Déclarer ses fichiers à la CNIL

Par Valérie Sédallian, Avocat
Mars 1996

L'article qui suit est paru dans le n°76 de mars 1997 de la revue Point BDF.

La loi dite "Informatique et Libertés" du 6 janvier 1978 ( loi relative à l'informatique, aux fichiers et aux libertés) qui prévoit que les fichiers informatiques doivent être déclarés à la CNIL (Commission Nationale de l'Informatique et des Libertés) est connue en France. Mais les entreprises n'ont pas toujours acquis le "réflexe loi Informatique et Libertés", ignorent souvent que leur fichier client ou de gestion de paie de leur personnel doivent être déclarés et omettent généralement d'effectuer la formalité de déclaration.

Pourtant, l'omission de cette déclaration constitue le délit de création de fichier clandestin, passible de trois ans d'emprisonnement et de 200 000 francs d'amende.

Avant d'indiquer comment, en pratique, déclarer ses fichiers à la CNIL, un rappel des grandes lignes de la loi s'impose.

1) Présentation de la loi "Informatique et Libertés"

Ne seront pas évoqués dans le cadre de cette étude, les fichiers créés par l'Etat, les collectivités locales ou les établissements publics, ainsi que les fichiers concernant des domaines sensibles tels que la santé, la justice ou la défense. Dans ces hypothèses particulières, des procédures d'autorisation et des dispositions spécifiques sont prévues par la législation.

Tout fichier de traitement automatisé d'informations nominatives doit, préalablement à sa mise en oeuvre, faire l'objet d'une déclaration auprès de la CNIL (article 16 de la loi).

Quels sont les fichiers concernés ?

Une donnée nominative au sens de la loi, c'est une donnée qui permet l'identification de la personne physique, même indirectement.

Par exemple, sont considérées comme données indirectement nominatives : un numéro de compte bancaire, de carte bancaire, de téléphone, d'abonné, une photographie permettant l'identification de la personne, une adresse de courrier électronique, et relèvent de la loi Informatique et Libertés les situations suivantes :

utilisation d'automates d'appel,
utilisation de mailings,
fichier de marketing direct,
fichier de clients, même s'il s'agit de sociétés dès lors que que les fichiers intègrent les coordonnées de personnes physiques,
établissement de statistiques utilisant des informations sur les personnes,
mise en place et exploitation de messageries,
bases de données incluant des informations nominatives.

Comme cet aperçu l'aura montré, le champ d'application de la loi Informatique et Liberté est en réalité très vaste.

Quelles données peuvent être collectées ?

Certaines informations sont considérés comme trop sensibles pour être recueillies en l'absence d'accord express de la personne concernée. Il s'agit des informations faisant apparaître même indirectement les origines raciales, les opinions politiques, philosophiques, ou religieuses, les appartenances syndicales, les moeurs, notamment sexuelles (article 31).

Comment sont collectées les informations ?

Les personnes auprès desquelles sont recueillies les données nominatives doivent être informées :

du caractère obligatoire ou facultatif des réponses,
des conséquences à leur égard d'un défaut de réponse,
des personnes physiques ou morales destinataires des informations,
de l'existence d'un droit d'accès et de rectification.

Si lesdites informations sont recueillies au moyen de formulaires, questionnaires, etc, les documents devront porter cet avertissement.

La notice explicative de la CNIL donne à titre d'exemple : "Les informations figurant dans nos fichiers clients peuvent donner lieu à l'exercice du droit d'accès et de rectification selon les dispositions de la loi du 6 janvier 1978. Notre société est seule destinataire des informations que vous lui communiquez ..."

La loi pose un principe général de loyauté et indique que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.

Quelles sont les règles à respecter dans l'exploitation du fichier ?

a) Le droit à l'oubli

Les données recueillies ne doivent pas être indéfiniment archivées. Par exemple, les renseignements concernant les abonnés d'un périodique ne peuvent pas être conservés pendant plus d'un an après l'expiration de l'abonnement (norme simplifiée n°25- délibération n ° 81-117 du 1er décembre 1981).

b) L'obligation de sécurité

La personne responsable d'un fichier informatique nominatif doit prendre toutes précautions utiles pour préserver la sécurité des informations et notamment empêcher qu'elles ne soient divulguées à des tiers non autorisés.

c) La finalité du traitement doit être respectée

Il s'agit d'un principe important. Chaque fichier est créé dans un but particulier : fichier de clients, paie du personnel, etc... Il ne peut pas être utilisé à d'autres fins. Par exemple, vous ne pouvez pas céder votre fichier client à une société tierce si vous ne l'avez pas indiqué dans votre déclaration et dans votre avertissement.

d) Droit d'accès et de rectification

Toute personne justifiant de son identité a le droit d'interroger la personne responsable d'un fichier informatique en vue de savoir si le fichier inclus des renseignements la concernant et obtenir communication de ces informations. Si elle constate que les informations la concernant sont inexactes ou que leur conservation est interdite, elle peut demander à ce que ces informations soient modifiées et si cette demande est justifiée, le détenteur du fichier devra y procéder.

