Le Traitement des Données
Personnelles au sein d’une Association |
Préambule
Une association est naturellement amenée à regrouper des informations caractère personnel sur ses membres et ce dès leur inscription en début d’année.
Il peut s’agir d’informations telles que le nom, prénom et l’adresse des membres.
Ayant un caractère personnel, ces informations doivent être protégées et la loi la loi « informatique et libertés » du 6 janvier 1978 définit les principes applicables à ces données.
«La loi informatique et libertés»
La loi du 6 janvier 1978 relative à l'informatique, aux
fichiers et aux libertés
encadre et contrôle le traitement de données à caractère
personnel.
Cette loi a été modifiée à plusieurs reprises.
En application de cette loi, les fichiers doivent être normalement déclarés auprès des services de la Commission Nationale l’Informatique et des Libertés (CNIL)
La loi « Informatique et Liberté » définit
notamment les notions suivantes :
· Les données à caractère personnel
· Le traitement de données ;
· Le responsable du traitement ;
· Le destinataire du traitement ;
· Les personnes concernées.
Définition
Les données à caractère personel
Sont considérées comme données personnelles,
les données suivantes :
- l'état civile : nom, prénom, date de naissance ;
- adresses : postales, électroniques voire même l'adresse IP d'un
ordinateur ;
- le numéro de sécurité sociale ;
- les numéros de téléphone, numéros de cartes de
paiement, plaques d'immatriculation d'un véhicule ;
- les données d'ordre biologique, telles que les empreintes digitales,
les empreintes génétiques ;
- les photographies
Ainsi, les informations demandées et récoltées dans le cadre d'une adhésion à une association sont des données personnelles.
Le traitement des données
Un traitement des données est une opération ou un
ensemble d'opérations permettant la collecte, l'enregistrement, l'organisation,
la conservation, l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication de toutes données (en espèce,
données à caractère personnel), quel que soit le procédé
utilisé.
Par extension, constitue un traitement de données, la mise à disposition,
le rapprochement ou l'interconnexion de plusieurs fichiers ainsi que, selon
le législateur, le verrouillage, l'eff cement ou la destruction desdites
données.
Ce traitement de données peut aboutir à la création d'un
fichier.
Le responsable du traitement
L'article 3 de la loi de 1978 dispose que "le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par des dispositions législatives ou règlementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalirés et ses moyens ".
Par conséquent, le responsable du traitement des données aux seins d'une associatio est par défaut le président sauf si une tierce personne est expressément désignée à l'exécution de cette tâche.
Les destinataire du traitement
Les destinataire d'un traitement de données à caractère personnel est "toute personne habilitée à recevoir communication de ces données, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données "
Ainsi au sein d'une association, les personnes susceptibles d'avoir accès aux données personnelles de l'ensemble des membres pourraient être les salariés et certains membres du comité directeur par exemple si leurs missions le justifient.
Les personnes concernées par un traitement
" La personne concernée par un traitement de données à caractère personnelle est celle à laquelle se rapportent les données qui font l'objet du traitement " (article 2 de la loi de 1978).
Par conséquent, les associations qui tiennent un fichier de leurs adhérents relèvent des dispositions de la loi de 1978.
Les règles deconstitution des fichiers
Les conditions de licéité de traitement des donnéees personnelles
Aux termes de l'article 6 de la loi de 1978, " un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ; cela implique l'information des personnes lors de la collecte des données et de l'exercice potentiel d'un droit d'opposition des personnes sur les données qui le concernent.
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé pour prendre des décisions à l'égard des personnes concernés ;
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
4° Elles sont exactes, complétes et, si nécessaires, mises à jour ; les mesures appropriées doivent être prises pour que les données inecactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
5° Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont colllectées et traitées.
Par la suite, " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, ou que des tiers non autorisés y aient accès. "
A titre d'exemple, les données collectées lors d'une inscription constituant un fichier en vue de la gestion de l'association ne peuvent être utilisées à des fins commerciales si le responsable du traitement n'a pas informé les personnes concernées au préalable.
Les formalités préalables à la mise en œuvre des traitements à caractère personnel
Ainsi, tout traitement doit être déclaré auprès de la CNIL (Pour plus de renseignement sur la procédure : www.cnil.fr). Toutefois, il existe certaines dispenses de déclaration.
La dispense concernant les traitements informatisés relatifs à la gestion des membres et des donateurs d'associations à but non lucratif
Par une délibération n°2010-229 du 10 juin 2010, la CNIL a décidé de dispenser de déclaration des traitementd informatisés relatifs à la gestion des membres et des donateurs des associations à but non lucratif.
La dispense porte uniquement sur les fichiers ayant les caractéristiques suivantes :
1. La finalité du fichier
Les traitements doivent avoir pour seules finalités :
- l'enregistrement et la mise à jour des informations individuelles nécessaires
à la gestion administrative des membres et donateurs, en particulier
la gestion des cotisations.
