WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

1.5 Quelle différence entre norme et réglementation ?

La norme légale ou réglementaire se différencie de la norme d'adoption volontaire par le fait qu'elle n'est pas adoptée de manière consensuelle. Elle est élaborée et adoptée, en démocratie au moins, par les représentants élus du peuple ou par une autorité administrative dépositaire par délégation d'une partie de l'autorité publique.

En outre, leur application est obligatoire et fait l'objet de sanctions, parfois lourdes, en cas de non respect. L'article 226-16 du Code Pénal22 prévoit ainsi « cinq ans d'emprisonnement et de 300 000 Euros d'amende » en cas de non respect des formalités déclaratives auprès de la CNIL.

1.6 Qu'est ce qu'une Autorisation Unique ?

La mise en oeuvre de certains types de traitements notamment ceux définis par l'article 25 de la loi 78-17 du 6 janvier 1978 modifiée le 6 aout 2004 sont soumis à la délivrance d'une autorisation préalable de la part de la Commission Nationale Informatique et Libertés (CNIL). Il s'agit nous dit l'article 25 :

« - des traitements portant sur des données génétiques,

- des traitements sur des données relatives aux infractions, condamnations ou mesures de sûreté,

20 Décret n° 2009-697 du 16 juin 2009 relatif à la normalisation

JORF n°0138 du 17 juin 2009

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020749979&dateTexte=&categorieLien=id

21 «Normalisation, certification : quelques éléments de définition»

Agnes Grenard - CNRS LATPSES IDEFI -

Revue d'économie industrielle. Vol. 75. 1er trimestre 1996. Normalisation et organisation de l'industrie. pp. 45 et 46. http://www.persee.fr/web/revues/home/prescript/article/rei_0154-3229_1996_num_75_1_1604

22 L'article 226-16 du Code Pénal

http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=1BCAC1CBD603B2211D5F79EB26752851.tpdjo03v_2? idArticle=LEGIARTI000006417958&cidTexte=LEGITEXT000006070719&dateTexte=20090620

18

- des traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat,

- des traitements automatisés ayant pour objet l'interconnexion de fichiers dont les finalités principales sont différentes,

- des traitements portant sur des données parmi lesqueles figure le numéro d'inscription des personnes au répertoire, national d'identification des personnes physiques,

- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes, - Les traitements automatisés comportant des données biométriques..»

L'autorisation préalable de mettre en oeuvre les traitements contenant ce type de données doit être obtenue auprès de la CNIL en complétant un dossier disponible aujourd'hui sur internet 23. Dossier qui demande de préciser :

- la finalité ou l'objectif du traitement,

- le logiciel ou de l'application concernée,

- les personnes concernées par le traitement,

- l'éventel recours à une technologie particulière (biométrie),

- le type de données traitées.

S'agit-il de :

> données d'Etat civil

> données liées à la vie privée

> données liées à la vie professionnelle

> informations d'ordre économique

> données des connexions à interne

> données de localisation

> données sensibles (NIR, biométrie, infractions, ADN, etc)

- si ces données font l'objet d'un transfert vers des pays hors de l'Union européenne,

- si certaines de ces données font l'objet d'interconnexion,

- Les mesures de sécurité qui ont été prises pour les sauvegarder au niveau architecture, authentification et

cryptographie,

- si des mesures ont été prises pour assurer un droit d'accès aux personnes intéressées.

La CNIL dispose alors d'un délai de deux mois renouvelables une fois « sur décision motivée de son président » précise l'article 25 alinéa III pour se prononcer sur cette demande.

Contrairement à la règle générale en droit administratif, le silence de l'administration vaut refus. L'acceptation peut être assortie de restrictions particulières. Une demande refusée une première fois peut être représentée sous une forme amendée. Le temps moyen d'obtention d'une autorisation préalable est de l'ordre de 6 mois en moyenne.

La loi prévoit dans l'article 25 alinéa II que (...) les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation."24

Les Autorisations uniques sont donc des actes administratifs publiés au Journal Officiel sous la forme de délibérations adoptées en séances plénières de la CNIL permettant aux entreprises qui s'engagent à s'y conformer volontairement de profiter d'une dispense d'autorisation préalable pour les traitements relevant de l'article 25 de la loi 78-17 du 6 janvier 1978 modifié le 6 août 2004.

23 La demande d'autorisation (article 25 de la loi du 6/01/78 modifiée) est accessible sur le site de la CNIL à cette adresse : https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/declarant.action#

Le formulaire CERFA est disponible quant à lui à cette adresse : https://www.formulaires.modernisation.gouv.fr/gf/cerfa_13786.do

24 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

JORF du 7 janvier 1978 page 227

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20101106

19

Dès lors qu'une entreprise constate que son ou ses traitements correspondent point pour point aux prescriptions définies dans une Autorisation unique, elle est en droit d'effectuer une déclaration volontaire de conformité directement sur le site de la CNIL25 dans laquelle sera simplement précisée l'Autorisation unique à laquelle l'entreprise s'engage à être conforme pour chacun des traitements qu'elle entend justifier ainsi.

Les Autorisations uniques sont aujourd'hui au nombre de 25. Elles sont numérotées selon une nomenclature du type AU pour Autorisation Unique et le numéro noté sur trois chiffres de 001 à 026. Les autorisations Uniques vont à ce jour de l'AU-001 à AU-026 sachant que l'AU-020 à été retirée.

Elles contiennent un certain nombre de prescriptions concernant :

- les finalités du traitement,

- les données,

- les destinataires des données,

- les durées de conservation,

- les mesures de sécurité,

- les droits d'accès.

Ces prescriptions s'adressent à des produits (technologiques) mais aussi à des procédures. Les thèmes couverts vont du matériel de contrôle d'accès utilisant la technologie biométrique (AU-007, AU-009 et AU-019) aux procédures inter et intra-bancaires (AU-005, AU-018) en passant par les procédures administratives (AU-001, AU-002)26

précédent sommaire suivant