NTIC Conseils

Déclaration CNIL

Déclaration CNIL

Avant l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), un régime de déclaration à la CNIL était en vigueur. En fonction du traitement de données à caractère personnel mis en œuvre, une déclaration normale, simplifiée ou une demande d’autorisation devait être effectuée auprès de la CNIL.

Avec l’entrée en vigueur du RGPD le 25 mai 2018, l’ensemble de ces formalités ne sont plus requises.

Les déclarations auprès de la CNIL ont été supprimées. Néanmoins, dans des cas très spécifiques relatifs aux données de santé, certaines formalités perdurent.

Notre cabinet vous accompagne non seulement sur la mise en conformité de votre entreprise au RGPD, mais également dans l’identification des formalités à effectuer auprès de la CNIL et les démarches relatives aux demandes d’autorisation, déclarations de conformité à un cadre de référence ou réalisation d’une analyse d’impact.

I. Nos prestations

Notre cabinet vous accompagne sur l’ensemble du processus de mise en conformité au RGPD de votre entreprise. Si les formalités préalables auprès de la CNIL ont pour la plupart été supprimées de nouvelles obligations pèsent sur le responsable de traitement.

Nous vous accompagnons,

conformément au nouveau principe d’accountability (responsabilisation des acteurs) qui pèse sur tout responsable de traitement, sur toutes les étapes de mise en conformité de votre entreprise et notamment sur la constitution d’une documentation permettant de prouver la conformité de votre organisme à la législation relative au droit des données à caractère personnel. Cette documentation est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation,

En matière de données de santé,

certaines formalités perdurent. Notre cabinet vous accompagne dans l’identification des formalités à effectuer auprès de la CNIL et les démarches relatives aux demandes d’autorisation, déclarations de conformité à un cadre de référence ou réalisation d’une analyse d’impact.

II. Les formalités préalables avant l’entrée en vigueur du RGPD

A. CNIL déclaration

L’obligation de déclaration normale CNIL devait être effectuée pour l’ensemble des traitements de données à caractère personnel automatisés. La declaration CNIL se faisait par courrier ou directement en ligne sur le site de la CNIL. Une fois effectuée, l’organisme était réputé s’être mis en conformité à la loi Informatique et Libertés.

Lorsque les traitements mis en œuvre par un organisme comportaient des finalités identiques, une déclaration unique auprès de la CNIL était possible.

La déclaration simplifiée CNIL engageait l’organisme sur le fait que le traitement de données effectué était conforme aux exigences de la loi Informatique et Libertés.

Lorsque les traitements de données étaient courants et ne portaient pas atteinte aux droits et libertés des personnes, la CNIL établissait des normes permettant de simplifier l’obligation de déclaration. C’était la declaration simplifiée CNIL. Ainsi, à titre d’exemple, des normes simplifiées ont pu être adoptées dans le domaine de l’entreprise tels que la gestion du personnel, les fichiers clients et prospects, la déclaration cnil géolocalisation des véhicules des employés etc.

Avant l’entrée en vigueur du RGPD, une déclaration CNIL simplifiée existait pour les sites internet. Ainsi, lorsqu’un site internet mettait en œuvre un traitement de données à caractère personnel, une déclaration site internet CNIL devait être réalisée.

B. Dispense de déclaration fichier CNIL

Certains traitements de données à caractère personnel étaient dispensés de déclaration par la loi. A défaut, une dispense de déclaration était possible lorsqu’un correspondant informatique et Libertés était désigné par l’organisme ou lorsque la CNIL adoptait des délibérations. A titre d’exemple, la CNIL a pu dispenser de déclaration les traitements relatifs à la comptabilité, aux fichiers de fournisseurs ou à la paie du personnel d’un organisme public.

C. Autorisations préalables

Certains traitements de données à caractère personnel étaient soumis à une autorisation préalable de la CNIL, tels que ceux portant notamment sur des données dites sensibles, des données génétiques, des données relatives à des infractions ou condamnations ou des données biométriques.

