|
CHAPITRE IV
FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE DES TRAITEMENTS
Article 22
I. - A l’exception de ceux qui relèvent des dispositions prévues aux
articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article
36, les traitements automatisés de données à caractère personnel font
l’objet d’une déclaration auprès de la Commission nationale de
l’informatique et des libertés.
II. - Toutefois, ne sont soumis à aucune des formalités
préalables prévues au présent chapitre :
1° Les traitements ayant
pour seul objet la tenue d’un registre qui, en vertu de dispositions
législatives ou réglementaires, est destiné exclusivement à
l’information du public et est ouvert à la consultation de celui-ci
ou de toute personne justifiant d’un intérêt légitime ;
2° Les traitements mentionnés au 3° du II de l’article 8.
III. - Les traitements pour
lesquels le responsable a désigné un correspondant à la protection des
données à caractère personnel chargé d’assurer, d’une manière
indépendante, le respect des obligations prévues dans la présente loi
sont dispensés des formalités prévues aux articles 23 et 24, sauf
lorsqu’un transfert de données à caractère personnel à destination d’un
État non membre de la Communauté européenne est envisagé.
La désignation du correspondant est notifiée à la Commission nationale
de l’informatique et des libertés. Elle est portée à la connaissance des
instances représentatives du personnel.
Le correspondant est une personne bénéficiant des qualifications
requises pour exercer ses missions. Il tient une liste des traitements
effectués immédiatement accessible à toute personne en faisant la
demande et ne peut faire l’objet d’aucune sanction de la part de
l’employeur du fait de l’accomplissement de ses missions. Il peut saisir
la Commission nationale de l’informatique et des libertés des
difficultés qu’il rencontre dans l’exercice de ses missions.
En cas de non-respect des dispositions de la loi, le responsable du
traitement est enjoint par la Commission nationale de l’informatique et
des libertés de procéder aux formalités prévues aux articles 23 et 24.
En cas de manquement constaté à ses devoirs, le correspondant est
déchargé de ses fonctions sur demande, ou après consultation, de la
Commission nationale de l’informatique et des libertés.
IV. - Le responsable d’un traitement de données à caractère
personnel qui n’est soumis à aucune des formalités prévues au présent
chapitre communique à toute personne qui en fait la demande les
informations relatives à ce traitement mentionnées aux 2° à 6° du I de
l’article 31.
Section 1 : DéclarationArticle 23
I. - La déclaration comporte
l’engagement que le traitement satisfait aux exigences de la loi.
Elle peut être adressée à la Commission nationale de l’informatique et
des libertés par voie électronique.
La commission délivre sans délai un récépissé, le cas échéant par voie
électronique. Le demandeur peut mettre en oeuvre le traitement dès
réception de ce récépissé ; il n’est exonéré d’aucune de ses
responsabilités.
II. - Les traitements relevant d’un même organisme et ayant des
finalités identiques ou liées entre elles peuvent faire l’objet d’une
déclaration unique. Dans ce cas, les informations requises en
application de l’article 30 ne sont fournies pour chacun des traitements
que dans la mesure où elles lui sont propres.
Article 24
I. - Pour les catégories les plus courantes de traitements de
données à caractère personnel, dont la mise en oeuvre n’est pas
susceptible de porter atteinte à la vie privée ou aux libertés, la
Commission nationale de l’informatique et des libertés établit et
publie, après avoir reçu le cas échéant les propositions formulées par
les représentants des organismes publics et privés représentatifs, des
normes destinées à simplifier l’obligation de déclaration.
Ces normes précisent :
1° Les finalités des
traitements faisant l’objet d’une déclaration simplifiée ;
2° Les données à caractère personnel ou catégories de données
à caractère personnel traitées ;
3° La ou les catégories de personnes concernées ;
4° Les destinataires ou catégories de destinataires auxquels
les données à caractère personnel sont communiquées ;
5° La durée de conservation des données à caractère
personnel.
Les traitements qui correspondent à l’une de ces normes font l’objet
d’une déclaration simplifiée de conformité envoyée à la commission,
le cas échéant par voie électronique.
II. - La commission peut
définir, parmi les catégories de traitements mentionnés au I, celles
qui, compte tenu de leurs finalités, de leurs destinataires ou
catégories de destinataires, des données à caractère personnel traitées,
de la durée de conservation de celles-ci et des catégories de personnes
concernées, sont dispensées de déclaration.
Dans les mêmes conditions, la commission peut autoriser les responsables
de certaines catégories de traitements à procéder à une déclaration
unique selon les dispositions du II de l’article 23.
