime. Les données ainsi collectées doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement, elles doivent également être exactes et complètes.

La loi informatique et libertés prévoit une série de conditions s'agissant de la mise en oeuvre d'un traitement de données à caractère personnel. Le responsable de traitement doit assurer (i) la sécurité des fichiers, (ii) la confidentialité des données, (iii) l'information des personnes dont les données sont traitées et (iv) doit conserver les données pendant une durée raisonnable. Enfin, selon la finalité du traitement envisagé et/ou la nature des données qui feront l'objet d'un traitement, celui-ci peut être soumis à une obligation de déclaration du traitement ou à une obligation de demande d'autorisation de mise en oeuvre du traitement auprès de la CNIL.

Les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, font l'objet de règles spécifiques : il est en principe interdit de les collecter. Néanmoins, la loi informatique et libertés autorise, sous conditions et en vertu d'une procédure particulière les traitements portant sur des données relatives à la santé d'une personne lorsque la finalité du traitement est la recherche dans le domaine de la santé (i) ou l'évaluation, l'analyse des pratiques et des activités de soins et de prévention (ii) Ces conditions sont décrites au chapitre IX et X de la loi informatique et libertés.

Vous pourrez retrouver plus d'information sur le site de CNIL à l'adresse suivante : http://www.cnil.fr/vos-obligations/vos-obligations/