Вы находитесь на странице: 1из 68

LES AvocAtS Et LA LoI INFoRMAtIQUE Et LIBERtS

dition 2011

Sommaire
AvAnt-propoS Page 1 Page 2 Page 2 Page 4 Page 7 Page 7 Page 8 Page 8 Page 9 Page 10 Page 10 Page 11 Page 11 Page 11 Page 13 Page 13 Page 19 Page 20 Page 26 Page 33 Page 37 Page 42 Page 45 Page 47 Page 47 Page 49 Page 52 Page 57

I. Le cAdre gnrAL de LA protectIon deS donneS cArActre perSonneL


A. LeS cInq prIncIpeS cLefS reSpecter B. LeS cInq mISSIonS de LA cnIL c. LeS typeS de formALItS prALABLeS LA mISe en uvre dun trAItement 1. La dispense de dclaration 2. La dclaration normale 3. La dclaration simplifie 4. La demande dautorisation 5. La demande davis 6. Les suites donnes par la CNIL d. Le correSpondAnt InformAtIque et LIBertS (cIL) : un vecteur de dIffuSIon de LA cuLture InformAtIque et LIBertS 1. Le Correspondant informatique et liberts 2. Lavocat Correspondant informatique et liberts

II. fIcheS prAtIqueS


fiche n 1 : Les fichiers relatifs aux clients fiche n 2 : Laccs au dossier professionnel fiche n 3 : Le contrle de lactivit des membres du cabinet fiche n 4 : Le contrle de laccs aux locaux fiche n 5 : Les avocats et internet fiche n 6 : Les transferts de donnes caractre personnel en dehors de lUnion europenne fiche n 7 : Le rle de lavocat en cas de contrle sur place fiche n 8 : Le rle de lavocat en cas de procdure de sanction

III. AnneXeS
A. conSeILS pour ASSurer un nIveAu de ScurIt SAtISfAISAnt B. tABLeAuX rcApItuLAtIfS : queLLe formALIt SImpLIfIe pour queL fIchIer ? C. Modles de mentions informatives D. Lexique informatique et liberts

Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr

Avant-propos
A v A N t- P r o P o s

A lheure o les dispositifs de traage de lindividu dans lespace et dans le temps se multiplient et portent en eux des atteintes potentielles nos liberts fondamentales et notre vie prive, le rle de lavocat rejoint celui de notre Commission. Lors des rencontres rgionales organises sur lensemble du territoire par la CNIL, jai pu changer de faon trs constructive avec nombre de vos confrres. Jai constat, cette occasion, que vos missions et celles de la CNIL taient analogues : nous devons faire en sorte que chaque citoyen matrise ces nouveaux outils et soit en mesure de dfendre ses droits. De ces changes est ne la volont dlaborer ce guide en concertation avec le Conseil National des Barreaux dans le cadre dune Convention. Celle-ci prvoit aussi le dveloppement de la formation du correspondant informatique et liberts (CIL) au sein de la profession davocat et de ses structures reprsentatives. Lindpendance dont le CIL doit faire preuve pour mener bien ses missions fait de lavocat un intervenant naturel pour assumer une telle fonction. Le rglement intrieur de la profession a dailleurs encadr celle-ci. Bien entendu, lavocat, dune part, et notre Commission, dautre part, conservent leur totale indpendance mais ils sont cte cte pour assurer la protection de la vie prive. Cest dans cet esprit que le prsent guide a t labor. Je suis convaincu quil apportera des rponses concrtes vos questions et vous permettra de jouer un rle essentiel en matire de protection des donnes et de la vie prive, tant comme responsable de traitement que comme conseil auprs de vos clients. Alex Trk Prsident de la CNIL

Ds lors quelles sont susceptibles de relever de la vie prive de leurs clients et que leur divulgation peut porter atteinte aux droits et liberts des personnes concernes, les informations traites par les avocats dans leurs fichiers pour lexercice de leur profession doivent tre protges. Le respect du secret professionnel, tel que dfini par larticle 2 du rglement intrieur national (rIN) et protg par larticle 226-13 du code pnal, les conduit tre particulirement vigilants lgard de la protection des donnes personnelles de leurs clients et, par consquent, aux obligations qui dcoulent de la loi informatique et liberts. Le respect par les avocats des rgles de protection des donnes caractre personnel est un facteur de transparence et de confiance lgard de la profession. Cest galement un gage de scurit juridique pour les avocats euxmmes qui, responsables des fichiers mis en uvre, doivent veiller ce que la finalit de chaque traitement informatique et les ventuelles transmissions dinformations soient clairement dfinies, les dispositifs de scurit informatique prcisment dtermins et les mesures dinformation des personnes concernes appliques.

I. Le cAdre gnrAL de LA protectIon deS donneS cArActre perSonneL


La loi du 6 janvier 1978 modifie en 2004, galement connue sous le nom de loi informatique et liberts, sapplique aux traitements automatiss de donnes caractre personnel, ainsi quaux fichiers dits papier qui contiennent des donnes personnelles appeles figurer dans un traitement automatis. Cette loi ne sapplique pas aux traitements mis en uvre pour lexercice dactivits exclusivement personnelles. La loi dfinit la notion de donne caractre personnel comme toute information relative une personne physique identifie ou pouvant ltre, directement ou indirectement, par rfrence un numro didentification ou des lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne.

GuIDe PrAtIque AVOCAtS

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

LA cNIL Et LES AvocAtS : un intrt rciproque la protection des donnes caractre personnel

La loi informatique et liberts dfinit les principes respecter lors de la collecte, du traitement et de la conservation de donnes personnelles. elle garantit galement un certain nombre de droits pour les personnes concernes.

1. Le principe de finalit : une utilisation encadre des fichiers


Les donnes caractre personnel ne peuvent tre recueillies et traites que pour un usage dtermin explicite et lgitime, correspondant aux missions de lavocat responsable du traitement. en tant que responsable dun fichier, lavocat a lobligation den fixer la finalit. Ainsi, titre illustratif, lorsquil accde au serveur professionnel des donnes cadastrales de la direction gnrale des impts, un avocat ne doit pas porter atteinte la vie prive de la personne concerne par ces informations, ou utiliser les donnes quil consulte des fins de dmarchage commercial, politique ou lectoral. tout dtournement de finalit est passible de 5 ans demprisonnement et de 300.000 damende (article 226-21 du code pnal).

2. Le principe de proportionnalit
Seules les informations pertinentes et ncessaires peuvent faire lobjet dun enregistrement dans un traitement de donnes caractre personnel. Par exemple, il nest pas utile denregistrer des informations sur lentourage familial dune personne lorsque, au regard des finalits dun traitement et de la nature de laffaire traite, seuls sont ncessaires des lments relatifs sa vie professionnelle.

3. Le principe dune dure de conservation limite des donnes


Les informations figurant dans un fichier ne peuvent tre conserves indfiniment. une dure de conservation doit tre tablie en fonction de la finalit de chaque fichier. Les enregistrements de vidoprotection, par exemple, ne doivent en principe tre conservs quun mois. Les informations ayant trait des clients, quant elles, ne doivent pas tre conserves au-del dun an lissue de la relation contractuelle. toutefois, cette obligation de fixer une dure de conservation limite dans le temps ne prive pas les responsables de traitements de la possibilit darchiver des informations, notamment des fins probatoires. Lorsque cet archivage est ralis sous forme lectronique, il convient de respecter la recommandation n 2005-213 de la CNIL du 11 octobre 2005 relative larchivage lectronique de donnes caractre personnel dans le secteur priv.

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

A. LeS cInq prIncIpeS cLefS reSpecter

Les donnes contenues dans les fichiers ne peuvent tre consultes que par les personnes habilites y accder en raison de leurs fonctions. Les dossiers des avocats ne peuvent tre communiqus qu des personnes autorises en connatre, en application de dispositions lgislatives particulires et sous rserve du respect du secret professionnel. Lavocat, en qualit de responsable dun traitement, est astreint une obligation de scurit. Il doit ainsi prendre toutes les mesures ncessaires pour en garantir la confidentialit et viter toute divulgation dinformation. Il convient, par exemple, de veiller ce que chaque personne habilite accder aux informations dispose dun mot de passe individuel (compos dau moins 8 caractres alphanumriques et rgulirement chang) et que les droits daccs soient prcisment dfinis en fonction des besoins rels.

5. Le principe du respect des droits des personnes


Larticle 32 de la loi informatique et liberts prvoit que les personnes physiques concernes par un traitement de donnes caractre personnel doivent tre pralablement informes de lidentit de son responsable (ou de son reprsentant), de sa finalit, du caractre obligatoire ou facultatif du recueil des donnes, des destinataires, des modalits dexercice des droits daccs et de rectification ainsi que, le cas chant, des transferts de donnes vers un tat non-membre de lunion europenne. Lexception lobligation dinformation prvue par lalina 2 de larticle 32-III de la loi du 6 janvier 1978 modifie, cest--dire une information impossible ou exigeant des efforts disproportionns par rapport lintrt de la dmarche, nest pas applicable aux traitements de gestion de contentieux des avocats, et ce, en raison des intrts et enjeux prsents dans ce domaine. en effet, ds lors que des poursuites judicaires peuvent tre engages sur la base de ce type de traitements, les diligences accomplir pour informer les personnes concernes napparaissent pas disproportionnes par rapport lintrt dune telle dmarche. Les avocats, lorsquils agissent en qualit de responsable de traitement, sont libres de dterminer les moyens mettre en uvre pour assurer linformation des personnes. toute personne a le droit de sopposer, pour un motif lgitime, ce que des donnes la concernant soient enregistres dans un fichier informatique, sauf si ce dernier prsente un caractre obligatoire. Par ailleurs, toute personne physique justifiant de son identit a le droit dinterroger le responsable dun traitement de donnes caractre personnel pour : - savoir si des donnes qui la concernent y figurent ou non ; - obtenir la communication des donnes qui la concernent sous une forme comprhensible, dune part, et de toutes les informations disponibles quant leurs origines, dautre part ; - obtenir des informations sur la finalit du traitement, les donnes collectes et les destinataires. 4

GuIDe PrAtIque AVOCAtS

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

4. Les principes de scurit et de confidentialit

La Commission nationale de linformatique et des liberts est une autorit administrative indpendante charge dassurer le respect des dispositions de la loi du 6 janvier 1978 modifie. elle est ainsi charge de veiller ce que linformatique soit au service du citoyen et quelle ne porte atteinte ni lidentit humaine, ni aux droits de lhomme, ni la vie prive, ni aux liberts individuelles ou publiques.