Section 2 : AutorisationArticle 25
I. - Sont mis en oeuvre après autorisation de la Commission
nationale de l’informatique et des libertés, à l’exclusion de ceux qui
sont mentionnés aux articles 26 et 27 :
1° Les traitements,
automatisés ou non, mentionnés au 7° du II, au III et au IV de
l’article 8 ;
2° Les traitements automatisés portant sur des données
génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre
par des médecins ou des biologistes et qui sont nécessaires aux fins
de la médecine préventive, des diagnostics médicaux ou de
l’administration de soins ou de traitements ;
3° Les traitements, automatisés ou non, portant sur des
données relatives aux infractions, condamnations ou mesures de
sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de
justice pour les besoins de leurs missions de défense des personnes
concernées ;
4° Les traitements automatisés susceptibles, du fait de leur
nature, de leur portée ou de leurs finalités, d’exclure des
personnes du bénéfice d’un droit, d’une prestation ou d’un contrat
en l’absence de toute disposition législative ou réglementaire ;
5° Les traitements automatisés ayant pour objet :
- l’interconnexion de
fichiers relevant d’une ou de plusieurs personnes morales gérant
un service public et dont les finalités correspondent à des
intérêts publics différents ;
- l’interconnexion de fichiers relevant d’autres personnes et
dont les finalités principales sont différentes.
6° Les traitements
portant sur des données parmi lesquelles figure le numéro
d’inscription des personnes au répertoire national d’identification
des personnes physiques et ceux qui requièrent une consultation de
ce répertoire sans inclure le numéro d’inscription à celui-ci des
personnes ;
7° Les traitements automatisés de données comportant des
appréciations sur les difficultés sociales des personnes ;
8° Les traitements automatisés comportant des données
biométriques nécessaires au contrôle de l’identité des personnes.
II. - Pour l’application du
présent article, les traitements qui répondent à une même finalité,
portent sur des catégories de données identiques et ont les mêmes
destinataires ou catégories de destinataires peuvent être autorisés par
une décision unique de la commission. Dans ce cas, le responsable de
chaque traitement adresse à la commission un engagement de conformité de
celui-ci à la description figurant dans l’autorisation.
III. - La Commission nationale de l’informatique et des libertés
se prononce dans un délai de deux mois à compter de la réception de la
demande. Toutefois, ce délai peut être renouvelé une fois sur décision
motivée de son président. Lorsque la commission ne s’est pas prononcée
dans ces délais, la demande d’autorisation est réputée rejetée.
Article 26
I. - Sont autorisés par arrêté du ou des ministres compétents, pris
après avis motivé et publié de la Commission nationale de l’informatique
et des libertés, les traitements de données à caractère personnel mis en
oeuvre pour le compte de l’État et :
1° Qui intéressent la
sûreté de l’État, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la
constatation ou la poursuite des infractions pénales ou l’exécution
des condamnations pénales ou des mesures de sûreté.
L’avis de la commission est publié
avec l’arrêté autorisant le traitement.
II. - Ceux de ces traitements qui portent sur des données
mentionnées au I de l’article 8 sont autorisés par décret en Conseil
d’État pris après avis motivé et publié de la commission ; cet avis est
publié avec le décret autorisant le traitement.
III. - Certains traitements mentionnés au I et au II peuvent être
dispensés, par décret en Conseil d’État, de la publication de l’acte
réglementaire qui les autorise ; pour ces traitements, est publié, en
même temps que le décret autorisant la dispense de publication de
l’acte, le sens de l’avis émis par la commission.
IV. - Pour l’application du présent article, les traitements qui
répondent à une même finalité, portent sur des catégories de données
identiques et ont les mêmes destinataires ou catégories de destinataires
peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le
responsable de chaque traitement adresse à la commission un engagement
de conformité de celui-ci à la description figurant dans l’autorisation.
Article 27
I. - Sont autorisés par décret en Conseil d’État, pris après avis
motivé et publié de la Commission nationale de l’informatique et des
libertés :
1° Les traitements de
données à caractère personnel mis en oeuvre pour le compte de
l’État, d’une personne morale de droit public ou d’une personne
morale de droit privé gérant un service public, qui portent sur des
données parmi lesquelles figure le numéro d’inscription des
personnes au répertoire national d’identification des personnes
physiques ;
2° Les traitements de données à caractère personnel mis en
oeuvre pour le compte de l’État qui portent sur des données
biométriques nécessaires à l’authentification ou au contrôle de
l’identité des personnes.
II. - Sont autorisés par
arrêté ou, en cas de traitement opéré pour le compte d’un établissement
public ou d’une personne morale de droit privé gérant un service public,
par décision de l’organe délibérant chargé de leur organisation, pris
après avis motivé et publié de la Commission nationale de l’informatique
et des libertés :
1° Les traitements mis en
oeuvre par l’État ou les personnes morales mentionnées au I qui
requièrent une consultation du répertoire national d’identification
des personnes physiques sans inclure le numéro d’inscription à ce
répertoire ;
2° Ceux des traitements mentionnés au I :
- qui ne comportent aucune
des données mentionnées au I de l’article 8 ou à l’article 9 ;
- qui ne donnent pas lieu à une interconnexion entre des
traitements ou fichiers correspondant à des intérêts publics
différents ;
- et qui sont mis en oeuvre par des services ayant pour mission,
soit de déterminer les conditions d’ouverture ou l’étendue d’un
droit des administrés, soit d’établir l’assiette, de contrôler
ou de recouvrer des impositions ou taxes de toute nature, soit
d’établir des statistiques ;
3° Les traitements
relatifs au recensement de la population, en métropole et dans les
collectivités situées outre-mer ;
4° Les traitements mis en oeuvre par l’État ou les personnes
morales mentionnées au I aux fins de mettre à la disposition des
usagers de l’administration un ou plusieurs téléservices de
l’administration électronique, si ces traitements portent sur des
données parmi lesquelles figurent le numéro d’inscription des
personnes au répertoire national d’identification ou tout autre
identifiant des personnes physiques.
