Déclaration Cnil : les règles à respecter
Afin de limiter les risques de dérive sur le respect de la vie privée, le législateur français a adopté la loi du 21 juin 2004, appelée Loi de la confiance dans l'économie numérique (LCEN), qui a renforcé le dispositif issu de la Loi informatique et libertés du 6 janvier 1978. Ces lois ont été remplacées en 2018 par le RGPD.
Qu'est-ce que la déclaration à la CNIL ?
Afin d'affiner leur stratégie commerciale, les entreprises ont la possibilité de recourir aux fichiers clients. Mais cette pratique permet l'identification personnelle et comporte certains dangers en matière de respect à la vie privée. De la sorte, la Loi informatique et libertés du 6 janvier 1978 imposait aux entreprises d'obtenir le consentement du destinataire afin de récupérer des informations personnelles à son sujet. La loi demande donc aux entreprises de déclarer auprès de la CNIL (Commission nationale de l'informatique et des libertés) les activités envisagées donnant lieu à un traitement de fichier contenant des données personnelles.
Depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD) à l'échelle européenne, l'obligation de recueillir le consentement du destinataire a été renforcée, et les entreprises doivent tenir des registres justifiant l'utilisation qu'elles font de chaque donnée, mais elles n'ont plus à transmettre de déclaration régulière à la Cnil.
Que faut-il déclarer à la CNIL ?
Le principe prévu par la Loi informatique et libertés du 6 janvier 1978 était le suivant : dès qu'une entreprise souhaite utiliser un fichier client contenant des informations personnelles, elle devait le déclarer à la CNIL et obtenir l'accord explicite du client. Ce principe était cependant altéré par diverses exceptions, comme les fichiers ayant seulement vocation à informer le public.
Quelles étaient les différentes déclarations ?
La CNIL met à disposition des entreprises deux types de formulaires distincts :
- Un formulaire succinct qui permettait de déclarer les opérations les plus simples. Par exemple, le formulaire simplifié n° 46 était utilisé pour le traitement courant des opérations relatives aux activités de ressources humaines.
- Un formulaire approfondi qui était indispensable pour toutes les activités ne relevant pas du premier formulaire. Il s'agit ici des déclarations autres que les déclarations de conformité, d'avis ou de demande d'autorisation.
Quels étaient les droits des clients ?
Si les entreprises utilisant des fichiers clients ont des obligations à respecter, les clients ont, pour leur part, des droits. Ces droits étaient grâce à ces deux lois de trois ordres :
- Le droit à l'information : les clients doivent être avertis que des données personnelles les concernant sont contenues dans des fichiers faisant mention de leur identité
- Le droit d'accès aux données personnelles : les clients doivent avoir la possibilité d'accéder aux fichiers en question
- Le droit de rectification : les clients doivent pouvoir disposer d'un droit de regard sur les informations les concernant afin de pouvoir éventuellement apporter les rectifications nécessaires.
Ces droits ont été confirmés et enrichis avec l'arrivée du RGPD.
De manière à rendre ces droits opposables, le responsable du fichier doit préalablement s'identifier, et communiquer son identité aux clients concernés. Il doit aussi indiquer la possibilité d'exercer le droit d'accès et de rectification au client.
Quelles étaient les sanctions encourues par les contrevenants ?
Le Code pénal prévoyait de lourdes sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 euros d'amende pour les délits suivants :
- La collecte d'informations personnelles avec des méthodes frauduleuses, déloyales ou interdites
- L'usage illicite de données
- La conservation des données sur une période plus longue que celle autorisée.