1. Informer les personnes concernes de leurs droits et les responsables de traitements de leurs obligations
La CNIL informe les personnes de leurs droits et obligations. elle propose galement au Gouvernement les mesures lgislatives ou rglementaires de nature adapter la protection des liberts et de la vie prive lvolution des techniques. Lavis de la CNIL doit tre sollicit avant toute transmission au Parlement dun projet de loi relatif la protection des donnes caractre personnel.

2. garantir le droit daccs


La CNIL veille ce que les citoyens accdent efficacement aux donnes contenues dans les traitements les concernant, notamment, par lintermdiaire de son service des plaintes. en outre, elle exerce, pour le compte des citoyens qui le souhaitent, laccs aux fichiers intressant la sret de ltat, la dfense et la scurit publique (fichiers de police et de gendarmerie, fichiers de renseignement, fichier Schengen, etc.). Certains de ces fichiers peuvent tre consults lors du recrutement, de lagrment ou de lhabilitation des personnels de professions diverses (surveillance, gardiennage, emplois dans des zones aroportuaires, fonction publique...) ou bien encore pour la dlivrance ou le renouvellement de titres pour lentre et le sjour des trangers. Les informations quils comportent ou, le cas chant, leurs inexactitudes peuvent ainsi tre lorigine dun licenciement, dun refus dembauche ou dattribution dun visa et peuvent entraner de graves consquences sur la situation des personnes. Les informations du fichier des comptes bancaires (FICOBA) tenu par la direction gnrale des finances publiques, qui sont relatives aux ouvertures et mouvements de comptes, relvent galement de cette procdure. Dans ces cas prcis, lavocat peut conseiller son client de sadresser au service du droit daccs indirect (DAI) de la CNIL, afin de vrifier sil est fich et, le cas chant, demander la rectification ou leffacement des donnes inexactes. un magistrat de la Commission exercera, pour son compte, son droit daccs.

3. recenser les fichiers et rglementer


Les traitements de donnes personnelles dits risques du fait de leurs finalits (listes noires, interconnexions) ou de la nature des informations traites (donnes biomtriques, donnes comportant des apprciations sur

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

B. LeS cInq mISSIonS de LA cnIL

4. contrler
La CNIL vrifie que la loi du 6 janvier 1978 modifie est respecte, notamment, en contrlant les applications informatiques lors des missions que son Prsident diligente. La Commission use de ses pouvoirs de vrification et dinvestigation pour instruire les plaintes, disposer dune meilleure connaissance de certains fichiers, mieux apprcier les consquences du recours linformatique dans certains secteurs, ou assurer un suivi de ses dlibrations. La CNIL surveille, par ailleurs, la scurit des systmes dinformation en sassurant que toutes les prcautions sont prises pour empcher que les donnes ne soient dformes ou communiques des personnes non-autorises.

5. Sanctionner
A lissue des contrles ou de linstruction de plaintes, la formation contentieuse de la CNIL, compose de cinq membres et dun Prsident distinct du Prsident de la CNIL, peut prononcer diverses sanctions lgard des responsables de traitements qui ne respecteraient pas la loi. Par ailleurs, en cas datteinte grave et immdiate aux droits et liberts garanties par la loi du 6 janvier 1978 modifie, la formation contentieuse de la Commission peut adopter des mesures en urgence. en outre, le Prsident de la Commission dispose dun pouvoir qui lui est propre, celui de dnoncer au Procureur de la rpublique les violations de la loi (Cf. fiche n9).

GuIDe PrAtIque AVOCAtS

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

les difficults sociales, donnes relatives aux infractions, condamnations ou mesures de sret) sont soumis une autorisation de la CNIL pralablement leur mise en uvre. Sagissant des autres traitements de donnes caractre personnel, la CNIL reoit et recense les dclarations correspondantes. en application de larticle 31 de la loi informatique et liberts, elle tient ainsi la disposition du public le fichier des fichiers , cest--dire la liste des traitements dclars et leurs principales caractristiques. Par ailleurs, pour assurer sa mission de rglementation, la Commission rend des avis, notamment, sur les traitements publics qui utilisent le numro de scurit sociale ou ceux qui intressent la sret de letat. elle peut galement tablir des dispenses de dclaration ou encore des normes simplifies, afin que les traitements les plus courants et les moins dangereux pour les liberts individuelles fassent lobjet de formalits allges. Dans les domaines relevant de la procdure dautorisation elle peut laborer des autorisations uniques. Le non-respect des formalits pralables par les responsables de traitements est passible de sanctions administratives ou pnales.

La dclaration est une obligation lgale dont le non-respect est pnalement sanctionn. en effet, larticle 226-16 du code pnal dispose : Le fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans quaient t respectes les formalits pralables leur mise en uvre prvues par la loi est puni de cinq ans demprisonnement et de 300.000 damende . tout fichier ou traitement informatis comportant des donnes personnelles doit tre dclar la CNIL pralablement sa mise en uvre, sauf sil bnficie expressment dun allgement des formalits pralables (dispense de dclaration ou dclaration simplifie) ou relve du rgime de lautorisation pralable.

1. La dispense de dclaration
Certaines catgories de traitements sont dispenses de dclaration par une dcision expresse de la CNIL (paie des personnels, dmatrialisation du contrle de lgalit ou des marchs publics). La liste des dispenses de dclaration est consultable sur le site internet de la CNIL (http://www.cnil.fr/ en-savoir-plus/deliberations/dispenses-de-declaration). Le fait dtre dispens de dclaration nexonre pas pour autant le responsable de traitement des autres obligations issues de la loi du 6 janvier 1978 modifie, notamment en matire dinformation des personnes concernes et de scurit des donnes. Le cas particulier des audits Au regard de la loi informatique et liberts, les avocats qui interviennent dans ce domaine peuvent se prvaloir de la qualit de sous-traitant, ds lors quils agissent sur la base dinstructions strictement dfinies par leurs clients. Il en rsulte que les avocats nont pas dclarer les fichiers ncessairement mis en uvre lors de ces oprations. en revanche, au mme titre que les ventuels prestataires spcialiss dans lhbergement et la gestion de documents, ils sont tenus de prsenter des garanties suffisantes pour assurer la scurit et la confidentialit des donnes auxquelles ils accdent, en application de larticle 35 de la loi informatique et liberts. La mission de conseil des avocats devra nanmoins les conduire sassurer que leurs clients se sont acquitts auprs de la CNIL des formalits applicables et, notamment, que les dclarations correspondantes mentionnent la ralisation daudits ou encore que linformation des personnes physiques concernes a t assure. A savoir : Les avocats, en raison de leur qualit de sous-traitant, nont pas figurer au nombre des destinataires numrs par une dclaration effectue par leurs clients. 7

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

c. LeS typeS de formALItS prALABLeS LA mISe en uvre dun trAItement

Le rgime de droit commun des formalits pralables accomplir auprs de la CNIL est la dclaration normale. Il est applicable lorsquun fichier ne relve pas dune procdure particulire (art. 22 de la loi du 6 janvier 1978). Le traitement peut tre mis en uvre ds rception du rcpiss dlivr par la CNIL. Ce rcpiss atteste de laccomplissement de la formalit de dclaration, mais nexonre pas le responsable du traitement des autres obligations prvues par la loi (respect de la finalit du fichier, scurit et confidentialit, respect des droits des personnes). Les dclarations peuvent tre effectues directement en ligne sur le site de la CNIL ladresse suivante : http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil. A savoir : une seule et mme dclaration ne peut tre effectue pour plusieurs fichiers ayant des finalits distinctes. Pour dclarer des fichiers de finalits distinctes, il convient de faire une dclaration par finalit. La gestion des affaires contentieuses Les avocats agissent dans ce cadre en qualit de responsable de traitement. Ils doivent, par consquent, dclarer les fichiers quils mettent en uvre cette fin (dclaration normale). Si des donnes personnelles concernant des personnes physiques sont recueillies directement par les avocats, il convient dinformer les personnes concernes des droits quelles tirent de la loi du 6 janvier 1978 modifie lors de cette collecte. Dans lhypothse inverse, lorsque les donnes personnelles nont pas t directement recueillies par les avocats, aux termes de lalina 1er de larticle 32-III de la loi du 6 janvier 1978 modifie, le responsable du traitement doit fournir aux personnes concernes les informations mentionnes au I de larticle 32 de la loi susvise, ds lenregistrement des donnes ou, si une communication des tiers est envisage, au plus tard lors de la premire communication des donnes. Lorsque des mesures conservatoires sont ncessaires, notamment pour prvenir la destruction de preuves, linformation de la personne concerne peut intervenir aprs leur adoption.

3. La dclaration simplifie
un grand nombre de fichiers peut faire lobjet de dclarations simplifies (article 24 de la loi informatique et liberts). Ces dernires peuvent tre effectues directement sur le site internet de la CNIL (http://www.cnil.fr/vosresponsabilites/declarer-a-la-cnil). Concrtement, il sagit dun engagement de conformit un acte rglementaire pralablement labor par la Commission.

