Le Traitement des Données Personnelles au sein d’une Association

Préambule

Une association est naturellement amenée à regrouper des informations caractère personnel sur ses membres et ce dès leur inscription en début d’année.

Il peut s’agir d’informations telles que le nom, prénom et l’adresse des membres.

Ayant un caractère personnel, ces informations doivent être protégées et la loi la loi « informatique et libertés » du 6 janvier 1978 définit les principes applicables à ces données.

«La loi informatique et libertés»

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés encadre et contrôle le traitement de données à caractère personnel.
Cette loi a été modifiée à plusieurs reprises.

En application de cette loi, les fichiers doivent être normalement déclarés auprès des services de la Commission Nationale l’Informatique et des Libertés (CNIL)

La loi « Informatique et Liberté » définit notamment les notions suivantes :
   · Les données à caractère personnel
   · Le traitement de données ;
   · Le responsable du traitement ;
   · Le destinataire du traitement ;
   · Les personnes concernées.

Définition

Les données à caractère personel

Sont considérées comme données personnelles, les données suivantes :
- l'état civile : nom, prénom, date de naissance ;
- adresses : postales, électroniques voire même l'adresse IP d'un ordinateur ;
- le numéro de sécurité sociale ;
- les numéros de téléphone, numéros de cartes de paiement, plaques d'immatriculation d'un véhicule ;
- les données d'ordre biologique, telles que les empreintes digitales, les empreintes génétiques ;
- les photographies

Ainsi, les informations demandées et récoltées dans le cadre d'une adhésion à une association sont des données personnelles.

Le traitement des données

Un traitement des données est une opération ou un ensemble d'opérations permettant la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication de toutes données (en espèce, données à caractère personnel), quel que soit le procédé utilisé.
Par extension, constitue un traitement de données, la mise à disposition, le rapprochement ou l'interconnexion de plusieurs fichiers ainsi que, selon le législateur, le verrouillage, l'eff cement ou la destruction desdites données.
Ce traitement de données peut aboutir à la création d'un fichier.

Le responsable du traitement

L'article 3 de la loi de 1978 dispose que "le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par des dispositions législatives ou règlementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalirés et ses moyens ".

Par conséquent, le responsable du traitement des données aux seins d'une associatio est par défaut le président sauf si une tierce personne est expressément désignée à l'exécution de cette tâche.

Les destinataire du traitement

Les destinataire d'un traitement de données à caractère personnel est "toute personne habilitée à recevoir communication de ces données, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données "

Ainsi au sein d'une association, les personnes susceptibles d'avoir accès aux données personnelles de l'ensemble des membres pourraient être les salariés et certains membres du comité directeur par exemple si leurs missions le justifient.

Les personnes concernées par un traitement

" La personne concernée par un traitement de données à caractère personnelle est celle à laquelle se rapportent les données qui font l'objet du traitement " (article 2 de la loi de 1978).

Par conséquent, les associations qui tiennent un fichier de leurs adhérents relèvent des dispositions de la loi de 1978.

Les règles deconstitution des fichiers

Les conditions de licéité de traitement des donnéees personnelles

Aux termes de l'article 6 de la loi de 1978, " un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

1° Les données sont collectées et traitées de manière loyale et licite ; cela implique l'information des personnes lors de la collecte des données et de l'exercice potentiel d'un droit d'opposition des personnes sur les données qui le concernent.

2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé pour prendre des décisions à l'égard des personnes concernés ;

3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

4° Elles sont exactes, complétes et, si nécessaires, mises à jour ; les mesures appropriées doivent être prises pour que les données inecactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont colllectées et traitées.

Par la suite, " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, ou que des tiers non autorisés y aient accès. "

A titre d'exemple, les données collectées lors d'une inscription constituant un fichier en vue de la gestion de l'association ne peuvent être utilisées à des fins commerciales si le responsable du traitement n'a pas informé les personnes concernées au préalable.

Les formalités préalables à la mise en œuvre des traitements à caractère personnel

Ainsi, tout traitement doit être déclaré auprès de la CNIL (Pour plus de renseignement sur la procédure : www.cnil.fr). Toutefois, il existe certaines dispenses de déclaration.

La dispense concernant les traitements informatisés relatifs à la gestion des membres et des donateurs d'associations à but non lucratif

Par une délibération n°2010-229 du 10 juin 2010, la CNIL a décidé de dispenser de déclaration des traitementd informatisés relatifs à la gestion des membres et des donateurs des associations à but non lucratif.