II. Les formalités préalables après l’entrée en vigueur du RGPD

A. La suppression des formalités préalables

Le principe d’Accountability ou de responsabilisation des organismes, prévu à l’article 24 du RGPD, est venu remplacer ce système de déclaration CNIL.

Désormais, le responsable de traitement est tenu de mettre en œuvre et de démontrer que toutes les mesures techniques et organisationnelles nécessaires à assurer la conformité du traitement de données à caractère personnel au RGPD ont été effectuées.

Pour cela, le responsable de traitement constitue une documentation permettant de prouver la conformité de son organisme à la législation. Une plus grande responsabilité incombe aux entreprises qui doivent mettre en place des processus internes démontrant leur respect à la législation. En pratique, le DPO, lorsqu’il a été désigné par l’organsime, sera la personne chargée de veiller et d’assurer cette mise en conformité.

Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation.

Selon l’article 226-16 du Code pénal, si les formalités préalables nécessaires à la mise en œuvre d’un traitement de données à caractère personnel n’ont pas été respectées, le responsable de traitement encourt une sanction de cinq ans d'emprisonnement et de 300 000 euros d'amende.

300,000€
d'amende

B. Le régime des données de santé

Selon l’article 9 du RGPD, le traitement de données dites sensibles (révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie ou l’orientation sexuelle) est interdit. L’article 65 de la loi Informatique et libertés, tel que modifié par la loi du 24 juillet 2019, n°2019-774, prévoit certaines exceptions.

Ainsi, pour l’ensemble des traitements ci-dessous, aucune déclaration à la CNIL n’est à effectuer. Le responsable de traitement ou le DPO de l’organisme, recensera le traitement en question au sein du registre des activités de traitement.

  • La personne a donné son consentement explicite
  • Le traitement est nécessaire pour la sauvegarde des intérêts vitaux de la personne concernée
  • Le traitement est effectué par une fondation, une association ou organisme à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale
  • Les données à caractère personnel sur lesquelles porte le traitement ont déjà été rendues publiques par la personne concernée
  • Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice
  • Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel dont l'atteinte est réprimée par l'article 226-13 du code pénal
  • Les traitements permettant d’effectuer des études réalisées par le personnel assurant ce suivi, à partir des données citées ci-dessus
  • Les traitements mis en œuvre par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire
  • Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale
  • Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne
  • Les traitements mis en œuvre par l'Etat aux fins de conception, de suivi ou d'évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d'exploitation et de diffusion des statistiques dans ce domaine

C. Le régime de l’autorisation

La CNIL a établi des référentiels et règlements types en concertation avec l'Institut national des données de santé. Les traitements conformes à ces référentiels peuvent être mis en œuvre sur déclaration préalable de leur conformité adressée à la CNIL.

Les traitements non conformes à ces référentiels sont soumis à une autorisation de la CNIL. L’article 66 de la loi Informatique et Libertés prévoit en effet un régime d’autorisation par la CNIL pour les traitements présentant une finalité d’intérêt public telle que la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

D. L’analyse d’impact

Les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites doivent faire l’objet d’une analyse d’impact, tout comme ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

De manière générale, une analyse d’impact devra être effectuée avant la mise en œuvre d’un traitement de données à caractère personnel lorsque celui-ci est susceptible de présenter un risque élevé pour les droits et libertés des personnes notamment par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

L’article 35 du RGPD prévoit qu’une analyse d’impact est requise lorsque le traitement de données à caractère personnel permet l’évaluation systématique et approfondie d’aspects personnels des personnes, le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales et la surveillance systématique à grande échelle d’une zone accessible au public.

Lorsque l’analyse d’impact révèle que le traitement envisagé présente un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit consulter la CNIL préalablement à sa mise en œuvre.

Le 12 septembre 2019, conformément à ce que prévoit le RGPD, la CNIL a élaboré une liste de douze types d’opérations de traitement pour lesquels elle n’estime pas nécessaire qu’une analyse d’impact soit réalisée.

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.