EN FRANCE
Le responsable de traitement est tenu d’assurer un traitement des informations à caractère personnel conformément à la Loi. Il peut ainsi éviter à son entreprise des pertes financières et d’image pouvant avoir des conséquences désastreuses et se protéger contre les poursuites judiciaires.
Les utilisateurs de données personnelles ont eux aussi des obligations à respecter.
Parce qu’un traitement de données personnelles n’est pas un fichier comme les autres
Parce que ça concerne des parcelles de vie privée
Parce que cela peut porter atteinte aux libertés
Le Correspondant à la Protection des Données à Caractère Personnel : Un personnage-clé dans le paysage de la protection des données personnelles mais aussi dans celui de la gestion du patrimoine informationnel en conseillant les bons déclics pour vos fichiers lors de :
La collecte des données
La définition de la finalité du traitement
La durée de conservation des données
La sécurité des données
La confidentialité des données
L’information des personnes
La déclaration ou formalité préalable auprès de l’Autorité Administrative
Articles publiés dans cette rubrique
Traitements, fichiers et données
Un des enjeux stratégiques pour l’Equipe Dirigeante
Quels sont les leviers à actionner pour gérer le patrimoine informationnel de l� ??entreprise en toute sûreté, légalité et transparence tout en protégeant le Responsable de Traitement
Le constat :
Le Système d’Information, Nerf vital, moelle épinière de l’entreprise.
Le rôle du Système d’Information a évolué durant les dernières années. L’entreprise ne peut plus se passer de l’Informatique pour son fonctionnement interne, mais en plus, son système d’information est accessible de l’extérieur ou transfert des données pour favoriser un travail collaboratif avec ses fournisseurs, ses clients, partenaires et (...)
lire la suite de l'article
Le constat :
Le Système d’Information, Nerf vital, moelle épinière de l’entreprise.
Le rôle du Système d’Information a évolué durant les dernières années. L’entreprise ne peut plus se passer de l’Informatique pour son fonctionnement interne, mais en plus, son système d’information est accessible de l’extérieur ou transfert des données pour favoriser un travail collaboratif avec ses fournisseurs, ses clients, partenaires et (...)
lire la suite de l'article
La collecte des données
« Soyez réglo avec les autres ! »
Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type doit être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement. Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
Qu’est-ce que ça veut dire ?
En principe, il faut recueillir le consentement de la (...)
lire la suite de l'article
Il convient d’assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type doit être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement. Les données de caractère personnel doivent être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l’exigent, elles doivent être exactes, complètes et tenues à jour.
Qu’est-ce que ça veut dire ?
En principe, il faut recueillir le consentement de la (...)
lire la suite de l'article
La finalité des traitements
Respectez les objectifs de votre fichier
Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données, et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées". En demandant le consentement des personnes pour divulguer les données de caractère personnel les concernant en vue de nouvelles finalités, vous agissez en conformité avec le principe de la (...)
lire la suite de l'article
Les finalités en vue desquelles les données de caractère personnel sont collectées doivent être déterminées au plus tard au moment de la collecte des données, et lesdites données ne doivent être utilisées par la suite que pour atteindre ces finalités ou d’autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu’elles seraient modifiées". En demandant le consentement des personnes pour divulguer les données de caractère personnel les concernant en vue de nouvelles finalités, vous agissez en conformité avec le principe de la (...)
lire la suite de l'article
La durée de conservation des informations
Ne conservez pas éternellement les informations
Les archives doivent finir par être détruites.
Qu’est-ce que ça veut dire ?
Les données personnelles ont une date de péremption.
Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Ça peut faire mal ! Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-20 du code (...)
lire la suite de l'article
Les archives doivent finir par être détruites.
Qu’est-ce que ça veut dire ?
Les données personnelles ont une date de péremption.
Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Ça peut faire mal ! Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-20 du code (...)
lire la suite de l'article
La sécurité des fichiers
Protégez votre fichier
Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, modification ou divulgation non autorisés.
Qu’est-ce que ça veut dire ?
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement.
Ça peut faire mal !
Le non-respect de l’obligation de (...)
lire la suite de l'article
Il convient de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, modification ou divulgation non autorisés.
Qu’est-ce que ça veut dire ?
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information) adaptées à la nature des données et aux risques présentés par le traitement.
Ça peut faire mal !
Le non-respect de l’obligation de (...)
lire la suite de l'article
La confidentialité des données
Ne divulguez pas vos informations à n’importe qui
Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées régissant la protection de la vie privée, si ce n’est : a) avec le consentement de la personne concernée ; ou b) lorsqu’une règle de droit le permet".
Qu’est-ce que ça veut dire ?
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit :
des destinataires explicitement désignés pour en obtenir régulièrement communication,
des « tiers autorisés » ayant qualité pour les (...)
lire la suite de l'article
Les données de caractère personnel ne doivent pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées régissant la protection de la vie privée, si ce n’est : a) avec le consentement de la personne concernée ; ou b) lorsqu’une règle de droit le permet".
Qu’est-ce que ça veut dire ?
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit :
des destinataires explicitement désignés pour en obtenir régulièrement communication,
des « tiers autorisés » ayant qualité pour les (...)
lire la suite de l'article
L’information des personnes
Agissez dans la transparence
Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
Toute personne physique devrait avoir le droit :
a) d’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou (...)
lire la suite de l'article
Il convient d’assurer, d’une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l’existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l’identité du maître du fichier et le siège habituel de ses activités.
Toute personne physique devrait avoir le droit :
a) d’obtenir du maître d’un fichier, ou par d’autres voies, confirmation du fait que le maître du fichier détient ou (...)
lire la suite de l'article
La déclaration des fichiers
Déclarez votre fichier si c’est nécessaire
La dispense qui peut être avancée ne couvre que les données soumises à déclaration. En effet, toutes celles qui nécessitent une demande d’autorisation à la CNIL doivent toujours faire l’objet d’une demande d’autorisation expresse de l’entreprise. En outre, si les fichiers soumis à déclaration doivent faire l’objet d’un transfert vers un État non-membre de l’Union européenne, une dispense ne peut plus être alléguée.
Qu’est-ce que ça veut dire ?
Certains traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits (...)
lire la suite de l'article
La dispense qui peut être avancée ne couvre que les données soumises à déclaration. En effet, toutes celles qui nécessitent une demande d’autorisation à la CNIL doivent toujours faire l’objet d’une demande d’autorisation expresse de l’entreprise. En outre, si les fichiers soumis à déclaration doivent faire l’objet d’un transfert vers un État non-membre de l’Union européenne, une dispense ne peut plus être alléguée.
Qu’est-ce que ça veut dire ?
Certains traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits (...)
lire la suite de l'article