GuIDe PrAtIque AVOCAtS

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

2. La dclaration normale

Certains traitements relvent dun rgime dautorisation pralable de la CNIL. Il sagit dun rgime plus protecteur, qui sapplique aux fichiers considrs comme sensibles ou comportant des risques pour la vie prive ou les liberts individuelles. une fois obtenue lautorisation de la CNIL, le traitement doit respecter en tout point le cadre fix. en application de larticle 25 de la loi informatique et liberts, la procdure dautorisation concerne notamment : - les traitements, automatiss ou non, justifis par un intrt public ou appels faire lobjet bref dlai dun procd danonymisation et qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, lappartenance syndicale, ou qui comportent des donnes relatives la sant ou la vie sexuelle ; - les traitements automatiss portant sur des donnes gntiques, lexception de ceux dentre eux qui sont mis en uvre par des mdecins ou des biologistes et qui sont ncessaires aux fins de la mdecine prventive, des diagnostics mdicaux ou de ladministration de soins ou de traitements ; - les traitements, automatiss ou non, portant sur des donnes relatives aux infractions, condamnations ou mesures de sret, sauf ceux qui sont mis en uvre par des auxiliaires de justice pour les besoins de leurs missions de dfense des personnes concernes qui relvent de la procdure de dclaration ; - les traitements automatiss susceptibles, du fait de leur nature, de leur porte ou de leurs finalits, dexclure des personnes du bnfice dun droit, dune prestation ou dun contrat en labsence de toute disposition lgislative ou rglementaire ; - les traitements automatiss ayant pour objet, dune part, linterconnexion de fichiers relevant dune ou de plusieurs personnes morales grant un service public et dont les finalits correspondent des intrts publics diffrents ou, dautre part, linterconnexion de fichiers relevant dautres personnes et dont les finalits principales sont diffrentes ; - les traitements portant sur des donnes parmi lesquelles figure le numro de scurit sociale ou impliquant la consultation du rpertoire national didentification des personnes physiques ; - les traitements automatiss de donnes comportant des apprciations sur les difficults sociales des personnes ; - les traitements automatiss comportant des donnes biomtriques ncessaires au contrle de lidentit des personnes. Attention : Les interconnexions de fichiers relevant de personnes prives et ayant des finalits distinctes doivent, en vertu de larticle 25-I-5 de la loi du 6 janvier 1978 modifie, tre autorises par la CNIL, et ce, mme si elles sont mises en uvre par les avocats pour les besoins de leurs missions de dfenses de leurs clients.

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

4. La demande dautorisation

5. La demande davis
Les organismes publics qui mettent en uvre certains types de traitements de donnes caractre personnel doivent pralablement recueillir lavis de la CNIL (articles 26 et 27 de la loi informatique et liberts). Cette procdure est applicable aux traitements mis en uvre par des organismes publics, ou des organismes privs grant un service public, qui concerne : - la sret, la dfense ou la scurit publique ; - la prvention, la recherche, la constatation ou la poursuite dinfractions pnales ou lexcution des condamnations pnales ou des mesures de sret ; - lutilisation du numro de scurit sociale ou la consultation du rpertoire national didentification des personnes physiques lorsque les organismes ne sont pas dj habilits ; - lutilisation de donnes biomtriques (empreintes digitales, contour de la main, iris de lil, etc.) ; - le recensement de la population ; - les tlservices de ladministration. La demande davis doit tre accompagne selon le cas dun projet de dcret en Conseil dtat, darrt ou de dcision de lorgane dlibrant destin autoriser le traitement une fois rendu lavis de la CNIL. Les demandes davis peuvent tre effectues directement en ligne sur le site ladresse suivante : http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil.

6. Les suites donnes par la cnIL


Pour les dclarations effectues sur le site internet de la CNIL, un rcpiss lectronique est immdiatement envoy au dclarant ; Pour les procdures particulires dautorisation ou davis, la CNIL adresse au dclarant une notification de lautorisation ou de lavis quelle a rendu. A savoir : La dsignation dun correspondant informatique et liberts dispense lorganisme concern de dclarer ses fichiers auprs de la CNIL, quil sagisse des dclarations normales ou des dclarations simplifies.

GuIDe PrAtIque AVOCAtS

10

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

en vertu de larticle 25-II de la loi du 6 janvier 1978 modifie, la Commission peut, par une dcision unique, autoriser une catgorie de traitements rpondant aux mmes finalits, portant sur des catgories de donnes identiques et ayant les mmes catgories de destinataires. Le responsable dun traitement conforme cette dcision unique peut alors se limiter adresser la Commission un engagement de conformit lautorisation unique pralablement adopte. Les autorisations peuvent tre effectues directement en ligne sur le site ladresse suivante : http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil.

1. Le correspondant informatique et liberts


Introduit en aot 2004 loccasion de la refonte de la loi informatique et liberts, le correspondant la protection des donnes constitue un moyen efficace de veiller la bonne application de la loi et dassurer le respect du droit fondamental la protection des donnes personnelles. Au 1er octobre 2011 environ 2 200 CIL reprsentant 8 262 organismes ont t dsigns. Aux termes de larticle 44 du dcret du 20 octobre 2005, lorsque moins de cinquante personnes sont charges de la mise en uvre de traitements, ou peuvent y accder directement, le responsable peut dsigner un correspondant extrieur lorganisme concern. De mme, lorsque le responsable des traitements fait partie dun organisme professionnel ou dun organisme regroupant des responsables de traitements dun mme secteur dactivit, ce responsable peut dsigner un correspondant spcialement mandat extrieur lorganisme. La dsignation dun CIL permet un allgement des formalits pralables. en effet, une fois le correspondant dsign, seuls les traitements soumis autorisation ou avis pralables de la CNIL devront faire lobjet des formalits adquates. Les autres traitements nauront plus qu tre rfrencs dans une liste tenue localement par le correspondant.

2. Lavocat correspondant informatique et liberts


un avocat peut tre dsign en qualit de CIL pour le compte de lun de ses clients. Cette dsignation nentrane pas de risque de violation du secret professionnel, ds lors quaucune obligation de dnonciation des manquements constats nest mise la charge du CIL avocat. en effet, la diffrence des CIL classiques qui doivent dnoncer la CNIL les manquements quils constatent et ne peuvent rsoudre seuls, le CIL avocat linterdiction de porter la connaissance de la Commission les manquements de son client. Il ne peut que se dmettre de ses fonctions de CIL si ce dernier refuse de se mettre en conformit. un avocat peut galement tre dsign en tant que CIL du cabinet pour le compte duquel il exerce. Les conditions dans lesquelles un avocat peut devenir CIL sont prcises larticle 6.2.2 du rglement intrieur national de la profession (rIN). Le CIL doit systmatiquement informer le responsable des traitements pralablement toute saisine de la CNIL (art. 49 et 51 du dcret). Ainsi, un avocat dsign en qualit de CIL doit, dans le cadre du mandat qui le lie son client, obtenir son accord pralable avant toute saisine de la CNIL.

11

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

d. Le correspondant informatique et liberts (cIL) : un vecteur de diffusion de la culture informatique et liberts

Ainsi que cela a t prcdemment expos, il existe plusieurs types de formalits pralables effectuer auprs de la CNIL. Le niveau de complexit de certaines dentre elles peut justifier lintervention dun professionnel du droit, tel quun avocat. Cela peut permettre daccompagner utilement un responsable de traitement dans laccomplissement des formalits pralables obligatoires prvues par la loi informatique et liberts. Cet accompagnement apparat particulirement utile pour les traitements relevant du rgime de lautorisation pralable. Le CIL - Informations pratiques Pourquoi dsigner un CIL ? Sa dsignation, qui est facultative, exonre de dclaration la plupart des fichiers. Il contribue une meilleure application de la loi. Quels avantages pour lorganisme ? Le CIL est un acteur de la scurit juridique au sein de lorganisme. Son action peut prendre plusieurs formes : le conseil, la recommandation, la sensibilisation, la mdiation et lalerte en cas de dysfonctionnement. Comment dsigner un CIL ? Cest simple, il suffit de complter en ligne le formulaire de dsignation sur le site internet de la CNIL. Comment le CIL pourrait-il/elle tre form(e) ? La CNIL propose des ateliers dinformation gratuits, gnralistes et thmatiques, anims par ses propres experts. Quelle relation avec la CNIL ? La CNIL a mis en place un service spcifique pour garantir au CIL une rponse rapide et de qualit. Il sagit dun guichet unique pour toutes les questions juridiques ou les clairages lis lexercice de la fonction. Dautres avantages ? Le CIL est un interlocuteur privilgi de la CNIL. Ses demandes sont donc traites en priorit. Il fait partie du rseau des CIL anim par la CNIL. Il participe la rflexion lie lvolution de la fonction, la cration doutils de travail, des textes juridiques

GuIDe PrAtIque AVOCAtS

12

L A C N I L e t L e s Av o C At s : U N I N t r t r C I P r o q U e L A P r o t e C t I o N D e s D o N N e s C A r A C t r e P e r s o N N e L

Attention : La dsignation dun CIL nentrane aucune exonration de responsabilit civile ou pnale pour le responsable de traitement. un avocat dsign comme CIL est susceptible de voir engager sa responsabilit civile professionnelle.

Lors de la collecte des donnes, les clients potentiels doivent tre informs que les donnes collectes ont pour finalit la constitution et lexploitation dun fichier dadresses des fins dinformation ou de communication externe et doivent tre mis en mesure de sy opposer. Cette dispense prvoit que seules peuvent tre enregistres les donnes relatives lidentit, la vie professionnelle et aux centres dintrts des personnes concernes, lexception des donnes dites sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, tat de sant ou vie sexuelle). Les donnes peuvent tre conserves pendant toute la dure ncessaire la ralisation des oprations de communication externe et une mise jour annuelle doit tre assure. Si les cabinets davocats se conforment ces prescriptions dans le cadre de leurs relations avec des clients potentiels, aucune dclaration ne doit tre effectue auprs de la CNIL. Dans lhypothse inverse, il convient dadresser la CNIL une dclaration normale ou, pour les traitements relevant de larticle 25 de la loi informatique et liberts, une demande dautorisation.

13

F I C h e

Or, en se fondant sur larticle 24-II de la loi informatique et liberts, la CNIL a adopt la dispense de dclaration n 7 (dlibration de la CNIL n 2006-138 du 9 mai 2006) pour les traitements de donnes personnelles mis en uvre par tout organisme priv ou public des fins dinformation et de communication externe, qui exclut toute utilisation commerciale ou politique des donnes traites.

