Organisme de formation aux Technologies de l'Information et de la Communication
dédié aux PME/PMI et collectivités locales d'Aquitaine

Centre de Formation aux Technologies de l'Information et de la Communication
Domaine de Peyrarey
33370 Yvrac
Tél. 05 57 35 00 34
Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Articles
Chapitre Ier : PRINCIPES ET DÉFINITIONS
Chapitre II : CONDITIONS DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
Chapitre III : LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
Chapitre IV : FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE DES TRAITEMENTS
Chapitre V : OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DROITS DES PERSONNES
Chapitre VI : LE CONTRÔLE DE LA MISE EN ŒUVRE DES TRAITEMENTS
Chapitre VII : SANCTIONS PRONONCÉES PAR LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS
Chapitre VIII : DISPOSITIONS PÉNALES
Chapitre IX : TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AYANT POUR FIN LA RECHERCHE DANS LE DOMAINE DE LA SANTÉ
Chapitre X : TRAITEMENTS DE DONNÉES DE SANTÉ À CARACTÈRE PERSONNEL À DES FINS D'ÉVALUATION OU D'ANALYSE DES PRATIQUES OU DES ACTIVITÉS DE SOINS ET DE PRÉVENTION
Chapitre XI : TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL AUX FINS DE JOURNALISME ET D'EXPRESSION LITTÉRAIRE ET ARTISTIQUE
Chapitre XII : TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES ÉTATS N'APPARTENANT PAS À LA COMMUNAUTÉ EUROPÉENNE
Chapitre XIII : DISPOSITIONS DIVERSES

CHAPITRE IV
FORMALITÉS PRÉALABLES À LA MISE EN ŒUVRE DES TRAITEMENTS

 

Article 22
I.
- A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.
 
II. - Toutefois, ne sont soumis à aucune des formalités préalables prévues au présent chapitre :

Les traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
 
Les traitements mentionnés au 3° du II de l’article 8.

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé.
 
La désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.
 
Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions. Il peut saisir la Commission nationale de l’informatique et des libertés des difficultés qu’il rencontre dans l’exercice de ses missions.
 
En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l’informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l’informatique et des libertés.
 
IV. - Le responsable d’un traitement de données à caractère personnel qui n’est soumis à aucune des formalités prévues au présent chapitre communique à toute personne qui en fait la demande les informations relatives à ce traitement mentionnées aux 2° à 6° du I de l’article 31.

Section 1 : Déclaration

Article 23

I. - La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi.
 
Elle peut être adressée à la Commission nationale de l’informatique et des libertés par voie électronique.
 
La commission délivre sans délai un récépissé, le cas échéant par voie électronique. Le demandeur peut mettre en oeuvre le traitement dès réception de ce récépissé ; il n’est exonéré d’aucune de ses responsabilités.
 
II. - Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique. Dans ce cas, les informations requises en application de l’article 30 ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.

Article 24
I.
- Pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration.
 
Ces normes précisent :

Les finalités des traitements faisant l’objet d’une déclaration simplifiée ;
 
Les données à caractère personnel ou catégories de données à caractère personnel traitées ;
 
La ou les catégories de personnes concernées ;
 
Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ;
 
La durée de conservation des données à caractère personnel.
 
Les traitements qui correspondent à l’une de ces normes font l’objet d’une déclaration simplifiée de conformité envoyée à la commission, le cas échéant par voie électronique.

II. - La commission peut définir, parmi les catégories de traitements mentionnés au I, celles qui, compte tenu de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration.
 
Dans les mêmes conditions, la commission peut autoriser les responsables de certaines catégories de traitements à procéder à une déclaration unique selon les dispositions du II de l’article 23.

Section 2 : Autorisation

Article 25
I.
- Sont mis en oeuvre après autorisation de la Commission nationale de l’informatique et des libertés, à l’exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l’article 8 ;
 
Les traitements automatisés portant sur des données génétiques, à l’exception de ceux d’entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements ;
 
Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
 
Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ;
 
Les traitements automatisés ayant pour objet :

- l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
- l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes.