- d'établissement, pour répondre à des besoins de gestion,
des états statistiques ou des listes de membres ou de contacts, notamment
en vue d'adresser bulletins, convocations, journaux. Lorsque ces listes sont
sélectives, les critères retenus doivent être objectifs
et se fonder uniquement sur des caractéristiques qui correspondent à
l'objet statutaire de l'organisme ;
- d'établissement des annuaires de membres, y compris lorsque ces annuaires
sont mis à la disposition du public sur le réseau internet. Le
traitement peut avoir également pour finalité la tenue d'annuaire
d'anciens élèves ou d'étudiants ;
- la communication des opérations relatives à des actions de prospection
auprès des membres, donateurs et prospects.
Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.
2. Le type de données traitées
- l'identité : nom, prénoms, sexe, date de naissance, adresse,
numéros de téléphone (fixe et mobile) et de télécopie,
adresse de courrier électronique ;
- les informations relatives à la gestion administrative de l'organisme
: état des cotisations,
position vis-à-vis de l'association, informations strictement liées
à l'objet statutaire de l'organisme, identité bancaire pour la
gestion des dons ;
- les données de connexion (date, heure, adresse internet protocole de
l'ordinateur du visiteur, page consultée) à des seules fins statistiques
d'estimation de la fréquentation du site.
3. Les destinataires des données
- Les personnes statutairement responsables de la gestion de l'association ;
- Les services chargés de l'administration et de la gestion de l'association
;
- Eventuellement, les organismes gérant les systèmes d'assurance
et de prévoyance, applicables aux activités de l'association.
4. La durée de conservation.
La durée de coservation doivent être limitée à l'adhésion
de l'individu concerné à l'association et les données ne
peuvent être conservées après sa démission, sa radiation
ou son décès..
Tout fichier qui ne remplirait pas ces critères échappe à la dispense de déclaration et reste soumis à déclaration.
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022443981
Comment informer au mieux les adhérents de la constitution de fichiers de données à caractère personnel ?
L'association doit indiquer aux membres, lors de l'adhésion
:
- L'identité du responsable du traitement ;
- Les finalités poursuivies par le traitement ;
- Le caractère facultatif ou obligatoire des réponses à
apporter ;
- Les conséquences éventuelles d'un défaut de réponse
de leur part ;
- Les destinataires des données ;
- Les droits d'opposition, d'accès et de rectification et les modalités
d'exercice de ces droits.
Le droit d'opposition, d'accès et de rectification
Lorsque les données récoltées peuvent être
amenées à être diffusées ou utilisées à
des fins de prospection, les personnes doivent être préalablement
informées de cette intention et doivent être en mesure de s'opposer
à ce que tout ou partie des données les concernant soient publiées.
Le droit d'opposition doit s'exprimer par un moyen simple tel que l'apposition
d'une case à cocher.
Le droit d'accès et de rectification est le droit reconnu à toute personne de demander au détenteur d'un fichier de lui communiquer toutes informations la concernant. Ce droit permet à la personne concernée de vérifier les informations enregistrées dans un traitement et, le cas échéant, de faire rectifier les informations erronées.
Proposition de note d'information sur les bulletins d'adhésion " Les informations recueillizs sont nécessaires pour votre adhésion. Elles font l'objet d'un traitement informatique et sont destinées au secrétariat de l'association. En application des articles 39 et suivants de la loi du 6 janvier 1978 modifiée, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à ............ " |
Une association peut-elle céder, louer ou vendre le fichier de ses adhérents à des fins commerciales ?
OUI. La loi "informatique et libertés"
n'interdit pas cette pratique. Il y a toutefois des précautions à
prendre :
Il faut d’abord informer les adhérents de cette possible revente
de leurs coordonnées à des fins commerciales et leur permettre
de s'y opposer. Cette opposition peut se faire par exemple au moyen d'une case
à cocher figurant sur le bulletin d'adhésion.
Une association peut-elle diffuser sur son site web l'annuaire de ses adhérents
?
Une association peut-elle diffuser sur son site web l'annuaire de ses
adhérents ?
OUI. Dans ce cas, comme pour la réponse précédente,
les adhérents doivent en être informés au préalable.
Ils ont tout à fait le droit de s'opposer à une telle diffusion
compte-tenu des risques particuliers de capture des informations diffusées
sur le web.
La CNIL propose des mentions type à faire figurer sur les bulletins d’adhésion
pour bien informer les adhérents de leurs droits.
Mention d'information à inscrire sur le bulletin d'adhésion
Les informations recueillies sont nécessaires pour votre adhésion.
Elles font l'objet d'un traitement informatique et sont destinées au
secrétariat de l'association. En application des articles 39 et suivants
de la loi du 6 janvier 1978 modifiée, vous bénéficiez d'un
droit d'accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations
vous concernant, veuillez vous adresser à ......... [indiquez-ici le
service en charge de traiter les demandes]
Il arrive que des mairies demandent aux associations de leur transmettre
le fichier de ses adhérents en vue d'obtenir des subventions ? Est-ce
légal ?