L e s

toutefois, les avocats peuvent utiliser certaines formes de publicit, condition que ces dernires ait t pralablement communiques lordre, procurent une information au public, respectent les principes essentiels de la profession et ne sapparentent pas une forme de dmarchage (art. 15 dcret du 12 juillet 2005 ; article 10.1 rIN). Des mentions laudatives ou comparatives, de mme que des indications relatives lidentit des clients du cabinet, sont donc impossibles. Du point de vue informatique et liberts, en raison de limpossibilit de dmarcher des clients potentiels, cette situation peut juridiquement sanalyser en une opration de communication externe non commerciale.

F I C h I e r s

r e L At I F s

Le rglement intrieur national de la profession davocat interdit toute offre de service personnalise destination dun client potentiel (art. 15 dcret n 2005-790 du 12 juillet 2005 relatif aux rgles de dontologie de la profession davocat ; art. 10.2 rIN). en principe, les avocats ne peuvent donc effectuer aucune prospection commerciale entendue au sens commun du terme.

A U x

A. Les traitements informatiss concernant des clients potentiels

C L I e N t s

II. FIchES pRAtIQUES Fiche n 1 : Les fichiers relatifs aux clients

rappel : etre dispens de dclaration nexonre pas des obligations que la loi informatique et liberts impose aux responsables de traitement. quel que soit le rgime dclaratif applicable, il convient dinformer les personnes concernes des objectifs poursuivis, du caractre obligatoire ou facultatif de leurs rponses, des destinataires des donnes, des modalits dexercice des droits daccs, dopposition et de rectification, ainsi que de garantir la scurit des donnes.

B. Les traitements informatiss concernant les clients du cabinet


1. une dispense de dclaration des traitements constitus des fins dinformation de la clientle
Il a t prcdemment indiqu que la CNIL a adopt une dispense de dclaration pour les traitements mis en uvre des fins dinformation ou de communication externe (dispense de dclaration n 7). Les campagnes dinformation non commerciales destination des clients dun cabinet davocats, par exemple sur lactualit juridique ou la vie du cabinet, peuvent galement relever de cette dispense de dclaration, sous rserve den respecter les conditions.

en application de larticle 24-I de la loi informatique et liberts, la CNIL a adopt la norme simplifie n 48 (dlibration de la CNIL n 2005-112 du 7 juin 2005) qui permet aux responsables de traitement deffectuer une dclaration simplifie pour certains des traitements relatifs aux personnes avec lesquelles des relations contractuelles sont noues. Les oprations relatives la gestion des clients qui concernent les contrats, les commandes, les livraisons, les factures et la comptabilit, en particulier la gestion des comptes clients, sont couvertes par cette norme. Les logiciels de facturation au temps pass utiliss par les cabinets davocats relvent de cette norme, sous rserve de respecter les garanties prvues par la norme simplifie n 48. A dfaut, il convient deffectuer une dclaration normale. Ds lors, les cabinets davocats peuvent, en respectant les finalits mentionnes ci-dessus, collecter et traiter les donnes relatives : - lidentification des clients : nom, prnoms, adresse, numros de tlphone et de tlcopie, adresse de courrier lectronique, date de naissance, code interne de traitement permettant lidentification du client (ce code doit tre
GuIDe PrAtIque AVOCAtS

14

F I C h e

2. une dclaration simplifie pour les oprations de gestion de la clientle les plus courantes

L e s

F I C h I e r s

r e L At I F s

A U x

C L I e N t s

- aux moyens de paiement (relev didentit postale ou bancaire, numro de la transaction, numro de chque, numro de carte bancaire) ; - la situation familiale, conomique et financire des clients (vie maritale, nombre et ge des enfants du foyer, profession, domaine dactivit, catgorie socio-professionnelle) ; - la relation commerciale ; - aux rglements des factures ; Les courriers de relance conscutifs au non paiement de factures, ainsi que lactivit du service charg du suivi des rglements, relvent de la norme simplifie n 48. tel nest pas le cas des traitements ayant pour finalit la constitution dune liste de mauvais payeurs (Cf. infra). Les clients doivent tre informs, au moment de la collecte de leurs donnes, de lidentit du responsable du traitement, des finalits poursuivies, du caractre obligatoire ou facultatif des rponses apporter, des consquences ventuelles leur gard dun dfaut de rponse, des destinataires des donnes, de leurs droits daccs, de rectification et dopposition pour des motifs lgitimes au traitement de leurs donnes ainsi que, le cas chant, des transferts de donnes caractre personnel envisags destination dun tat non membre de lunion europenne. Il convient, en outre, de veiller ce que ne puissent accder ces informations que les avocats en charge des dossiers correspondants et, le cas chant, les personnes charges du service commercial, des services administratifs et du contrle (interne et externe), ainsi que les entreprises extrieures lies contractuellement pour lexcution dun contrat. en raison de lobligation de confidentialit renforce qui pse sur les avocats, aucune cession, vente ou location de ces donnes ne peut tre envisage, et ce, alors mme que la norme simplifie n 48 prcise que les informations relatives la situation familiale, conomique et financire peuvent tre cdes, loues ou changes ds lors que les organismes destinataires sengagent ne les exploiter que pour sadresser directement aux intresss pour des finalits exclusivement commerciales. Les informations ne peuvent tre conserves au-del de la dure strictement ncessaire la gestion de la relation commerciale, lexception de celles ncessaires ltablissement de la preuve dun droit ou dun contrat qui peuvent tre archives, conformment aux dispositions de la recommandation de la CNIL n2005-213. enfin, le responsable du traitement doit prendre toutes les prcautions utiles pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages ou que des tiers non autoriss y aient accs. 15

F I C h e

L e s

F I C h I e r s

r e L At I F s

A U x

C L I e N t s

distinct du numro de scurit sociale ou du numro de carte bancaire) ;

en application de larticle 22-I de la loi informatique et liberts, les traitements qui ne relvent pas des dispositions de ses articles 25, 26 et 27, dune dispense de dclaration ou dune norme simplifie doivent tre dclars la CNIL avant leur mise en uvre. Cette dclaration peut tre effectue par voie lectronique. Les traitements, automatiss ou non, portant sur des donnes relatives aux infractions, condamnations ou mesures de sret peuvent tre mis en uvre par les auxiliaires de justice pour les besoins de lexercice des missions qui leur sont confies par la loi (art. 9-2 de la loi informatique et liberts). Ils nont pas tre pralablement autoriss par la CNIL mais doivent lui tre dclars au moyen dune dclaration normale (art. 25-I-3 de la loi informatique et liberts). A titre illustratif, les traitements informatiques mis en uvre par les cabinets davocats pour viter quun conflit dintrts surgisse loccasion de lexercice de leurs missions de conseil, de reprsentation et de dfense, doivent tre dclars la CNIL. De mme, les traitements dits de client relationship management (CrM), qui sapparentent des annuaires partags de clients intgrant un historique des relations de ces derniers avec le cabinet, relvent de la norme simplifie n 48 ou, si le traitement mis en uvre ne correspond pas au champ dfini par celle-ci, du rgime de la dclaration normale. Il faut veiller ce quun ventuel espace champ libre des CrM ne contienne aucune apprciation subjective sur les clients.

GuIDe PrAtIque AVOCAtS

16

F I C h e

L e s

F I C h I e r s

3. une dclaration normale pour les autres traitements ayant trait la clientle

r e L At I F s

La norme simplifie n 48 autorise les transferts de donnes personnelles relatives la gestion des fichiers clients vers des pays non-membres de lUnion europenne, condition quils garantissent un niveau suffisant de protection. Ce niveau peut-tre obtenu notamment par la mise en uvre des clauses contractuelles types de la Commission europenne ou de rgles internes ayant fait lobjet dune dcision favorable de la CNIL. Le responsable du traitement doit clairement informer les personnes concernes du transfert, de sa finalit, des donnes transmises, des destinataires ainsi que des moyens dencadrement mis en place.

A U x

C L I e N t s

Les traitements portant sur des donnes relatives aux infractions, condamnations ou mesures de sret qui sont mis en uvre par les avocats pour les besoins de leur mission de dfense des justiciables, nont pas tre pralablement autoriss par la CNIL. Il existe nanmoins des cas dans lesquels les cabinets doivent solliciter une autorisation de la CNIL. Il en est ainsi, notamment, lorsque la mission de dfense dun client ne peut tre avance comme finalit et que le traitement en cause est susceptible dexclure une personne dun droit, dune prestation ou dun contrat en labsence de toute disposition lgislative ou rglementaire, ou que des fichiers sont interconnects. a - Le cas des listes dexclusion une liste dexclusion, plus communment appele liste noire, est un fichier recensant des personnes indsirables. Si aucune disposition lgale ou rglementaire ninterdit la constitution de telles listes, le risque dexclusion et de marginalisation des personnes fiches a nanmoins conduit le lgislateur encadrer leur mise en uvre. Ainsi, larticle 25 I-4 de la loi informatique et liberts dispose : Sont mis en uvre aprs autorisation de la CNIL [] les traitements automatiss susceptibles, du fait de leur nature, de leur porte ou de leurs finalits, dexclure des personnes dun droit, dune prestation ou dun contrat en labsence de toute disposition lgislative ou rglementaire . La mise en uvre de traitements automatiss visant viter les conflits dintrts entre plusieurs clients dun cabinet peuvent conduire la constitution de liste dexclusion. toutefois, ces traitements ne sont pas soumis une autorisation de la CNIL, en raison de lexistence dune disposition les prvoyant (art. 7 dcret n2005-790 du 12 juillet 2005 relatif aux rgles de dontologie de la profession davocat ; art. 4.1 rIN). Ils doivent cependant faire lobjet dune dclaration normale. Si un cabinet davocats, au-del de la gestion des relances et des impays, envisage dtablir un fichier pour lister les clients que le cabinet ne souhaite plus conseiller ou reprsenter, en raison dun risque de non paiement des honoraires par exemple, une autorisation pralable doit tre sollicite auprs de la CNIL. De la mme manire, la constitution dune liste dexclusion de stagiaires ou de collaborateurs indlicats devrait, le cas chant, galement tre autorise par la CNIL. A cet gard, la Commission recommande que linscription dune personne ou lenregistrement de donnes la concernant dans un fichier destin recenser des mauvais payeurs repose sur des motifs objectivement vrifiables, dune part, et fasse abstraction de tout jugement de valeur ou apprciation de son comportement, dautre part.