Les traitements portant sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d’inscription à celui-ci des personnes ;
 
Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
 
Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes.

II. - Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.
 
III. - La Commission nationale de l’informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s’est pas prononcée dans ces délais, la demande d’autorisation est réputée rejetée.

Article 26
I.
- Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État et :

Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ;
 
Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

L’avis de la commission est publié avec l’arrêté autorisant le traitement.
 
II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 8 sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.
 
III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.
 
IV. -
Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

Article 27
I.
- Sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État, d’une personne morale de droit public ou d’une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques ;
 
Les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d’un établissement public ou d’une personne morale de droit privé gérant un service public, par décision de l’organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés :

Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire ;
 
Ceux des traitements mentionnés au I :

- qui ne comportent aucune des données mentionnées au I de l’article 8 ou à l’article 9 ;
- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;
- et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d’ouverture ou l’étendue d’un droit des administrés, soit d’établir l’assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d’établir des statistiques ;

Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;
 
Les traitements mis en oeuvre par l’État ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l’administration un ou plusieurs téléservices de l’administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d’inscription des personnes au répertoire national d’identification ou tout autre identifiant des personnes physiques.

III. - Les dispositions du IV de l’article 26 sont applicables aux traitements relevant du présent article.

Article 28 I. - La Commission nationale de l’informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.
 
II. - L’avis demandé à la commission sur un traitement, qui n’est pas rendu à l’expiration du délai prévu au I, est réputé favorable.

Article 29
Les actes autorisant la création d’un traitement en application des articles 25, 26 et 27 précisent :

La dénomination et la finalité du traitement ;
 
Le service auprès duquel s’exerce le droit d’accès défini au chapitre VII ;
 
Les catégories de données à caractère personnel enregistrées ;
 
Les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;
 
Le cas échéant, les dérogations à l’obligation d’information prévues au V de l’article 32.

Section 3 : Dispositions communes

Article 30
I.
- Les déclarations, demandes d’autorisation et demandes d’avis adressées à la Commission nationale de l’informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :

L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;
 
La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25, 26 et 27, la description générale de ses fonctions ;
 
Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;
 
Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;
 
La durée de conservation des informations traitées ;
 
Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25, 26 et 27, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;
 
Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;
 
La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu à l’article 39, ainsi que les mesures relatives à l’exercice de ce droit ;
 
Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant ;
 
10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne, sous quelque forme que ce soit, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne au sens des dispositions du 2° du I de l’article 5.

II. - Le responsable d’un traitement déjà déclaré ou autorisé informe sans délai la commission :

- de tout changement affectant les informations mentionnées au I ;
- de toute suppression du traitement.

Article 31
I.
- La commission met à la disposition du public la liste des traitements automatisés ayant fait l’objet d’une des formalités prévues par les articles 23 à 27, à l’exception de ceux mentionnés au III de l’article 26.
 
Cette liste précise pour chacun de ces traitements :

L’acte décidant la création du traitement ou la date de la déclaration de ce traitement ;
 
La dénomination et la finalité du traitement ;
 
L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre État membre de la Communauté européenne, celles de son représentant ;
 
La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu à l’article 39 ;
 
Les catégories de données à caractère personnel faisant l’objet du traitement, ainsi que les destinataires et catégories de destinataires habilités à en recevoir communication ;
 
Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne.

II. - La commission tient à la disposition du public ses avis, décisions ou recommandations.
 
III. - La Commission nationale de l’informatique et des libertés publie la liste des États dont la Commission des Communautés européennes a établi qu’ils assurent un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données à caractère personnel.

<<< Chapitre 3

Chapitre 5 >>>
Source : www.cnil.fr
L'actualité des moteurs de recherche
 
Plan du site