NON. Un maire ne peut pas demander, même au titre de la subvention
qu'il accorde à une association, la liste nominative des adhérents.
Une telle pratique est contraire au principe constitutionnel de la liberté
d'association.
En revanche, les mairies peuvent demander, au titre du contrôle des subventions
qu'elles versent aux associations, la copie certifiée du budget et des
comptes de l'exercice écoulé, ainsi que la communication de tous
les documents faisant apparaître les résultats de l'activité
de l'association.
Un membre d'association peut-il exiger la communication de la liste
de tous les autres adhérents ?
OUI, si les statuts de l’association prévoient cette possibilité.
Une association est en effet libre de préciser dans ses statuts que l'adhésion
implique d’accepter que ses coordonnées puissent être communiquées
à tout adhérent qui en fait la demande, à la condition
que cette communication ait un lien direct avec l’activité de l'association.
Dans ce cas, un membre ne peut s’opposer à cette diffusion.
Lors du renouvellement du bureau d’une association, un candidat
peut-il obtenir la liste des adhérents ?
OUI. Si les statuts de l’association le prévoient,
tout candidat peut demander que la liste des adhérents lui soit transmise,
à partir du moment où il s'engage à ne pas l'utiliser à
d'autres fins que l'élection et à la détruire à
la fin des opérations électorales.
Les membres du bureau d’une association, dont les statuts ont
été déposés en préfecture, peuvent ils s’opposer
à la diffusion de leurs identités et coordonnées ?
NON. La loi du 1er juillet 1901 relative au contrat d’association prévoit
qu’une association ne peut obtenir la capacité juridique qu’en
rendant publics, par une insertion au Journal officiel, son titre, son objet,
l’adresse de son siège et les noms, professions, domiciles et nationalités
de ceux qui sont chargés de son administration. Cette diffusion peut
aussi se faire sur en ligne via la version Internet du journal Officiel.
Néanmoins, des mesures techniques empêchent d’accéder
directement à la page de l’association concernée lorsqu’on
interroge les différents moteurs de recherche sur la base de l’identité
des membres de son bureau.
Les fichiers de membres et donateurs d’une association doivent-ils
être déclarés à la CNIL ?
NON, ces fichiers sont dispensés de déclaration à
la CNIL.
Attention, être dispensé de déclaration n’exonère
pas pour autant des obligations que la loi informatique et libertés
impose aux responsables de fichiers. Cela signifie qu’il faut informer
les personnes qu’un fichier est constitué et qu’elles ont
un droit d’accès aux informations qui les concernent. Enfin bien
sûr, le responsable du fichier doit prendre toutes les mesures utiles
afin d’assurer la sécurité des informations personnelles
collectées.
https://www.cnil.fr/fr/les-fichiers-des-associations-en-questions
CNIL |
Les sanctions pénales
CODE PÉNAL (Partie Législative)
Section 5 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
Articles 226-16 à 226-24 du Code pénal modifiés
par la loi du 6 août 2004
Article 226-17-1 créé par l'article 39 de l'ordonnance n°2011-1012
du 24 août 2011
Article 226-19 modifié par l'article 4 de la loi n° 2012-954 du 6
août 2012
Article 226-24 modifié par l'article 124 de la loi n°209-526 du 12
mai 2009
Art. 226-16
Le fait, y compris par négligence, de procéder ou de faire procéder
à des traitements de données à caractère personnel
sans qu’aient été respectées les formalités
préalables à leur mise en œuvre prévues par la loi est
puni de cinq ans d’emprisonnement et de 300 000 € d’amende.
Est puni des mêmes peines le fait, y compris par négligence,
de procéder ou de faire procéder à un traitement qui a
fait l’objet de l’une des mesures prévues au 2° du I
de l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés.
Art. 226-16-1 A
Lorsqu’il a été procédé ou fait procéder
à un traitement de données à caractère personnel
dans les conditions prévues par le I ou le II de l’article 24 de
la loi n° 78-17 du 6 janvier 1978 précitée, le fait de ne
pas respecter, y compris par négligence, les normes simplifiées
ou d’exonération établies à cet effet par la Commission
nationale de l’informatique et des libertés
est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.
Art. 226-16-1
Le fait, hors les cas où le traitement a été autorisé
dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978
précitée, de procéder ou faire procéder à
un traitement de données à caractère personnel incluant
parmi les données sur lesquelles il porte le numéro d’inscription
des personnes au répertoire national d’identification des personnes
physiques, est puni de cinq ans d’emprisonnement et de 300 000 €
d’amende.
Art. 226-17
Le fait de procéder ou de faire procéder à un traitement
de données à caractère personnel sans mettre en œuvre
les mesures prescrites à l’article 34 de la loi n° 78-17 du
6 janvier 1978 précitée est puni de cinq ans d’emprisonnement
et de 300 000 € d’amende.