La dispense porte uniquement sur les fichiers ayant les caractéristiques suivantes :

1. La finalité du fichier
Les traitements doivent avoir pour seules finalités :
- l'enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations.
- d'établissement, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres ou de contacts, notamment en vue d'adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l'objet statutaire de l'organisme ;
- d'établissement des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet. Le traitement peut avoir également pour finalité la tenue d'annuaire d'anciens élèves ou d'étudiants ;
- la communication des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects.

Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.

2. Le type de données traitées
- l'identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;
- les informations relatives à la gestion administrative de l'organisme : état des cotisations, position vis-à-vis de l'association, informations strictement liées à l'objet statutaire de l'organisme, identité bancaire pour la gestion des dons ;
- les données de connexion (date, heure, adresse internet protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site.

3. Les destinataires des données
- Les personnes statutairement responsables de la gestion de l'association ;
- Les services chargés de l'administration et de la gestion de l'association ;
- Eventuellement, les organismes gérant les systèmes d'assurance et de prévoyance, applicables aux activités de l'association.

4. La durée de conservation.
La durée de coservation doivent être limitée à l'adhésion de l'individu concerné à l'association et les données ne peuvent être conservées après sa démission, sa radiation ou son décès..

Tout fichier qui ne remplirait pas ces critères échappe à la dispense de déclaration et reste soumis à déclaration.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022443981

Comment informer au mieux les adhérents de la constitution de fichiers de données à caractère personnel ?

L'association doit indiquer aux membres, lors de l'adhésion :
- L'identité du responsable du traitement ;
- Les finalités poursuivies par le traitement ;
- Le caractère facultatif ou obligatoire des réponses à apporter ;
- Les conséquences éventuelles d'un défaut de réponse de leur part ;
- Les destinataires des données ;
- Les droits d'opposition, d'accès et de rectification et les modalités d'exercice de ces droits.

Le droit d'opposition, d'accès et de rectification

Lorsque les données récoltées peuvent être amenées à être diffusées ou utilisées à des fins de prospection, les personnes doivent être préalablement informées de cette intention et doivent être en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées.
Le droit d'opposition doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.

Le droit d'accès et de rectification est le droit reconnu à toute personne de demander au détenteur d'un fichier de lui communiquer toutes informations la concernant. Ce droit permet à la personne concernée de vérifier les informations enregistrées dans un traitement et, le cas échéant, de faire rectifier les informations erronées.

Proposition de note d'information sur les bulletins d'adhésion

" Les informations recueillizs sont nécessaires pour votre adhésion. Elles font l'objet d'un traitement informatique et sont destinées au secrétariat de l'association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à ............ "

Une association peut-elle céder, louer ou vendre le fichier de ses adhérents à des fins commerciales ?

OUI. La loi "informatique et libertés" n'interdit pas cette pratique. Il y a toutefois des précautions à prendre :
Il faut d’abord informer les adhérents de cette possible revente de leurs coordonnées à des fins commerciales et leur permettre de s'y opposer. Cette opposition peut se faire par exemple au moyen d'une case à cocher figurant sur le bulletin d'adhésion.
Une association peut-elle diffuser sur son site web l'annuaire de ses adhérents ?

Une association peut-elle diffuser sur son site web l'annuaire de ses adhérents ?
OUI. Dans ce cas, comme pour la réponse précédente, les adhérents doivent en être informés au préalable. Ils ont tout à fait le droit de s'opposer à une telle diffusion compte-tenu des risques particuliers de capture des informations diffusées sur le web.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion pour bien informer les adhérents de leurs droits.

Mention d'information à inscrire sur le bulletin d'adhésion
Les informations recueillies sont nécessaires pour votre adhésion. Elles font l'objet d'un traitement informatique et sont destinées au secrétariat de l'association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à ......... [indiquez-ici le service en charge de traiter les demandes]

Il arrive que des mairies demandent aux associations de leur transmettre le fichier de ses adhérents en vue d'obtenir des subventions ? Est-ce légal ?
NON. Un maire ne peut pas demander, même au titre de la subvention qu'il accorde à une association, la liste nominative des adhérents. Une telle pratique est contraire au principe constitutionnel de la liberté d'association.
En revanche, les mairies peuvent demander, au titre du contrôle des subventions qu'elles versent aux associations, la copie certifiée du budget et des comptes de l'exercice écoulé, ainsi que la communication de tous les documents faisant apparaître les résultats de l'activité de l'association.