17

F I C h e

L e s

F I C h I e r s

r e L At I F s

A U x

C L I e N t s

4. une autorisation pralable de la cnIL pour les traitements lists larticle 25 de la loi informatique et liberts :

Il convient, en outre, dassurer une gestion rigoureuse des habilitations et des contrles daccs, ainsi que de dfinir une politique de journalisation et de gestion des mots de passe afin de se prmunir contre les risques dintrusion et de dtournement. Afin de garantir le droit loubli, dont le principe est tir des dispositions de larticle 6 de la loi du 6 janvier 1978 modifie, les dures de conservation des donnes doivent tre proportionnes au regard des motifs de linscription. Des procdures de mise jour rgulires doivent ainsi tre mises en place, afin de garantir que linscription dans une liste noire sera supprime ds rgularisation de lincident. en cas de non rgularisation, le maintien de linscription ne peut toutefois tre considr comme proportionn que sil est assorti dune limite raisonnable dans le temps. eu gard la protection particulire du droit reconnu tous dtre assist ou reprsent en justice par un avocat et la protection de ces donnes par le secret professionnel (art. 2 du rIN), la mutualisation de listes noires entre lensemble des cabinets davocats nest pas envisageable. b - Le cas des interconnexions de fichiers Larticle 25-I-5 de la loi informatique et liberts dispose : Sont mis en uvre aprs autorisation de la CNIL [] les traitements automatiss ayant pour objet : - linterconnexion de fichiers relevant dune ou plusieurs personnes morales grant un service public et dont les finalits correspondent des intrts publics diffrents ; - linterconnexion de fichiers relevant dautres personnes et dont les finalits principales sont diffrentes. Les cabinets qui envisagent dinterconnecter des fichiers de finalits distinctes doivent, ds lors, solliciter une autorisation de la CNIL. Ils seront ainsi invits adresser la CNIL un organigramme fonctionnel de lapplication en vue de permettre un contrle, par le service de lexpertise de la Commission, des diffrents processus dinterrogation et dintgration des donnes issues de fichiers extrieurs. Le service juridique vrifiera, ensuite, quaucune dcision ne peut tre fonde sur la seule base de ce traitement automatis conformment aux dispositions de larticle 10 de la loi du 6 janvier 1978 modifie.

GuIDe PrAtIque AVOCAtS

18

F I C h e

L e s

F I C h I e r s

r e L At I F s

A U x

C L I e N t s

Les motifs dinscription doivent tre prtablis et linscription doit tre effectue par des agents habilits disposant de moyens pour vrifier le caractre certain du manquement imput la personne concerne.

Fiche n 2 : Laccs au dossier professionnel


1. un droit daccs quelles donnes ?
Lintress peut obtenir communication de lensemble des donnes le concernant, quelles soient conserves sur support informatique ou sur un support papier. Par exemple, il a le droit daccder aux donnes relatives : - son recrutement ; - son historique de carrire ; - sa rmunration ; - lvaluation de ses comptences professionnelles (entretiens dvaluation, notation).
P r o F e s s I o N N e L F I C h e N 2 : L A C C s A U D o s s I e r

Par principe, tout salari, ancien salari ou collaborateur justifiant de son identit a le droit daccder son dossier professionnel auprs du service du personnel.

2. Limites au droit daccs


un salari, ancien salari ou collaborateur na pas le droit daccder : - aux donnes concernant la situation personnelle dun tiers ; - aux donnes prvisionnelles de carrire qui nont pas t utilises pour prendre une dcision le concernant (potentiel de carrire, classement ou ranking ) ; Par exception, il est possible daccder aux donnes prises en compte pour dcider dune augmentation de rmunration, dune promotion, dune affectation ou, plus gnralement, toute donne ayant servi prendre une dcision lgard dun membre du cabinet. Il est possible de sopposer aux demandes manifestement abusives (demandes rptitives ). en cas de contestation, il convient de pouvoir dmontrer ce caractre manifestement abusif.

3. comment sexerce le droit daccs ?


Le droit daccs peut sexercer sur place ou par crit. Il faut rpondre immdiatement si la demande est effectue sur place ou dans un dlai maximal de 2 mois si la demande est crite (ou sil est impossible de rpondre immdiatement la demande sur place). un ventuel refus doit tre crit, motiv et mentionner les voies et dlais de recours. une copie des donnes est dlivre lintress sa demande. Seul le cot de la copie peut ventuellement lui tre rclam. Les codes, sigles et abrviations figurant dans les documents communiqus doivent tre expliqus, si ncessaire laide dun lexique. Comment dclarer les dossiers professionnels ? La norme simplifie n 46 concerne, notamment, la gestion des dossiers professionnels des employs tenus conformment aux dispositions lgislatives et rglementaires, ainsi quaux dispositions statutaires, conventionnelles ou contractuelles qui rgissent les intresss. Il faut procder un engagement de conformit en rfrence cette norme, sauf si un correspondant informatique et liberts a t dsign (dispense de dclaration dans ce dernier cas).

19

Fiche n 3 : Le contrle de lactivit des membres du cabinet


C A b I N e t F I C h e N 3 : L e C o N t r L e D e L A C t I v I t D e s M e M b r e s D U

Afin dassurer la scurit de leur rseau et/ou de leurs ressources informatiques, les cabinets davocats peuvent tre amens mettre en place des outils visant contrler lutilisation des logiciels informatiques mis disposition de leurs membres. Ce contrle est lgitime sil est ralis de manire transparente, cest--dire avec une parfaite information des utilisateurs. La rdaction dune Charte dutilisation des outils informatiques apparat particulirement utile pour rappeler les obligations mutuelles du cabinet et des utilisateurs, dfinir les modalits de contrle et les sanctions auxquelles sexposerait un utilisateur qui ne respecterait pas les rgles dutilisation. Attention ! Les traitements de contrle de lactivit des membres de cabinets davocats peuvent concerner les salaris dun cabinet. en ce qui concerne les collaborateurs libraux, labsence de tout lien de subordination associe leur indpendance (art. 7 de la loi n 71-1130 du 31 dcembre 1971 modifi par la loi n 2005-882 du 2 aot 2005 ; art. 1er et 14 du rIN) exclut en principe tout contrle de leur activit, notamment loccasion des changes avec leur clientle personnelle. Il est donc ncessaire de prendre en compte les principes essentiels rgissant la profession davocat dans la Charte dutilisation des outils informatiques.

A. Le contrle du temps pass sur les dossiers


Pour facturer ses prestations, un cabinet davocat peut mettre en place un logiciel de facturation permettant de calculer le temps pass sur les dossiers et didentifier les diligences accomplies. Ce logiciel a une finalit spcifique qui ne saurait tre dtourne des fins de contrle de lactivit des membres du cabinet. Ce type de logiciel est soumis au rgime de la dclaration normale, conformment larticle 22 de la loi du 6 janvier 1978 modifie.

B. Laccs aux dossiers contenus dans un poste informatique


Le cas des fichiers et des rpertoires crs par un salari
Il a t jug que les fichiers crs par un salari grce loutil informatique mis sa disposition par son employeur sont prsums avoir un caractre professionnel, sauf sils sont identifis comme tant personnels, de sorte que lemployeur peut y accder hors la prsence du salari (Cass. soc. 18 octobre 2006, pourvois n0448025 et 04-47400). Il convient de prciser que lidentification dun dossier par les initiales dun salari ne permet pas de le considrer comme tant personnel (Cass. soc. 21 octobre 2009, pourvoi n07-43877).

GuIDe PrAtIque AVOCAtS

20

Les mots de passe constituent des mesures de scurit visant protger les donnes figurant dans les postes informatiques. Ils doivent tre frquemment modifis et, en principe, ne pas tre ports la connaissance de tiers. toutefois, si un membre du cabinet dtenant sur son poste informatique des informations ncessaires la poursuite de lactivit est absent, il est possible de lui demander de communiquer son mot de passe et, le cas chant, de passer outre son refus. Lassoci ou le collaborateur mandat pour rcuprer ces informations ne doit toutefois pas accder au contenu personnel de lintress et, notamment, aux informations concernant lventuelle clientle personnelle dun avocat collaborateur. Dans cette hypothse, le recours aux services dun administrateur rseau, soumis une obligation de confidentialit vis--vis de son employeur, serait ainsi prfrable. La CNIL recommande que les modalits daccs aux donnes stockes sur lenvironnement informatique dune personne absente soient pralablement dfinies en concertation et diffuses auprs des personnes susceptibles dtre concernes (via une Charte par exemple).

21

F I C h e

L e

C o N t r L e

Les collaborateurs et les salaris sont-ils tenus de communiquer leurs mots de passe ?

D e

L A C t I v I t

Il nest cependant pas impossible dinterdire aux salaris de dtenir de telles images sur leurs postes informatiques professionnels. La dtention dimages pornographiques sur un poste informatique professionnel peut tre sanctionne, si une Charte informatique intgre au rglement intrieur le prvoit (Cass. soc. 15 dcembre 2010, pourvoi n 09-42691).

D e s

Le contrle dun poste informatique doit se faire lexclusion de toute considration morale. La chambre sociale de la Cour de cassation considre en effet que la seule conservation sur son poste informatique de trois fichiers contenant des photos caractre pornographique sans caractre dlictueux ne constituait pas, en labsence de constatation dun usage abusif affectant son travail, un manquement du salari aux obligations rsultant de son contrat susceptible de justifier son licenciement (Cass. Soc. 8 dcembre 2009, n 08-42097).