Art. 226-17-1
Le fait pour un fournisseur de services de communications électroniques
de ne pas procéder à la notification d'une violation de données
à caractère personnel à la Commission nationale de l'informatique
et des libertés ou
à l'intéressé, en méconnaissance des dispositions
du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni
de cinq ans d'emprisonnement et de 300 000 € d'amende.
Art. 226-18
Le fait de collecter des données à caractère
personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq
ans d’emprisonnement et de 300 000 € d’amende.
Art. 226-18-1
Le fait de procéder à un traitement de données à
caractère personnel concernant une personne physique malgré l’opposition
de cette personne, lorsque ce traitement répond à des fins de
prospection, notamment commerciale, ou lorsque cette opposition est fondée
sur des motifs légitimes, est puni de cinq ans d’emprisonnement
et de 300 000 € d’amende.
Art. 226-19
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en
mémoire informatisée, sans le consentement exprès de l’intéressé,
des données à caractère personnel qui, directement ou indirectement,
font apparaître les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, ou les appartenances syndicales des personnes,
ou qui sont relatives à la santé ou à l’orientation
ou à l'identité sexuelle de celles-ci, est puni de cinq ans d’emprisonnement
et de 300 000 € d’amende.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.
Art. 226-19-1
En cas de traitement de données à caractère personnel ayant
pour fin la recherche dans le domaine de la santé, est puni de cinq ans
d’emprisonnement et de 300 000 € d’amende le fait de procéder
à un traitement :
Sans avoir préalablement informé individuellement les
personnes sur le compte desquelles des données à caractère
personnel sont recueillies ou transmises de leur droit d’accès,
de rectification et d’opposition, de la nature des données transmises
et des destinataires de celles-ci ;
Malgré l’opposition de la personne concernée ou, lorsqu’il
est prévu par la loi, en l’absence du consentement
éclairé et exprès de la personne, ou s’il s’agit
d’une personne décédée,
malgré le refus exprimé par celle-ci de son vivant.
Art. 226-20
Le fait de conserver des données à caractère personnel
au-delà de la durée prévue par la loi ou le règlement,
par la demande d’autorisation ou d’avis, ou par la déclaration
préalable adressée à la Commission nationale de l’informatique
et des libertés,
est puni de cinq ans d’emprisonnement et de 300 000 € d’amende,
sauf si cette conservation est effectuée à des fins historiques,
statistiques ou scientifiques dans les conditions prévues par la loi.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.
Art. 226-21
Le fait, par toute personne détentrice de données à caractère
personnel à l’occasion de leur enregistrement, de leur classement,
de leur transmission ou de toute autre forme de traitement, de détourner
ces informations de leur finalité telle que définie par la disposition
législative, l’acte réglementaire ou la décision
de la Commission nationale de l’informatique et des libertés
autorisant le traitement automatisé, ou par les déclarations préalables
à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement
et de 300 000 € d’amende.
Art. 226-22
Le fait, par toute personne qui a recueilli, à l’occasion de leur
enregistrement, de leur classement, de leur transmission ou d’une autre
forme de traitement, des données à caractère personnel
dont la divulgation aurait pour effet de porter atteinte à la considération
de l’intéressé ou à l’intimité de sa
vie privée, de porter, sans autorisation de l’intéressé,
ces données à la connaissance
d’un tiers qui n’a pas qualité pour les recevoir est puni
de cinq ans d’emprisonnement et de 300 000 € d’amende.
La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 € d’amende lorsqu’elle a été commise par imprudence ou négligence.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Art. 226-22-1
Le fait, hors les cas prévus par la loi, de procéder ou de faire
procéder à un transfert de données à caractère
personnel faisant l’objet ou destinées à faire l’objet
d’un traitement vers un État n’appartenant pas à la
Communauté européenne en violation des mesures prises par la Commission
des Communautés européennes ou par la Commission nationale de
l’informatique et des libertés
mentionnées à l’article 70 de la loi n° 78-17 du 6 janvier
1978 précitée est puni de cinq ans d’emprisonnement et de
300 000 € d’amende.
Art. 226-22-2
Dans les cas prévus aux articles 226-16 à 226-22-1, l’effacement
de tout ou partie des données à caractère personnel faisant
l’objet du traitement ayant donné lieu à l’infraction
peut être ordonné. Les membres et les agents de la Commission nationale
de l’informatique et des libertés
sont habilités à constater l’effacement de ces données.
Art. 226-23
Les dispositions de l’article 226-19 sont applicables aux traitements
non automatisés de données à caractère personnel
dont la mise en œuvre ne se limite pas à l’exercice d’activités
exclusivement personnelles.
Art. 226-24
Les personnes morales déclarées responsables pénalement,
dans les conditions prévues par l'article 121-2, des infractions définies
à la présente section encourent, outre l'amende, suivant les modalités
prévues par l'article 131-38, les peines prévues par les 2º
à 5º et 7º à 9º de l'article 131-39.
L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.
Les articles 50 à 52 de la loi n°78-17 du 6 janvier 1978 modifiée (Chapitre VIII - Dispositions pénales)
Article 51 modifiée par l'article 7 de la loi n°2011-334 du 29 mars 2011
Article 50
Les infractions aux dispositions de la présente loi sont prévues
et réprimées par les articles 226-16 à 226-24 du code pénal.