Un membre d'association peut-il exiger la communication de la liste de tous les autres adhérents ?
OUI, si les statuts de l’association prévoient cette possibilité. Une association est en effet libre de préciser dans ses statuts que l'adhésion implique d’accepter que ses coordonnées puissent être communiquées à tout adhérent qui en fait la demande, à la condition que cette communication ait un lien direct avec l’activité de l'association.
Dans ce cas, un membre ne peut s’opposer à cette diffusion.

Lors du renouvellement du bureau d’une association, un candidat peut-il obtenir la liste des adhérents ?
OUI. Si les statuts de l’association le prévoient, tout candidat peut demander que la liste des adhérents lui soit transmise, à partir du moment où il s'engage à ne pas l'utiliser à d'autres fins que l'élection et à la détruire à la fin des opérations électorales.

Les membres du bureau d’une association, dont les statuts ont été déposés en préfecture, peuvent ils s’opposer à la diffusion de leurs identités et coordonnées ?
NON. La loi du 1er juillet 1901 relative au contrat d’association prévoit qu’une association ne peut obtenir la capacité juridique qu’en rendant publics, par une insertion au Journal officiel, son titre, son objet, l’adresse de son siège et les noms, professions, domiciles et nationalités de ceux qui sont chargés de son administration. Cette diffusion peut aussi se faire sur en ligne via la version Internet du journal Officiel.
Néanmoins, des mesures techniques empêchent d’accéder directement à la page de l’association concernée lorsqu’on interroge les différents moteurs de recherche sur la base de l’identité des membres de son bureau.

Les fichiers de membres et donateurs d’une association doivent-ils être déclarés à la CNIL ?
NON, ces fichiers sont dispensés de déclaration à la CNIL.
Attention, être dispensé de déclaration n’exonère pas pour autant des obligations que la loi informatique et libertés impose aux responsables de fichiers. Cela signifie qu’il faut informer les personnes qu’un fichier est constitué et qu’elles ont un droit d’accès aux informations qui les concernent. Enfin bien sûr, le responsable du fichier doit prendre toutes les mesures utiles afin d’assurer la sécurité des informations personnelles collectées.

https://www.cnil.fr/fr/les-fichiers-des-associations-en-questions

CNIL

Les sanctions pénales
CODE PÉNAL (Partie Législative)

Section 5 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Articles 226-16 à 226-24 du Code pénal modifiés par la loi du 6 août 2004
Article 226-17-1 créé par l'article 39 de l'ordonnance n°2011-1012 du 24 août 2011
Article 226-19 modifié par l'article 4 de la loi n° 2012-954 du 6 août 2012
Article 226-24 modifié par l'article 124 de la loi n°209-526 du 12 mai 2009

Art. 226-16
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 2° du I de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Art. 226-16-1 A
Lorsqu’il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l’article 24 de la loi n° 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d’exonération établies à cet effet par la Commission nationale de l’informatique et des libertés est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-16-1
Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-17
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-17-1
Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Art. 226-18
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-18-1
Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-19
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation ou à l'identité sexuelle de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Art. 226-19-1
En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende le fait de procéder à un traitement :

Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d’accès, de rectification et d’opposition, de la nature des données transmises et des destinataires de celles-ci ;
Malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du consentement éclairé et exprès de la personne, ou s’il s’agit d’une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

Art. 226-20
Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

Art. 226-21
Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-22
Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 € d’amende lorsqu’elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Art. 226-22-1
Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un État n’appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l’informatique et des libertés mentionnées à l’article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-22-2
Dans les cas prévus aux articles 226-16 à 226-22-1, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission nationale de l’informatique et des libertés sont habilités à constater l’effacement de ces données.

Art. 226-23
Les dispositions de l’article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.

Art. 226-24
Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section encourent, outre l'amende, suivant les modalités prévues par l'article 131-38, les peines prévues par les 2º à 5º et 7º à 9º de l'article 131-39.

L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.

Les articles 50 à 52 de la loi n°78-17 du 6 janvier 1978 modifiée (Chapitre VIII - Dispositions pénales)

Article 51 modifiée par l'article 7 de la loi n°2011-334 du 29 mars 2011

Article 50
Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal.