M e M b r e s

D U

C A b I N e t

Si un fichier est identifi comme tant personnel, lemployeur ne peut y avoir accs quen prsence du salari ou si celui-ci a t dment appel, ou en cas de risque ou vnement particulier . Le salari ne peut pas sopposer un tel accs si ces conditions ont t respectes.

Il est souhaitable que les modalits de fermeture dun compte soient prvues dans une Charte informatique. Il est notamment recommand davertir la personne concerne de la date de fermeture de son compte afin quelle puisse vider son espace priv.

c. Le contrle de lutilisation dinternet et des messageries lectroniques


Pour lexercice de leur activit professionnelle, les salaris et les collaborateurs libraux ont gnralement disposition un poste de travail informatique connect internet et dot dune messagerie lectronique. Lutilisation sur le lieu de travail de ces outils des fins autres que professionnelles est gnralement tolre. elle doit rester raisonnable et ne doit pas affecter la scurit des rseaux ou la productivit du cabinet. Aprs linformation et la consultation des instances reprsentatives du personnel, lorsquelles existent, les membres du cabinet doivent tre individuellement informs de la finalit et des modalits du dispositif de contrle, ainsi que de la dure de conservation des donnes de connexion. Linformation des personnes peut se faire par la diffusion dune Charte dutilisation des rseaux. La CNIL recommande une dure de conservation ne dpassant pas six mois. en cas darchivage automatique des messages lectroniques, les salaris et les collaborateurs salaris doivent galement tre informs de la dure de conservation des messages, des modalits darchivage et dexercice de leurs droits. Les messages lectroniques identifis comme tant personnels ne doivent pas tre archivs.

A titre illustratif, il est possible de mettre en place des dispositifs de filtrage des sites non autoriss ( caractre pornographique, pdophile, incitant la haine raciale ). un cabinet peut galement fixer des limites dictes par une exigence de scurit, telles que linterdiction de tlcharger des logiciels, de se connecter un forum, dutiliser un chat , ou daccder une bote aux lettres personnelle compte tenu des risques de virus quun tel accs est susceptible de prsenter.

GuIDe PrAtIque AVOCAtS

22

F I C h e

un cabinet davocat peut fixer des conditions et limites lutilisation dinternet, lesquelles ne constituent pas, en soi, des atteintes la vie prive de ses membres.

Le contrle de lutilisation dinternet

L e

C o N t r L e

D e

L A C t I v I t

D e s

M e M b r e s

D U

C A b I N e t

comment organiser la fermeture du compte utilisateur lors du dpart dun collaborateur ou dun salari ?

Les courriels mis ou reus grce un outil informatique professionnel sont toutefois prsums avoir un caractre professionnel, moins dtre clairement identifis comme tant personnels (Cass. soc. 30 mai 2007, pourvoi n0543102). dfaut dune telle identification, lemployeur peut y accder en dehors de la prsence du salari. Il appartient ainsi aux salaris et collaborateurs salaris didentifier leurs messages personnels en les nommant comme tels. Si un message non identifi comme personnel savre relever en ralit de la vie prive de la personne concerne, ce message ne peut tre utilis lappui dune sanction (Cass. soc. 5 juillet 2011, pourvoi n10-17284). Les messages lectroniques adresss ou reus par les collaborateurs libraux, quils soient professionnels ou personnels, ne peuvent tre consults par un tiers non autoriss.

Si un dispositif de contrle individuel nest pas mis en place, une messagerie professionnelle peut faire lobjet dun engagement de conformit en rfrence la norme simplifie n 46. Dans lhypothse inverse, le traitement doit tre dclar la CNIL (dclaration normale), sauf dsignation dun correspondant informatique et liberts au sein du cabinet.

23

F I C h e

comment dclarer

L e

C o N t r L e

D e

L A C t I v I t

une communication lectronique pouvant avoir le caractre dune correspondance prive, elle est protge par le secret des correspondances (art. 226-15 et 432-9 du code pnal).

D e s

Le contrle de lutilisation de la messagerie

M e M b r e s

Si un cabinet dcide de mettre en place un dispositif ne permettant pas de contrler individuellement lactivit des salaris, ce dispositif peut faire lobjet dune dclaration de conformit en rfrence la norme simplifie n 46.

D U

Comment dclarer : Lorsquun cabinet met en place un dispositif de contrle individuel des salaris destin produire un relev des connexions ou des sites visits, poste par poste, le traitement mis en uvre doit tre dclar la CNIL (dclaration normale), sauf si un correspondant informatique et liberts a t dsign en son sein.

C A b I N e t

un usage personnel du tlphone sur le lieu de travail est tolr condition que cette utilisation demeure raisonnable et non prjudiciable pour le cabinet. Il est ds lors lgitime de sassurer de ce caractre non abusif. Le contrle doit toutefois soprer dans des conditions propres garantir le respect de la vie prive et des liberts de chacun.

Les autocommutateurs sont des standards tlphoniques qui permettent dorienter lensemble des communications tlphoniques. Ils peuvent servir la comptabilisation statistique des flux entrants et sortants au niveau du cabinet, dun dpartement, dun service ou dun poste en particulier. relis des logiciels de taxation , ils peuvent galement permettre dimputer et de contrler les dpenses tlphoniques du cabinet. Ces appareils pouvant enregistrer les numros de tlphone composs, ou celui dun interlocuteur, ils sont susceptibles dtre utiliss pour identifier les communications relevant dun usage non professionnel. Lorsque des relevs sont tablis, les quatre derniers chiffres des numros composs doivent par dfaut tre occults. en cas dutilisation manifestement abusive du tlphone au regard de son utilisation moyenne au sein du cabinet, un relev justificatif complet des numros composs ou des services de tlphonie utiliss peut toutefois tre tabli par le responsable de la personne concerne. Cette dernire doit avoir la possibilit dapporter dventuelles explications. La CNIL recommande que la dure de conservation des donnes relatives lutilisation des services de tlphonie nexcde pas un an.

GuIDe PrAtIque AVOCAtS

24

F I C h e

L e

C o N t r L e

La mise en place dautocommutateurs

D e

L A C t I v I t

1. Lutilisation du tlphone

D e s

A cet gard, il est souhaitable que les avocats protgent lutilisation de leurs tlphones par un code de verrouillage aprs une courte priode dinactivit, le code PIN de la carte SIM ne suffisant pas.

M e M b r e s

Afin de prvenir le risque de dtournement de ces informations, un cabinet doit, par consquent, prendre toutes les prcautions utiles pour sassurer de leur confidentialit.

D U

Les Smartphones , ou tlphones intelligents, proposent des applications et des services qui utilisent des informations sensibles qui peuvent concerner tant les membres du cabinet que les clients (localisation, mails, contacts, pices jointes, agendas, comptabilits ).

C A b I N e t

d. Le contrle de la tlphonie

Il est interdit de contrler les appels mis ou reus par les personnes investies dun mandat de reprsentation du personnel, lorsquelles sont dans le cadre de lexercice de leur mandat. Depuis un arrt de la Cour de cassation du 6 avril 2004, les employs investis dun mandat lectif ou syndical doivent disposer dun matriel excluant linterception de leurs communications tlphoniques et lidentification de leurs correspondants. Il convient ainsi, par exemple, de leur mettre disposition un poste tlphonique non connect lautocommutateur ou disposant dune fonction de dsactivation de ce dernier.

Les fichiers mis en uvre dans le cadre de lutilisation dun service de tlphonie fixe ou mobile peuvent tre dclars par un engagement de conformit la norme simplifie n 47. Si le dispositif excde le cadre prvu par cette norme, le cabinet doit effectuer une dclaration normale sauf sil a dsign un correspondant informatique et liberts en son sein. Dans ce dernier cas, il est en effet dispens de dclaration.

2. Lenregistrement et lcoute de conversations tlphoniques


Il est possible de procder lenregistrement et lcoute dune conversation tlphonique tenue par un salari sur son lieu de travail, sous rserve de lapplication des principes essentiels rgissant la profession davocat. Lcoute clandestine de conversations tenues entre un avocat collaborateur et sa clientle personnelle apparat quant elle impossible.

Aprs linformation et la consultation pralable des institutions reprsentatives du personnel (voir notamment lart. L.2323-33 du code du travail pour linformation obligatoire du comit dentreprise sur les moyens et techniques de contrle de lactivit), les salaris et leurs interlocuteurs doivent tre informs de la mise en place du dispositif, de son objectif, de ses consquences individuelles ventuelles, des destinataires des enregistrements, ainsi que des modalits dexercice de leurs droits daccs. Lenregistrement ainsi que lcoute de conversations de salaris ne peuvent tre des oprations permanentes, sauf lgislation particulire limposant. Ces oprations ne peuvent tre ralises quen cas de ncessit reconnue et doivent tre

25

F I C h e

quelles garanties pour les salaris ?

L e

C o N t r L e

D e

L A C t I v I t

comment dclarer ?

D e s

M e M b r e s

D U

C A b I N e t

La situation des salaris protgs

Les employs doivent disposer de lignes tlphoniques non relies au systme denregistrement ou dun dispositif technique leur permettant, en cas de conversation prive, de se mettre hors du champ du dispositif denregistrement, tant pour les appels entrants que sortants. Les employs investis dun mandat lectif ou syndical doivent disposer dun matriel excluant linterception de leurs communications tlphoniques et lidentification de leurs correspondants, par exemple via une ligne non connecte lautocommutateur ou ne pouvant donner lieu la production dune facturation dtaille. Lorsquun enregistrement est ralis des fins de formation, la CNIL recommande une dure de conservation maximale de 6 mois.

comment dclarer ?
Lenregistrement de conversations tlphoniques doit faire lobjet dune dclaration normale auprs de la CNIL si le dispositif repose sur des moyens numriques. Lcoute de conversations tlphoniques doit, quant lui, faire lobjet dune dclaration normale auprs de la CNIL si elle est suivie dun compte rendu ou dune grille danalyse. en cas de dsignation dun correspondant informatique et liberts, aucune dclaration nest ncessaire.