En cas de problème pour exercer ce droit d'accès et de rectification, la personne fichée peut saisir la CNIL.

Enfin, il n'est pas inutile de rappeler que la loi "Informatique et Libertés" a prévu en cas de non-respect de ses dispositions, différentes sanctions pénales. Certes, bien souvent, la CNIL préfèrera inviter le détenteur du fichier à régulariser sa situation, mais il lui arrive aussi de transmettre certaines affaires aux tribunaux.

2) Déclarer ses fichiers à la CNIL

La CNIL a édité un formulaire type (CERFA n° 99001) de "déclaration d'un traitement automatisé d'informations nominatives" qu'il suffit de remplir en suivant les instructions données dans la notice explicative accompagnant le formulaire.

On peut se procurer ce formulaire :

auprès des préfectures,
auprès des Chambres de Commerce et d'Industrie,
auprès de la CNIL
21, rue Saint-Guillaume
75340 Paris Cedex 07
tél : (1) 53 73 22 22

La CNIL peut également faire parvenir ce formulaire par correspondance sur simple demande. Vous pouvez enfin le commander par Minitel en quelques minutes sur le 36 15 Code CNIL.

Pour les fichiers les plus courants et qui ne comportent pas de risque d'atteinte à la vie privée ou aux libertés, la CNIL a établi un certain nombre de normes simplifiées. Si le traitement envisagé correspond à une de ces normes, une déclaration dite simplifiée est établie : en pratique, seul les renseignements de la première page du formulaire sont à fournir. Des normes simplifiées existent par exemple pour les fichiers de clients, de fournisseurs, d'abonnés à un périodique de presse, de clients d' entreprises de vente par correspondance, de paie des personnels La notice explicative de la CNIL comprend un tableau des normes simplifiées.

Si vous ne rentrez pas dans le cadre d'une norme simplifiée, il vous faudra fournir les annexes demandées dans le formulaire.

Attention, en ce qui concerne l'Internet, par exemple pour un fichier d'abonnés à un service en ligne, la CNIL n'a encore établi aucune norme simplifiée. En outre, elle considère que dans une telle hypothèse, il y a flux transfrontière de données, ce qui implique qu'une annexe décrivant notamment les catégories d'informations transmises, leurs destinataires, le pays destinataire ou expéditeur des informations.

Ainsi, pour la liste de diffusion de ce journal, une déclaration ordinaire a été effectuée, et l'annexe concernant les flux transfrontières de données a été fournie.

Une fois le formulaire rempli avec les annexes éventuelles, il suffit d'envoyer le tout à la CNIL, en trois exemplaires par lettre recommandée avec accusé de réception.
La CNIL vous adresse ensuite un récépissé de déclaration, et vous pouvez alors mettre en oeuvre votre fichier.

3) Pour en savoir plus

Le service minitel de la CNIL, 3615 CNIL

Des renseignements d'ordre juridique et pratiques : informations générales sur les membres de la CNIL, ses missions, les droits des particuliers, les obligations des détenteurs de fichiers. Outre les formulaires de déclaration, vous pouvez commander le texte des normes simplifiées si vous connaissez le numéro de la norme qui vous intéresse.

Lamy droit de l'Informatique ,ouvrage général et guide, éditions Lamy

Brochure n° 1473 "Informatique et Libertés" du Journal Officiel

Le Journal Officiel a édité dans la collection "textes et documents", un petit fascicule qui regroupe la loi du 6 janvier 1978 et les textes d'application dont les principales délibérations de la CNIL et les normes d'application, ainsi que la Convention du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Prix : 115 FF plus frais d'expédition.
Journal Officiel
26, rue Desaix
75727 Paris Cedex 15
tél : (1) 40 58 75 00

Recommandation de l'OCDE du 23 septembre 1980

Lignes Directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Convention du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel

ratifiée par la France le 24 mars 1983 (Décret n° 85-1203 du 19 novembre 1985, Journal Officiel du 20 novembre 1985)

Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JOCE 23 novembre 1995 n° L 281 p.31) Directive européenne (DB 5/2/98) More recent European Directive (DB 5/2/98) Texte du Conseil de l'Europe (DB 5/2/98) Documents de l'OCDE sur la Cryptographie (DB 5/2/98)