Article 51
Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :

Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 lorsque la visite a été autorisée par le juge ;
Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;
Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Article 52
Le procureur de la République avise le président de la Commission nationale de l’informatique et des libertés de toutes les poursuites relatives aux infractions aux dispositions de la section 5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant, des suites qui leur sont données. Il l’informe de la date et de l’objet de l’audience de jugement par lettre recommandée adressée au moins dix jours avant cette date.

La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.

CODE PÉNAL (Partie Réglementaire)
Section 6 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Articles R. 625-10 à R. 625-13 du Code pénal insérés par le décret du 20 octobre 2005
Article R. 625-13 modifié par l'article 4 du décret n°2010-171 du 18 juin 2010

Art. R. 625-10
Lorsque cette information est exigée par la loi, est puni de l’amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d’un traitement automatisé de données à caractère personnel :

1. De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant :
    a. De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
    b. De la finalité poursuivie par le traitement auquel les données sont destinées ;
    c. Du caractère obligatoire ou facultatif des réponses ;
    d. Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
    e. Des destinataires ou catégories de destinataires des données ;
    f. De ses droits d’opposition, d’interrogation, d’accès et de rectification ;
    g. Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;

2. Lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives :
1. A l’identité du responsable du traitement et, le cas échéant, à celle de son représentant ;
2. A la finalité poursuivie par le traitement auquel les données sont destinées ;
3. Au caractère obligatoire ou facultatif des réponses ;
4. Aux droits d’opposition, d’interrogation, d’accès et de rectification des personnes auprès desquelles sont recueillies les données ;

3. De ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques :
1. De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;
2. Des moyens dont elle dispose pour s’y opposer ;

4. De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n’ont pas été recueillies auprès d’elle, les informations énumérées au 1° et au 2° dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Art. R. 625-11
Est puni de l’amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas répondre aux demandes d’une personne physique justifiant de son identité qui ont pour objet :

1. La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
2. Les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
3. Le cas échéant, les informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne ;
4. La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
5. Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.

Est puni de la même peine le fait de refuser de délivrer, à la demande de l’intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d’une somme qui ne peut excéder le coût de la reproduction.

Les contraventions prévues par le présent article ne sont toutefois pas constituées si le refus de réponse est autorisé par la loi soit afin de ne pas porter atteinte au droit d’auteur, soit parce qu’il s’agit de demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique, soit parce que les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.

Art. R. 625-12
Est puni de l’amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas procéder, sans frais pour le demandeur, aux opérations demandées par une personne physique justifiant de son identité et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est l’héritière, lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite.

Art. R. 625-13
La récidive des contraventions prévues par la présente section est réprimée conformément aux articles 132-11 et 132-15.

https://www.cnil.fr/fr/les-sanctions-penales

Données personnelles : Attention aux sanctions

Par Noémie SALLE, Juriste | Mis à jour le 05/08/2015 | Publié le 07/05/2012

Une absence de déclaration à la Commission nationale de l'informatique et des libertés (CNIL) peut avoir de lourdes conséquences pour les entreprises. Les sanctions prévues peuvent aller du simple avertissement à la peine d'emprisonnement assortie d'une amende élevée. En cas de sanction, sachez que des recours existent et qu'un avocat peut vous aider.

Une absence de déclaration à la CNIL

Tout fichier sous format papier ou informatisé comportant des données à caractère personnel doit en principe être déclaré à la CNIL. Il existe différents degrés de déclaration :

- Exonération de déclaration : certains fichiers contenant des données personnelles sont dispensés de formalités déclaratives auprès de la CNIL : la comptabilité générale, les activités des comités d'entreprise et d'établissement, la paie du personnel dans le secteur privé, les fichiers de fournisseurs, les fichiers de communication non commerciale, etc.
- Déclaration simplifiée : il suffit de remplir un formulaire, en ligne sur le site de la CNIL. C'est le cas par exemple de la mise en place de fichiers clients par une entreprise privée.
- L'autorisation préalable : le traitement de données présentant un risque particulier d'atteinte aux droits et libertés de la personne doivent obtenir une autorisation de la CNIL (le ministre compétent va rendre un arrêté après avis de la CNIL). C'est le cas par exemple lors de l'utilisation d'un système biométrique.