Dans le cadre du contrle des notes de frais que le Cabinet doit tre en mesure de produire ses clients, le contrle des dplacements effectus par des membres du cabinet doit avoir pour unique finalit de rendre la facturation transparente.

GuIDe PrAtIque AVOCAtS

26

F I C h e

Dans le cadre de leurs missions, les avocats peuvent tre amens recourir des services de transport (taxi, train, avion). Ces services peuvent faire lobjet dun abonnement et dun dcompte financier facturable aux clients.

Les frais de dplacement

L e

e. Les frais professionnels

C o N t r L e

D e

L A C t I v I t

D e s

M e M b r e s

D U

C A b I N e t

proportionnes au but recherch. Il peut sagir, par exemple, dun enregistrement limit dans le temps des fins de formation ou dvaluation des comptences.

Les frais de bouche


Les avocats peuvent se voir rembourser une partie forfaitaire de leurs frais de bouche . Ces services peuvent faire lobjet dune facturation et dune comptabilit part entire. tout djeuner ou diner factur tant prsum revtir un caractre professionnel, le contrle de ces frais nest pas susceptible de porter atteinte la vie prive des collaborateurs. Nanmoins, les avocats doivent tre informs des ventuelles modalits de contrle. Les traitements informatiss ayant trait aux frais professionnels des avocats doivent faire lobjet dune dclaration normale, ds lors quils permettent un contrle individuel de leur activit.

27

F I C h e

L e

C o N t r L e

D e

L A C t I v I t

D e s

M e M b r e s

Nanmoins, conformment larticle 32 de la loi du 6 janvier 1978 modifie, les avocats doivent tre informs des conditions dun ventuel contrle de leurs dplacements.

D U

C A b I N e t

Attention ! tout dplacement factur un client est prsum revtir un caractre professionnel. Ds lors, le contrle de ces dplacements grce un compte ouvert dans une entreprise de transport nest pas susceptible, par principe, de porter atteinte la vie prive des collaborateurs.

Fiche n 4: Le contrle de laccs aux locaux


L o C A U x F I C h e N 4 : L e C o N t r L e D e L A C C s A U x

Sur le lieu de travail, les associs agissant en qualit demployeur peuvent tre amens contrler les accs aux locaux ou la gestion de la restauration (badges lectroniques, dispositifs biomtriques ou encore vidoprotection).

A. Lutilisation de badges sur le lieu de travail


Des badges lectroniques (cartes magntiques ou puce) peuvent servir au contrle des accs aux locaux ou la gestion de la restauration. Ces dispositifs, qui comportent des donnes permettant lidentification des personnes concernes, sont soumis la loi informatique et liberts. Ils doivent donc tre dclars la CNIL sauf dsignation dun correspondant informatique et liberts.

quelles garanties prvoir ?


Chaque passage du badge dans un lecteur permet lenregistrement de donnes relatives son dtenteur. Ces enregistrements prsentent des risques dutilisation dtourne et sont susceptibles de tracer les dplacements des avocats et salaris des fins de surveillance. Des garanties particulires doivent donc tre apportes par le cabinet pour viter de tels dtournements. Il convient notamment de prciser : - la finalit du dispositif (ex : contrle des accs, gestion des temps de prsence des salaris, gestion de la restauration ) ; - les informations collectes ; - les services destinataires des donnes ; - les modalits dexercice des droits daccs et de rectification aux donnes. Les membres dun cabinet davocats doivent tre parfaitement informs de ces modalits, pralablement la mise en uvre du systme (Cf. modle propos en annexe).

comment dclarer ?
Si le dispositif envisag respecte en tous points le cadre fix par la norme simplifie n 42, le cabinet peut effectuer un simple engagement de conformit cette norme, sauf dsignation dun correspondant informatique et liberts qui lexonrerait de dclaration. A dfaut, il devra effectuer une dclaration normale.

GuIDe PrAtIque AVOCAtS

28

1. Le cadre juridique
tous les dispositifs de reconnaissance biomtrique sont soumis une autorisation pralable de la CNIL, quel que soit le procd technique utilis (contour ou forme de la main, empreinte digitale, rseau veineux ). Il appartient chaque cabinet davocats dadresser une demande dautorisation la CNIL ou, le cas chant, un engagement de conformit une autorisation unique.

2. des formalits allges pour certains dispositifs biomtriques


La CNIL a labor des autorisations uniques pour certains dispositifs biomtriques. Lorsquun cabinet souhaite mettre en uvre un dispositif biomtrique rpondant aux conditions de ces autorisations, il lui suffit dadresser la Commission un simple engagement de conformit. La procdure dautorisation unique peut concerner les dispositifs biomtriques reposant sur la reconnaissance : - du contour de la main pour assurer le contrle daccs et la gestion des horaires et de la restauration sur les lieux de travail (autorisation unique n7) ; - de lempreinte digitale, exclusivement enregistre sur un support individuel dtenu par la personne concerne, pour contrler laccs aux locaux professionnels (autorisation unique n8) ; - du rseau veineux des doigts de la main pour le contrle de laccs aux locaux sur les lieux de travail (autorisation unique n19) ; - de lempreinte digitale pour le contrle de laccs aux postes informatiques portables professionnels (autorisation unique n27). Attention : Lutilisation de dispositifs de reconnaissance biomtrique, pour la gestion des contrles daccs aux locaux, des horaires et de la restauration ne peut tre dclare en rfrence la norme simplifie n 42, relative aux traitements de contrle daccs.

3. La ncessaire information pralable des intresss


Les personnes concernes par un dispositif biomtrique doivent tre clairement informes de ses conditions dutilisation, de son caractre obligatoire ou

29

F I C h e

4 :

L e

C o N t r L e

D e

L A C C s

ces dispositifs ne peuvent tre mis en uvre sans autorisation pralable de la cnIL.

A U x

Les dispositifs biomtriques, parce quils permettent didentifier une personne par ses caractristiques physiques, biologiques voire comportementales, sont particulirement sensibles et soumis un contrle particulier de la CNIL.

L o C A U x

B. La biomtrie sur le lieu de travail

4. comment dclarer ?
Si le dispositif biomtrique est conforme lune des autorisations uniques adoptes par la CNIL, il suffit dadresser la Commission une simple dclaration de conformit qui peut seffectuer directement sur son site internet. Les traitements ne relevant pas de lune de ces autorisations uniques doivent faire lobjet dune demande dautorisation disponible en ligne sur le site de la CNIL

B. La vidoprotection
une rflexion pralable linstallation dun systme de vidoprotection, base sur une analyse prcise des risques tenant compte des incidents ventuellement survenus, doit tre mene afin didentifier des solutions alternatives pour le cabinet. une scurisation des accs au moyen de badges magntiques peut, par exemple, constituer une rponse adapte lobjectif poursuivi. Le dploiement de camras sur un lieu de travail doit rpondre un fort impratif de scurit pour des personnes ou des zones de travail exposes un risque particulier. Il ne peut avoir pour objectif la mise sous surveillance spcifique dun ou plusieurs salaris. La mise en uvre de dispositifs de vidoprotection doit ncessairement seffectuer de faon adquate, pertinente, non excessive et strictement ncessaire par rapport lobjectif poursuivi. Le nombre, lemplacement, lorientation, les fonctionnalits, les priodes de fonctionnement ou encore la nature des tches accomplies par les personnes filmes sont autant dlments prendre en compte lors de lvaluation du caractre proportionn du systme. Ltat actuel du droit se caractrise par la concurrence de deux rgimes juridiques distincts. Celui de la loi du 6 janvier 1978 modifie (dclaration normale), ainsi que celui de larticle 10 de la loi du 21 janvier 1995 modifie dorientation et de programmation pour la scurit (autorisation prfectorale). Le rgime juridique applicable en matire de vidoprotection peut, ds lors, savrer complexe apprhender. une circulaire du Premier ministre en date du 14 septembre 2011 (NOr : PrMX1124533C) relative au cadre juridique applicable linstallation de camras de vidoprotection sur la voie publique et dans des lieux ou tablissements ouverts au public, dune part, et dans des lieux non ouverts au public, dautre

GuIDe PrAtIque AVOCAtS

30

F I C h e

4 :

L e

C o N t r L e

D e

L A C C s

A U x

en outre, conformment au code du travail, les institutions reprsentatives du personnel doivent, le cas chant, tre consultes et informes avant la mise en uvre du dispositif.

L o C A U x

facultatif, des destinataires des informations et des modalits dexercice de leurs droits dopposition, daccs et de rectification (Cf. modle propos en annexe).

Pour connaitre la formalit applicable, il convient de dterminer si le dispositif concerne un lieu public (ou un lieu ouvert au public) ou un lieu priv (ou un lieu non ouvert au public). A savoir : La CNIL est comptente pour contrler tous les systmes de vidoprotection, quils soient installs dans des lieux publics ou dans des lieux ferms au public. Le rgime juridique peut se prsenter de la manire suivante : Lieu ouvert au public : seule une autorisation prfectorale est ncessaire si le systme de vidoprotection est install dans un lieu auquel le public peut accder librement (ex : accueil du cabinet, parking ouvert au public). Lieu ferm au public : seule une dclaration normale auprs de la CNIL est ncessaire si le systme de vidoprotection est install dans un lieu non accessible au public (parking rserv au personnel, salle de serveurs informatiques ), dune part, et que les images sont enregistres ou conserves dans des traitements informatiss (vido IP, stockage des images sur support numrique ), dautre part. Lorsque les images ne sont pas enregistres (ex : surveillance en temps rel), le systme na pas tre dclar la CNIL. Lieu mixte : il est ncessaire dobtenir une autorisation prfectorale et deffectuer une dclaration normale auprs de la CNIL. Prcision : Lorsque le dispositif de vidoprotection saccompagne dun dispositif biomtrique (reconnaissance faciale, analyse comportementale), il doit faire lobjet dune autorisation pralable de la CNIL.