Article 51
Est puni d’un an d’emprisonnement et de 15 000 € d’amende
le fait d’entraver l’action de la Commission nationale de l’informatique
et des libertés :
Soit en s’opposant à l’exercice des missions confiées
à ses membres ou aux agents habilités en application du dernier
alinéa de l’article 19 lorsque la visite a été autorisée
par le juge ;
Soit en refusant de communiquer à ses membres ou aux agents habilités
en application du dernier alinéa de l’article 19 les renseignements
et documents utiles à leur mission, ou en dissimulant lesdits documents
ou renseignements, ou en les faisant disparaître ;
Soit en communiquant des informations qui ne sont pas conformes au contenu des
enregistrements tel qu’il était au moment où la demande
a été formulée ou qui ne présentent pas ce contenu
sous une forme directement accessible.
Article 52
Le procureur de la République avise le président de la Commission
nationale de l’informatique et des libertés
de toutes les poursuites relatives aux infractions aux dispositions de la section
5 du chapitre VI du titre II du livre II du code pénal et, le cas échéant,
des suites qui leur sont données. Il l’informe de la date et de
l’objet de l’audience de jugement par lettre recommandée
adressée au moins dix jours avant cette date.
La juridiction d’instruction ou de jugement peut appeler le président de la Commission nationale de l’informatique et des libertés ou son représentant à déposer ses observations ou à les développer oralement à l’audience.
CODE PÉNAL (Partie Réglementaire)
Section 6 Des atteintes aux droits de la personne résultant des fichiers
ou des traitements informatiques
Articles R. 625-10 à R. 625-13 du Code pénal insérés
par le décret du 20 octobre 2005
Article R. 625-13 modifié par l'article 4 du décret n°2010-171
du 18 juin 2010
Art. R. 625-10
Lorsque cette information est exigée par la loi, est puni de l’amende
prévue pour les contraventions de la cinquième classe le fait,
pour le responsable d’un traitement automatisé de données
à caractère personnel :
1. De ne pas informer la personne auprès de laquelle
sont recueillies des données à caractère personnel la concernant
:
a. De l’identité du responsable du traitement
et, le cas échéant, de celle de son représentant ;
b. De la finalité poursuivie par le traitement auquel
les données sont destinées ;
c. Du caractère obligatoire ou facultatif des réponses
;
d. Des conséquences éventuelles, à son
égard, d’un défaut de réponse ;
e. Des destinataires ou catégories
de destinataires des données ;
f. De ses droits d’opposition, d’interrogation,
d’accès et de rectification ;
g. Le cas échéant, des transferts de données
à caractère personnel envisagés à destination d’un
État non membre de la Communauté européenne ;
2. Lorsque les données sont recueillies par voie de
questionnaire, de ne pas porter sur le questionnaire les informations relatives
:
1. A l’identité du responsable du traitement et, le cas échéant,
à celle de son représentant ;
2. A la finalité poursuivie par le traitement auquel les données
sont destinées ;
3. Au caractère obligatoire ou facultatif des réponses ;
4. Aux droits d’opposition, d’interrogation, d’accès
et de rectification des personnes auprès desquelles sont recueillies
les données ;
3. De ne pas informer de manière claire et précise
toute personne utilisatrice des réseaux de communications électroniques
:
1. De la finalité de toute action tendant à accéder, par
voie de transmission électronique, à des informations stockées
dans son équipement terminal de connexion ou à inscrire, par la
même voie, des informations dans son équipement terminal de connexion
;
2. Des moyens dont elle dispose pour s’y opposer ;
4. De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n’ont pas été recueillies auprès d’elle, les informations énumérées au 1° et au 2° dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.
Art. R. 625-11
Est puni de l’amende prévue pour les contraventions de
la cinquième classe le fait, pour le responsable d’un traitement
automatisé de données à caractère personnel, de
ne pas répondre aux demandes d’une personne physique justifiant
de son identité qui ont pour objet :
1. La confirmation que des données à caractère personnel
la concernant font ou ne font pas l’objet de ce traitement ;
2. Les informations relatives aux finalités du traitement, aux catégories
de données à caractère personnel traitées et aux
destinataires ou aux catégories de destinataires auxquels les données
sont communiquées ;
3. Le cas échéant, les informations relatives aux transferts de
données à caractère personnel envisagés à
destination d’un État non membre de la Communauté européenne
;
4. La communication, sous une forme accessible, des données à
caractère personnel qui la concernent ainsi que de toute information
disponible quant à l’origine de celles-ci ;
5. Les informations permettant de connaître et de contester la logique
qui sous-tend le traitement automatisé en cas de décision prise
sur le fondement de celui-ci et produisant des effets juridiques à l’égard
de l’intéressé.