L'article 226-16 du Code pénal précise bien que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende ».

La diversité des sanctions

La CNIL peut prononcer des sanctions administratives (avertissement, mise en demeure, une injonction de cesser le traitement, un retrait de l'autorisation,…). Elle peut également infliger des sanctions pécuniaires pouvant aller jusqu'à 150.000 euros, voire 300.000 euros en cas de manquement réitéré. S'il s'agit d'une entreprise, la sanction pécuniaire peut aller jusqu'à 5% du chiffre d'affaires.

Il existe également des sanctions pénales qui peuvent être lourdes. Le Code pénal sanctionne de nombreux comportements. Par exemple, la divulgation d'informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100.000 € d'amende. Le non-respect de l'obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300.000 € d'amende. La communication d'informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300.000 € d'amende.

La responsabilité civile du responsable du traitement peut être engagée sur le fondement de l'article 1382 du Code civil en raison du préjudice direct et personnel subi par la personne victime des négligences.

Des recours possibles

Il faut savoir qu'il existe des recours contre toute sanction. Il ne faut donc pas hésiter à faire appel à un avocat surtout lorsque l'on voit le montant des sommes en jeu et les peines encourues.

Le Conseil d'État peut être saisi d'une demande afin d'obtenir la suspension d'une sanction de la CNIL (article L. 521-1 du Code de justice administrative). Pour les sanctions civiles et pénales un recours sera toujours possible.

Les données à caractère personnel doivent faire l'objet d'un traitement spécifique. La CNIL encadre strictement le traitement de ces données. Il ne faut pas oublier de déclarer vos fichiers contenant de telles données sous peine d'être exposé à des sanctions. L’avocat peut être d’un grand secours dans la mesure où il peut se révéler être un correspondant informatique et liberté de choix.

http://www.avocats-picovschi.com/donnees-personnelles-attention-aux-sanctions_article_869.htm

Les fichiers informatiques de l'association
(La Commission Nationale de l'Informatique et des Libertés)

1. Un grand principe

L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

2. Formalités préalables à la mise en œuvre de traitements automatisés

Avant d'énumérer les formalités préalables à la constitution d'un fichier informatique, voici quelques définitions posées par la loi :
- Constitue une " donnée à caractère personnel " toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres .
- Constitue un " traitement de données à caractère personnel " toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
- Constitue un " fichier de données à caractère personnel " tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Préalablement à leur mise en œuvre, les traitements de données à caractère personnel doivent faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL) sauf cas d'exonération de déclaration (Voir ci-après).

La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.
Plus loin, sont reproduits quelques dispositions de la loi " informatique et libertés " s'appliquant à tout traitement de données à caractère personnel.

3. Collecte, enregistrement et conservation des données à caractère personnel - Droit d'accès

1) Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.
(Article 226-18 du code pénal)

2) (Article 38 de la loi du 6 janvier 1978) Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

3) (Article 32 de la loi du 6 janvier 1978) Les personnes auprès desquelles sont recueillies des données à caractère personnel doivent être informées :
- de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- de la finalité poursuivie par le traitement auquel les données sont destinées ;
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences éventuelles, à son égard, d'un défaut de réponse ;
- des destinataires ou catégories de destinataires des données ;
- de l'existence d'un droit d'accès et de rectification ;
- le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne.

Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.

Exemple :
Les informations recueillies sont nécessaires pour […]. Elles font l'objet d'un traitement informatique et sont destinées à […]. En application de la loi du 6 janvier 1978, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à […]

Le droit d'accès donne à toute personne le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir :
- la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;
- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées.

(Article 40 de la loi du 6 janvier 1978) Toute personne physique peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite

4) (Article 36 de la loi du 6 janvier 1978) Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques.

5) (Article 34 de la loi du 6 janvier 1978) Toute personne ordonnant ou effectuant un traitement de données à caractère personnel s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
Autrement dit : des dispositions doivent être prises pour assurer la sécurité et la confidentialité des informations : ordinateurs situés dans un local fermé à clef, contrôle des accès au(x) logiciel(s) par mots de passe individuels , etc. …

La responsabilité pénale du dirigeant peut être engagée s’il ne met pas en œuvre dans son association les mesures adéquates pour préserver la sécurité des données informatiques à caractère personnel.

L’article L.226-17 du Code Pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende.

