Etes-vous en conformité avec la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ??

- Vérifiez-le!
Modèles de lettre Vos obligations
  1. Les obligations du service public
    1. Obligation d'information
    2. Obligation de garantir le droit d’accès
    3. Obligation de garantir le droit d’opposition
    4. Obligation de rectification et de suppression
    5. Obligation de confidentialité
    6. Obligation de sécurité
  2. Les obligations des entreprises
    1. Obligation d’information
    2. Obligation de garantir le droit d’opposition
    3. Obligation de rectification et de suppression
    4. Obligation de confidentialite
    5. Obligation de sécurité
    6. Obligation de conservation
    7. Obligation de de pérennité

Etes-vous en conformité à la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ?

Vous êtes concernés par la loi si :

  • Vous êtes un responsable de traitement, c’est-à-dire que si vous prenez l’initiative de collecter et de traiter des données à caractère personnel et d’en déterminer la finalité ;
  • Vous traitez des données à caractère personnel, c’est-à-dire toute information qui concerne une personne physique et permet de l’identifier directement ou indirectement (nom, prénom, adresse postale ou courriel, date de naissance, n° tél. ou de sécurité sociale Immatriculation, adresse IP, compte bancaire, ADN, empreintes, photos, vidéos, etc.

Sanctions : En cas de contrôle vous risquez des amendes voire des peines de prison.

Vos obligations

Le responsable d’un traitement des données à caractère personnel est tenu par une obligation de confidentialité,de sécurisé, de conservation et de pérennité des informations collectées.

Les obligations du service public

Obligation d'information

Chacun a un droit de regard sur vos données personnelles. Toutefois, le droit à l’information ne s’applique pas :

  • aux données recueillies et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement
  • lorsque le traitement est nécessaire à la prévention, la recherche, la constatation et la poursuite de toute infraction
  • lorsque le traitement est nécessaire à la prise en compte d’un intérêt économique ou financier important de l’Etat, y compris dans les domaines monétaire, budgétaire, douanier et fiscal.

Obligation de garantir le droit d’accès

Chacun a le droit de savoir si ses données personnelles font l’objet d’un traitement. Toutefois, lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, le droit d’accès s’exerce de manière indirecte. Il appartient à la CDP, saisie de la demande d’accès de désigner l’un de ses membres pour mener les investigations nécessaires. Par la suite, il sera notifié au requérant, sauf dispositions législatives et réglementaires contraires, le résultat des vérifications effectuées.

Obligation de garantir le droit d’opposition

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Toutefois, le droit d’opposition ne s'applique pas lorsque le traitement répond à une obligation légale.

Obligation de rectification et de suppression

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Obligation de confidentialite

Le traitement des données est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions. Le responsable du traitement assure la disponibilité et l’exactitude des données collectées. Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Un engagement écrit (clauses de confidentialité) des personnes concernées, y compris les sous-traitants, est obligatoire.

Obligation de sécurité

Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

    Il prend, en particulier, toute mesure visant à :
  • garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence
  • garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises
  • garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne
  • empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données
  • empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée
  • empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées
  • empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données
  • empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée
  • sauvegarder les données par la constitution de copies de sécurité
  • rafraîchir et si nécessaire convertir les données pour un stockage pérenne
  • éviter des erreurs techniques ou la destruction accidentelle ou non autorisée des données à caractère
  • empêcher la falsification, le vol ou l’utilisation illicite des données à caractère personnel.

L’obligation de sécurité est une exigence majeure aux yeux du législateur. C’est pourquoi le dossier de demande d’avis, d’autorisation ou de déclaration adressé à la Commission des Données personnelles doit impérativement comporter tous les éléments permettant à celle-ci d’apprécier les mesures de sécurité prises par le responsable du traitement, telles que :

  • les mesures de sécurité physique et logique
  • la description complète de l’architecture
  • le schéma des flux des données collectées et traitées
  • le cas échéant, la copie des clauses de confidentialité conclues avec les sous traitants

Les obligations des entreprises

Obligation d’information

Toute personne physique ou morale de droit privé effectuant un traitement doit informer et fournir aux personnes concernées, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations suivantes :

  • son identité et, le cas échéant, celle de son représentant
  • la ou les finalités du traitement auquel les données sont destinées
  • les catégories de données concernées
  • le ou les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées
  • le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que lesconséquences éventuelles d’un défaut de réponse
  • le fait de pouvoir demander à ne plus figurer sur le fichier
  • l’existence d’un droit d’accès aux données la concernant et de rectification de ces données
  • la durée de conservation des données
  • le cas échéant, l’éventualité de transferts de données à caractère personnel à destination de l’étranger.

Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, les informations visées ci-dessus sont transmises à ladite personne au moment de l’enregistrement des données ou, si leur communication est prévue, au plus tard lors de la première communication.

Obligation de garantir le droit d’opposition

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement par toute personne physique ou morale de droit privé.

Toute personne physique ou morale de droit privé doit, d’une part, informer la personne concernée avant toute communication à des tiers des données la concernant, notamment à des fins de prospection. L’exercice de ce droit est gratuit.

Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document grâce auquel il collecte les données, si elle souhaite exercer le droit d'opposition.

Lorsque les données à caractère personnel ne sont pas obtenues auprès de la personne concernée, le responsable du traitement lui demande, quel que soit le support, si elle souhaite exercer le droit d’opposition.

Les pénalités (Loi n°2008-11 du 25 janvier 2008 sur la cybercriminalité): Article 431-23 Code pénal

Obligation de rectification et de suppression

Toute personne physique ou morale de droit privé effectuant un traitement portant sur les données personnelles doit, à la demande par écrit de toute personne physique justifiant de son identité, rectifier, compléter, mettre à jour, verrouiller ou supprimer les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Si les données ont été transmises à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations à effectuer.

Lorsque la personne concernée demande par écrit la rectification ou la suppression d’un fichier le concernant, quel que soit le support, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé à la rectification ou à la suppression exigée par le requérant dans un délai d’un (1) mois après l’enregistrement de la demande.

Obligation de confidentialite

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions.

Le responsable du traitement des données à caractère personnel assure la confidentialité, la disponibilité et l’exactitude des données collectées afin de garantir de manière appropriée la protection des données traitées.

Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Un engagement écrit des personnes amenées à traiter de telles données à respecter la présente loi doit être signé.

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitent en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Obligation de sécurité

Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :

  • garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence
  • garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises
  • garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne
  • empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données
  • empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée
  • empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées
  • empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données
  • empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée
  • sauvegarder les données par la constitution de copies de sécurité
  • rafraîchir et si nécessaire convertir les données pour un stockage pérenne
  • éviter des erreurs techniques ou la destruction accidentelle ou non autorisée des données à caractère
  • empêcher la falsification, le vol ou l’utilisation illicite des données à caractère personnel.

Obligation de conservation

Les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire qu'en vue d'être traitées à des fins historiques, statistiques ou scientifiques.

A l’expiration de la durée de conservation prévue pour un traitement portant sur des données à caractère personnel, lesdites données doivent donc être détruites, effacées, supprimées ou archivées dans les conditions prévues par les textes en vigueur en matière d’archivages des documents administratifs.

Obligation de de pérennité

Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé. Il doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.