Est puni de la même peine le fait de refuser de délivrer, à la demande de l’intéressé, une copie des données à caractère personnel le concernant, le cas échéant, contre paiement d’une somme qui ne peut excéder le coût de la reproduction.
Les contraventions prévues par le présent article ne
sont toutefois pas constituées si le refus de réponse est autorisé
par la loi soit afin de ne pas porter atteinte au droit d’auteur, soit
parce qu’il s’agit de demandes manifestement abusives, notamment
par leur nombre, leur caractère répétitif ou systématique,
soit parce que les données à caractère personnel sont conservées
sous une forme excluant manifestement tout risque d’atteinte à
la vie privée des personnes concernées et pendant une durée
n’excédant pas celle nécessaire aux seules finalités
d’établissement de statistiques ou de recherche scientifique ou
historique.
Art. R. 625-12
Est puni de l’amende prévue pour les contraventions de
la cinquième classe le fait, pour le responsable d’un traitement
automatisé de données à caractère personnel, de
ne pas procéder, sans frais pour le demandeur, aux opérations
demandées par une personne physique justifiant de son identité
et qui exige que soient rectifiées, complétées, mises à
jour, verrouillées ou effacées les données à caractère
personnel la concernant ou concernant la personne décédée
dont elle est l’héritière, lorsque ces données sont
inexactes, incomplètes, équivoques, périmées, ou
lorsque leur collecte, leur utilisation, leur communication ou leur conservation
est interdite.
Art. R. 625-13
La récidive des contraventions prévues par la présente
section est réprimée conformément aux articles 132-11 et
132-15.
https://www.cnil.fr/fr/les-sanctions-penales
Données personnelles : Attention aux sanctions
Par Noémie SALLE, Juriste | Mis à jour le 05/08/2015 | Publié le 07/05/2012
Une absence de déclaration à la Commission nationale de l'informatique et des libertés (CNIL) peut avoir de lourdes conséquences pour les entreprises. Les sanctions prévues peuvent aller du simple avertissement à la peine d'emprisonnement assortie d'une amende élevée. En cas de sanction, sachez que des recours existent et qu'un avocat peut vous aider.
Une absence de déclaration à la CNIL
Tout fichier sous format papier ou informatisé comportant des données à caractère personnel doit en principe être déclaré à la CNIL. Il existe différents degrés de déclaration :
- Exonération de déclaration : certains fichiers
contenant des données personnelles sont dispensés de formalités
déclaratives auprès de la CNIL : la comptabilité générale,
les activités des comités d'entreprise et d'établissement,
la paie du personnel dans le secteur privé, les fichiers de fournisseurs,
les fichiers de communication non commerciale, etc.
- Déclaration simplifiée : il suffit de remplir
un formulaire, en ligne sur le site de la CNIL. C'est le cas par exemple de
la mise en place de fichiers clients par une entreprise privée.
- L'autorisation préalable : le traitement de données
présentant un risque particulier d'atteinte aux droits et libertés
de la personne doivent obtenir une autorisation de la CNIL (le ministre compétent
va rendre un arrêté après avis de la CNIL). C'est le cas
par exemple lors de l'utilisation d'un système biométrique.
L'article 226-16 du Code pénal précise bien que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300.000 Euros d'amende ».
La diversité des sanctions
La CNIL peut prononcer des sanctions administratives (avertissement, mise en demeure, une injonction de cesser le traitement, un retrait de l'autorisation,…). Elle peut également infliger des sanctions pécuniaires pouvant aller jusqu'à 150.000 euros, voire 300.000 euros en cas de manquement réitéré. S'il s'agit d'une entreprise, la sanction pécuniaire peut aller jusqu'à 5% du chiffre d'affaires.
Il existe également des sanctions pénales qui peuvent être lourdes. Le Code pénal sanctionne de nombreux comportements. Par exemple, la divulgation d'informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100.000 € d'amende. Le non-respect de l'obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300.000 € d'amende. La communication d'informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300.000 € d'amende.
La responsabilité civile du responsable du traitement peut être engagée sur le fondement de l'article 1382 du Code civil en raison du préjudice direct et personnel subi par la personne victime des négligences.
Des recours possibles
Il faut savoir qu'il existe des recours contre toute sanction. Il ne faut donc pas hésiter à faire appel à un avocat surtout lorsque l'on voit le montant des sommes en jeu et les peines encourues.
Le Conseil d'État peut être saisi d'une demande afin d'obtenir la suspension d'une sanction de la CNIL (article L. 521-1 du Code de justice administrative). Pour les sanctions civiles et pénales un recours sera toujours possible.