6) Le principe de finalité doit être respecté : Un traitement de données à caractère personnel est créé pour atteindre un certain objectif. Son contenu doit correspondre à cet objectif et ne pas servir à d'autres fins.
Le choix des données que l'on décide d'enregistrer, la durée de leur conservation et les catégories de personnes qui peuvent en avoir communication doivent être déterminés en fonction de la finalité du traitement.
Lors des formalités préalables auprès de la CNIL, le responsable d'un traitement doit indiquer clairement sa ou ses finalités.

" Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité… est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. "
(Article 226-21 du code pénal)

4. Exonération de déclaration

Les fichiers des membres et correspondants (sympathisants, donateurs, bénévoles, etc.) des églises ou groupements à caractère religieux, philosophique, politique ou syndical n'ont pas à être déclarés à la CNIL sous réserve que le traitement des données :
- correspond à l'objet de l'organisme ;
(Exemple : une association cultuelle ne peut enregistrer les opinions philosophiques, politiques ou syndicales de ses membres.)
- ne concerne que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
- ne porte que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément.

5.Gestion des membres et des donateurs des associations de la loi 1901

Sont dispensés de déclaration les traitements de données à caractère personnel relatifs à la gestion des membres et des donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 comportant des données sur des personnes physiques qui répondent à certaines conditions. Entre autre :

Les traitements doivent avoir pour seules finalités :

- l'enregistrement et la mise à jour des informations individuelles nécessaires à la gestion administrative des membres et donateurs, en particulier la gestion des cotisations, conformément aux dispositions statutaires qui régissent les intéressés ;
- d'établir, pour répondre à des besoins de gestion, des états statistiques ou des listes de membres, notamment en vue d'adresser bulletins, convocations, journaux. Lorsque ces listes sont sélectives, les critères retenus doivent être objectifs et se fonder uniquement sur des caractéristiques qui correspondent à l'objet statutaire de l'association.
- d'établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public sur le réseau internet.

Les données traitées pour la réalisation des finalités décrites ci-dessus sont :

- identité : nom, prénoms, sexe, date de naissance, adresse, numéros de téléphone (fixe et mobile) et de télécopie, adresse de courrier électronique ;
- identité bancaire pour la gestion des dons ;
- vie associative : état des cotisations, position vis à vis de l'association, informations strictement liés à l'objet statutaire de l'association (voyez aussi le paragraphe suivant) ;
- données de connexion (date, heure, adresse Internet Protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site.

Ne peuvent bénéficier de l'exonération les traitements comportant les données suivantes :

- les données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8 de la loi du 6 janvier 1978 modifiée);
- les données concernant les infractions, condamnations ou mesures de sûreté (article 9 de la loi du 6 janvier 1978 modifiée);
- les données relatives aux difficultés sociales et économiques des personnes ;
- le numéro d'inscription au répertoire d'identification des personnes (n° INSEE ou n° de sécurité sociale).

Les traitements comportant les données listées ci-dessus font l'objet de formalités déclaratives préalables.

Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données :

a) les personnes statutairement responsables de la gestion de l'association ;
b) les services chargés de l'administration et de la gestion des membres ;
c) éventuellement les organismes gérant les systèmes d'assurance et de prévoyance, applicables aux activités de l'association.

Les données à caractère personnel ne peuvent être conservées après la démission ou la radiation, sauf accord exprès de l'intéressé.

S'agissant des donateurs, elles ne doivent pas être conservées au delà de deux sollicitations restées infructueuses.

Lorsque les données figurent dans un annuaire appelé à être diffusé...

... les adhérents doivent en être préalablement informés et doivent être mis en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées. Le droit d'opposition doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.

Lorsque les données sont utilisées à des fins de prospection...

... les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.

L'envoi de prospection commerciale par voie électronique...

... est subordonné au recueil du consentement préalable des personnes concernées. Dans ces hypothèses, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.

Si les données à caractère personnel ont été collectées via un formulaire, le droit d'opposition ou le recueil du consentement préalable doivent, selon les cas, s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.

Pour information : les coordonnées de la CNIL

Commission Nationale de l'Informatique et des Libertés
21, rue Saint Guillaume
75340 PARIS Cedex 07
http://www.cnil.fr - Téléphone : 01 53 73 22 22

http://www.actes6.com/juridique/fichiers_informatiques_cnil.htm