III. - Les dispositions du IV
de l’article 26 sont applicables aux traitements relevant du présent
article.
Article 28 I. - La Commission nationale de l’informatique et des
libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai
de deux mois à compter de la réception de la demande. Toutefois, ce délai peut
être renouvelé une fois sur décision motivée du président.
II. - L’avis demandé à la commission sur un traitement, qui n’est pas
rendu à l’expiration du délai prévu au I, est réputé favorable.Article 29
Les actes autorisant la création d’un traitement en application des
articles 25, 26 et 27 précisent :
1° La dénomination et la
finalité du traitement ;
2° Le service auprès duquel s’exerce le droit d’accès défini
au chapitre VII ;
3° Les catégories de données à caractère personnel
enregistrées ;
4° Les destinataires ou catégories de destinataires habilités
à recevoir communication de ces données ;
5° Le cas échéant, les dérogations à l’obligation
d’information prévues au V de l’article 32.
Section 3 : Dispositions communesArticle 30
I. - Les déclarations, demandes d’autorisation et demandes d’avis
adressées à la Commission nationale de l’informatique et des libertés en
vertu des dispositions des sections 1 et 2 précisent :
1° L’identité et
l’adresse du responsable du traitement ou, si celui-ci n’est établi
ni sur le territoire national ni sur celui d’un autre État membre de
la Communauté européenne, celle de son représentant et, le cas
échéant, celle de la personne qui présente la demande ;
2° La ou les finalités du traitement, ainsi que, pour les
traitements relevant des articles 25, 26 et 27, la description
générale de ses fonctions ;
3° Le cas échéant, les interconnexions, les rapprochements ou
toutes autres formes de mise en relation avec d’autres traitements ;
4° Les données à caractère personnel traitées, leur origine
et les catégories de personnes concernées par le traitement ;
5° La durée de conservation des informations traitées ;
6° Le ou les services chargés de mettre en oeuvre le
traitement ainsi que, pour les traitements relevant des articles 25,
26 et 27, les catégories de personnes qui, en raison de leurs
fonctions ou pour les besoins du service, ont directement accès aux
données enregistrées ;
7° Les destinataires ou catégories de destinataires habilités
à recevoir communication des données ;
8° La fonction de la personne ou le service auprès duquel
s’exerce le droit d’accès prévu à l’article 39, ainsi que les
mesures relatives à l’exercice de ce droit ;
9° Les dispositions prises pour assurer la sécurité des
traitements et des données et la garantie des secrets protégés par
la loi et, le cas échéant, l’indication du recours à un
sous-traitant ;
10° Le cas échéant, les transferts de données à caractère
personnel envisagés à destination d’un État non membre de la
Communauté européenne, sous quelque forme que ce soit, à l’exclusion
des traitements qui ne sont utilisés qu’à des fins de transit sur le
territoire français ou sur celui d’un autre État membre de la
Communauté européenne au sens des dispositions du 2° du I de
l’article 5.
II. - Le responsable d’un
traitement déjà déclaré ou autorisé informe sans délai la commission :
- de tout changement affectant
les informations mentionnées au I ;
- de toute suppression du traitement.
Article 31
I. - La commission met à la disposition du public la liste des
traitements automatisés ayant fait l’objet d’une des formalités prévues
par les articles 23 à 27, à l’exception de ceux mentionnés au III de
l’article 26.
Cette liste précise pour chacun de ces traitements :
1° L’acte décidant la
création du traitement ou la date de la déclaration de ce traitement
;
2° La dénomination et la finalité du traitement ;
3° L’identité et l’adresse du responsable du traitement ou,
si celui-ci n’est établi ni sur le territoire national ni sur celui
d’un autre État membre de la Communauté européenne, celles de son
représentant ;
4° La fonction de la personne ou le service auprès duquel
s’exerce le droit d’accès prévu à l’article 39 ;
5° Les catégories de données à caractère personnel faisant
l’objet du traitement, ainsi que les destinataires et catégories de
destinataires habilités à en recevoir communication ;
6° Le cas échéant, les transferts de données à caractère
personnel envisagés à destination d’un État non membre de la
Communauté européenne.
II. - La commission tient à
la disposition du public ses avis, décisions ou recommandations.
III. - La Commission nationale de l’informatique et des libertés
publie la liste des États dont la Commission des Communautés européennes
a établi qu’ils assurent un niveau de protection suffisant à l’égard
d’un transfert ou d’une catégorie de transferts de données à caractère
personnel.
|