Les données à caractère personnel doivent faire l'objet d'un traitement spécifique. La CNIL encadre strictement le traitement de ces données. Il ne faut pas oublier de déclarer vos fichiers contenant de telles données sous peine d'être exposé à des sanctions. L’avocat peut être d’un grand secours dans la mesure où il peut se révéler être un correspondant informatique et liberté de choix.
http://www.avocats-picovschi.com/donnees-personnelles-attention-aux-sanctions_article_869.htm
Les fichiers informatiques de l'association
(La Commission Nationale de l'Informatique et des Libertés)
1. Un grand principe
L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
2. Formalités préalables à la mise en œuvre de traitements automatisés
Avant d'énumérer les formalités préalables à
la constitution d'un fichier informatique, voici quelques définitions
posées par la loi :
- Constitue une " donnée à caractère personnel
" toute information relative à une personne physique identifiée
ou qui peut être identifiée, directement ou indirectement, par
référence à un numéro d'identification ou à
un ou plusieurs éléments qui lui sont propres .
- Constitue un " traitement de données à caractère
personnel " toute opération ou tout ensemble d'opérations
portant sur de telles données, quel que soit le procédé
utilisé, et notamment la collecte, l'enregistrement, l'organisation,
la conservation, l'adaptation ou la modification, l'extraction, la consultation,
l'utilisation, la communication par transmission, diffusion ou toute autre forme
de mise à disposition, le rapprochement ou l'interconnexion, ainsi que
le verrouillage, l'effacement ou la destruction.
- Constitue un " fichier de données à caractère
personnel " tout ensemble structuré et stable de données
à caractère personnel accessibles selon des critères déterminés.
Préalablement à leur mise en œuvre, les traitements de données à caractère personnel doivent faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL) sauf cas d'exonération de déclaration (Voir ci-après).
La dispense de déclaration n'exonère le responsable de tels traitements
d'aucune de ses autres obligations prévues par les textes applicables
à la protection des données à caractère personnel.
Plus loin, sont reproduits quelques dispositions de la loi " informatique
et libertés "
s'appliquant à tout traitement de données à caractère
personnel.
3. Collecte, enregistrement et conservation des données à caractère personnel - Droit d'accès
1) Le fait
de collecter des données à caractère personnel par un moyen
frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement
et de 300 000 € d'amende.
(Article 226-18 du code pénal)
2) (Article 38 de la loi du 6 janvier 1978) Toute personne physique a le droit de s'opposer, pour des raisons légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.
3) (Article 32 de la loi du 6 janvier 1978) Les personnes
auprès desquelles sont recueillies des données à caractère
personnel doivent être informées :
- de l'identité du responsable du traitement et, le cas échéant,
de celle de son représentant ;
- de la finalité poursuivie par le traitement auquel les données
sont destinées ;
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences éventuelles, à son égard, d'un
défaut de réponse ;
- des destinataires ou catégories de destinataires des données
;
- de l'existence d'un droit d'accès et de rectification ;
- le cas échéant, des transferts de données à caractère
personnel envisagés à destination d'un État non membre
de la Communauté européenne.
Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci doivent porter mention de ces prescriptions.
Exemple :
Les informations recueillies sont nécessaires pour […]. Elles font
l'objet d'un traitement informatique et sont destinées à […].
En application de la loi du 6 janvier 1978, vous bénéficiez d'un
droit d'accès et de rectification aux informations qui vous concernent.
Si vous souhaitez exercer ce droit et obtenir communication des informations
vous concernant, veuillez vous adresser à […]
Le droit d'accès donne à toute personne le droit
d'interroger le responsable d'un traitement de données à caractère
personnel en vue d'obtenir :
- la confirmation que des données à caractère personnel
la concernant font ou ne font pas l'objet de ce traitement ;
- des informations relatives aux finalités du traitement, aux catégories
de données à caractère personnel traitées et aux
destinataires ou aux catégories de destinataires auxquels les données
sont communiquées.
(Article 40 de la loi du 6 janvier 1978) Toute personne physique peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite
4) (Article 36 de la loi du 6 janvier 1978) Au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées, les informations ne peuvent être conservées qu'en vue de leur traitement à des fins historiques, statistiques ou scientifiques.
5) (Article 34 de la loi du 6 janvier 1978) Toute personne
ordonnant ou effectuant un traitement de données à caractère
personnel s'engage de ce fait, vis-à-vis des personnes concernées,
à prendre toutes précautions utiles afin de préserver
la sécurité des informations et notamment d'empêcher
qu'elles ne soient déformées, endommagées ou communiquées
à des tiers non autorisés.
Autrement dit : des dispositions doivent être prises pour assurer la sécurité
et la confidentialité des informations : ordinateurs situés dans
un local fermé à clef, contrôle des accès au(x) logiciel(s)
par mots de passe individuels , etc. …
La responsabilité pénale du dirigeant peut être engagée s’il ne met pas en œuvre dans son association les mesures adéquates pour préserver la sécurité des données informatiques à caractère personnel.
L’article L.226-17 du Code Pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende.
6) Le principe de finalité doit être
respecté : Un traitement de données à caractère
personnel est créé pour atteindre un certain objectif. Son contenu
doit correspondre à cet objectif et ne pas servir à d'autres fins.
Le choix des données que l'on décide d'enregistrer, la durée
de leur conservation et les catégories de personnes qui peuvent en avoir
communication doivent être déterminés en fonction de la
finalité du traitement.
Lors des formalités préalables auprès de la CNIL, le responsable
d'un traitement doit indiquer clairement sa ou ses finalités.
" Le fait, par toute personne détentrice de données à
caractère personnel à l'occasion de leur enregistrement, de leur
classement, de leur transmission ou de toute autre forme de traitement, de détourner
ces informations de leur finalité… est puni de cinq ans d'emprisonnement
et de 300 000 € d'amende. "
(Article 226-21 du code pénal)
4. Exonération de déclaration
Les fichiers des membres et correspondants (sympathisants, donateurs, bénévoles,
etc.) des églises ou groupements à caractère religieux,
philosophique, politique
ou syndical n'ont pas à être déclarés à la
CNIL sous réserve que le traitement des données :
- correspond à l'objet de l'organisme ;
(Exemple : une association cultuelle ne peut enregistrer les opinions philosophiques,
politiques ou syndicales
de ses membres.)
- ne concerne que les membres de cette association ou de cet organisme et, le
cas échéant, les personnes qui entretiennent avec celui-ci des
contacts réguliers dans le cadre de son activité ;
- ne porte que sur des données non communiquées à des tiers,
à moins que les personnes concernées n'y consentent expressément.
5.Gestion des membres et des donateurs des associations de la loi 1901
Sont dispensés de déclaration les traitements de données à caractère personnel relatifs à la gestion des membres et des donateurs des associations à but non lucratif régies par la loi du 1er juillet 1901 comportant des données sur des personnes physiques qui répondent à certaines conditions. Entre autre :
Les traitements doivent avoir pour seules finalités :
- l'enregistrement et la mise à jour des informations individuelles
nécessaires à la gestion administrative des membres et donateurs,
en particulier la gestion des cotisations,
conformément aux dispositions statutaires qui régissent les intéressés
;
- d'établir, pour répondre à des besoins de gestion, des
états statistiques ou des listes de membres, notamment en vue d'adresser
bulletins, convocations, journaux. Lorsque ces listes sont sélectives,
les critères retenus doivent être objectifs et se fonder uniquement
sur des caractéristiques qui correspondent à l'objet statutaire
de l'association.
- d'établir des annuaires de membres, y compris lorsque ces annuaires
sont mis à la disposition du public sur le réseau internet.
Les données traitées pour la réalisation des finalités décrites ci-dessus sont :
- identité : nom, prénoms, sexe, date de naissance, adresse,
numéros de téléphone (fixe et mobile) et de télécopie,
adresse de courrier électronique ;
- identité bancaire pour la gestion des dons ;
- vie associative : état des cotisations,
position vis à vis de l'association, informations strictement liés
à l'objet statutaire de l'association (voyez aussi le paragraphe suivant)
;
- données de connexion (date, heure, adresse Internet Protocole de l'ordinateur
du visiteur, page consultée) à des seules fins statistiques d'estimation
de la fréquentation du site.
Ne peuvent bénéficier de l'exonération les traitements comportant les données suivantes :
- les données qui font apparaître, directement ou indirectement,
les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou
qui sont relatives à la santé ou à la vie sexuelle de celles-ci
(article 8 de la loi du 6 janvier 1978 modifiée);
- les données concernant les infractions, condamnations ou mesures de
sûreté (article 9 de la loi du 6 janvier 1978 modifiée);
- les données relatives aux difficultés sociales et économiques
des personnes ;
- le numéro d'inscription au répertoire d'identification des personnes
(n° INSEE ou n° de sécurité sociale).
Les traitements comportant les données listées ci-dessus font l'objet de formalités déclaratives préalables.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données :
a) les personnes statutairement responsables de la gestion de l'association
;
b) les services chargés de l'administration et de la gestion des membres
;
c) éventuellement les organismes gérant les systèmes d'assurance
et de prévoyance, applicables aux activités de l'association.
Les données à caractère personnel ne peuvent être conservées après la démission ou la radiation, sauf accord exprès de l'intéressé.
S'agissant des donateurs, elles ne doivent pas être conservées au delà de deux sollicitations restées infructueuses.
Lorsque les données figurent dans un annuaire appelé à être diffusé...
... les adhérents doivent en être préalablement informés et doivent être mis en mesure de s'opposer à ce que tout ou partie des données les concernant soient publiées. Le droit d'opposition doit s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.
Lorsque les données sont utilisées à des fins de prospection...
... les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.
L'envoi de prospection commerciale par voie électronique...
... est subordonné au recueil du consentement préalable des personnes concernées. Dans ces hypothèses, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.
Si les données à caractère personnel ont été collectées via un formulaire, le droit d'opposition ou le recueil du consentement préalable doivent, selon les cas, s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.
Pour information : les coordonnées de la CNIL
Commission Nationale de l'Informatique et des Libertés
21, rue Saint Guillaume
75340 PARIS Cedex 07
http://www.cnil.fr - Téléphone
: 01 53 73 22 22
http://www.actes6.com/juridique/fichiers_informatiques_cnil.htm