1. Lobligation dinformation : pas de surveillance linsu des personnes


La consultation des reprsentants du personnel Sil existe des institutions reprsentatives du personnel au sein du cabinet, elles doivent tre consultes avant toute mise en uvre dun systme de vidoprotection et prcisment informes des fonctionnalits envisages. Linformation des personnes concernes Les personnes concernes (collaborateurs libraux, salaris, clients, visiteurs) doivent tre informes, au moyen dun panneau affich de faon visible dans les locaux, de lexistence du dispositif, des destinataires des images, ainsi que des modalits concrtes dexercice de leur droit daccs aux enregistrements visuels les concernant (Cf. modle propos en annexe).

31

F I C h e

4 :

L e

C o N t r L e

D e

L A C C s

A U x

L o C A U x

part, apporte des prcisions sans toutefois rsoudre lensemble des difficults.

3. une dure de conservation des images limite


Sauf enqute ou information judiciaire, la dure de conservation des images enregistres par un dispositif de vidoprotection ne doit pas excder quelques jours. Lorsque cela est techniquement possible, une dure maximale de conservation doit tre paramtre dans le systme. elle ne doit pas tre fixe en fonction de la capacit de stockage. en tout tat de cause, les images ne doivent pas tre gardes au-del dun mois.

4. comment dclarer ?
un systme de vidoprotection numrique ne peut tre mis en uvre que sil a pralablement fait lobjet dune dclaration normale auprs de la CNIL, sauf dsignation dun correspondant informatique et liberts. un systme qui naurait pas fait lobjet dune telle dclaration ne serait pas opposable.

GuIDe PrAtIque AVOCAtS

32

F I C h e

4 :

L e

C o N t r L e

D e

L A C C s

Les images enregistres ne peuvent tre visionnes que par les seules personnes habilites dans le cadre de leurs fonctions, par exemple, les responsables de la scurit du cabinet. Ces personnes doivent tre particulirement formes et sensibilises aux rgles encadrant la mise en uvre dun systme de vidoprotection.

A U x

L o C A U x

2. une visualisation des images restreinte aux seuls destinataires habilits

Fiche n 5: Les avocats et internet


I N t e r N e t F I C h e N 5 : L e s A v o C At s e t

Dans le cadre de leur activit professionnelle, les avocats peuvent tre amens crer ou alimenter des sites internet. Depuis la suppression en 2006 de la dclaration spcifique des sites internet, ces derniers nont plus tre dclars en tant que tels auprs de la CNIL. Cependant, si un traitement de donnes caractre personnel est ralis partir dun site internet, il convient de dclarer ce traitement sil ne relve pas dune dispense de dclaration ou dune dclaration simplifie.

A. une dispense de dclaration des sites internet exclusivement crs des fins dinformation ou de communication externe
Les traitements constitus des fins dinformation ou de communication externe sont des traitements courants qui ne paraissent pas susceptibles de porter atteinte la vie prive des personnes dans le cadre dune utilisation rgulire. La CNIL estime, en consquence, quil y a lieu de faire bnficier les sites internet purement informatifs dun allgement des formalits pralables. Les traitements raliss sur ces sites sont dispenss de dclaration en vertu de la dispense n 7 (dlibration n 2006-138). Les donnes enregistres ne peuvent faire lobjet dun traitement ultrieur, dune interconnexion ou dune mise en relation avec dautres applications. Les donnes enregistres ne peuvent pas tre utilises des fins de dmarchage politique, lectoral ou commercial. La dispense n 7 fixe une liste limitative des donnes pouvant tre enregistres: - identit des personnes : nom, prnom, adresse, n de tlphone (fixe ou mobile), n de tlcopie, adresse lectronique ; - vie professionnelle : adresse professionnelle, qualit ou fonction, titres et distinctions ; - centres dintrts, lexclusion de ceux faisant apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, lappartenance syndicale, ou qui sont relatifs la sant ou la vie sexuelle ; - donnes de connexion des seules fins statistiques destimation de la frquentation du site: date, heure, adresse IP de lordinateur du visiteur, page consulte ; Les newsletters envoyes par voie lectronique aux clients de cabinets davocats peuvent bnficier de la dispense de dclaration n 7.

33

en revanche, ne peuvent prtendre au bnfice de lexonration les traitements automatiss impliquant la transmission de donnes vers des pays tiers lunion europenne ne garantissant pas un niveau de protection adquat, y compris lorsque cette transmission est ralise des fins de sous-traitance. Ces traitements font lobjet de formalits dclaratives pralables auprs de la CNIL, dans les conditions prvues par la loi du 6 janvier 1978 modifie (demande dautorisation). Attention : Le fait dtre dispens de dclaration nexonre pas le responsable de traitement des autres obligations issues de la loi du 6 janvier 1978 modifie.

Par ailleurs, lors de la ralisation des oprations dinformation ou de communication, les droits daccs, de rectification et dopposition doivent tre rappels aux personnes concernes. Le responsable de traitement est galement tenu de prendre toutes prcautions utiles pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages ou que des tiers non autoriss y aient accs.

B. Les offres de service en ligne des avocats


Prenant acte de lvolution des technologies et de la dmatrialisation de certaines procdures, les avocats proposent dsormais certains de leurs services en ligne. Ils peuvent bnficier de la norme simplifie n 48 dans ce cadre, laquelle concerne les traitements automatiss de donnes caractre personnel relatifs la gestion des fichiers de clients et de prospects. Ils doivent toutefois respecter strictement son champ dapplication. Dans la mesure o les donnes traites dans le cadre de lexercice de la profession davocat excdent gnralement celles qui sont susceptibles dtre collectes conformment la norme simplifie n 48, il apparat plus opportun deffectuer une dclaration normale au regard de la nature des oprations envisages. quelle que soit la formalit pralable accomplie, les informations ne peuvent tre conserves au-del de la dure strictement ncessaire la gestion de la

GuIDe PrAtIque AVOCAtS

34

F I C h e

Les personnes concernes doivent notamment tre informes, au moment de la collecte de leurs donnes, de lidentit du responsable de traitement, des finalits poursuivies par le traitement, du caractre obligatoire ou facultatif des rponses apporter, des consquences ventuelles, leur gard, dun dfaut de rponse, des destinataires des donnes, de leur droit dopposition, daccs et de rectification ainsi que des modalits dexercice de leurs droits daccs et de rectification.

5 :

L e s

A v o C At s

e t

I N t e r N e t

Les annuaires internes, cest--dire diffuss sur intranet ou support papier et uniquement accessibles aux seuls membres du cabinet, peuvent tre dclars en rfrence la norme simplifie n 46. Les annuaires externes (ex : annuaire diffus sur internet) doivent, quant eux, faire lobjet dune dclaration normale.

c. La communication lectronique de pices


1. communication au moyen du rseau priv virtuel des avocats (rpvA)
Face aux enjeux du dveloppement de la dmatrialisation des procdures et de son ncessaire encadrement, le Conseil national des barreaux (CNB) a dcid de doter les avocats dun rseau informatique national scuris permettant de communiquer avec les greffes et, notamment, dchanger des pices et des courriers lectroniques avec les juridictions. Dans le cadre de sa mission de reprsentation et dorganisation de la profession davocat, le CNB a dvelopp la plateforme e-barreau et dploy le rPVA. Ce dernier tant connect au rseau priv virtuel justice (rPVJ) qui est mis en uvre dans les juridictions. Larticle 3 de la convention conclue le 16 juin 2010 entre la Chancellerie et le CNB, qui concerne la communication lectronique entre les juridictions ordinaires du premier et second degr et les avocats, prvoit que le ministre et le CNB sont chacun responsables de leur rseau. Ds lors, les avocats faisant le choix dadhrer au rPVA sont exonrs de toute formalit auprs de la CNIL.

2. communication au moyen dune messagerie classique


une communication lectronique de pices sans recours au rPVA implique que la messagerie utilise soit dclare la CNIL (dclaration simplifie en rfrence la norme n46 ou dclaration normale en cas de contrle individuel), dune part, et que cette communication soit suffisamment scurise pour garantir le secret de cette correspondance, dautre part. Le chiffrement des pices apparat comme une solution satisfaisante en terme de scurit, sous rserve de respecter les prcautions lmentaires prsentes dans le guide pratique de la CNIL intitul la scurit des donnes personnelles (fiches n14 et 17).

35

F I C h e

5 :

L e s

A v o C At s

Distinction annuaire interne / annuaire externe

e t

Le responsable du traitement doit prendre toutes les prcautions utiles pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages ou que des tiers non autoriss y aient accs.

I N t e r N e t

relation contractuelle, lexception de celles ncessaires ltablissement de la preuve dun droit ou dun contrat qui peuvent tre archives conformment aux dispositions de la recommandation de la CNIL n 2005-213.

Cette recommandation, rpondant au souci de concilier la diffusion en libre accs sur internet de dcisions de justice avec la protection des personnes physiques et, par consquent, dassurer un juste quilibre entre le caractre public des dcisions de justice et les droits et liberts des personnes concernes, devrait conduire les avocats rendre anonymes les dcisions de justice quils diffusent sur internet.

GuIDe PrAtIque AVOCAtS

36

F I C h e

5 :

L e s

A v o C At s

La CNIL a ainsi adopt le 29 novembre 2001 une recommandation relative la diffusion de dcisions de justice sur internet.

e t

Les bases de donnes jurisprudentielles constituent, lorsquelles comportent lidentit des parties ou permettent indirectement leur identification, des traitements automatiss de donnes caractre personnel soumis aux dispositions de la loi du 6 janvier 1978 modifie.

I N t e r N e t

d. Lanonymisation des dcisions de justice cites sur internet

La globalisation des changes et lutilisation croissante des nouvelles technologies, tant dans la sphre prive que commerciale, rend sans cesse croissant le nombre de transferts de donnes caractre personnel travers le monde. Les cabinets davocats nchappent pas ce mouvement de fond. Ils sont en effet rgulirement amens collaborer avec des structures situes ltranger, quil sagisse de cabinets tiers, de bureaux secondaires ou encore de clients. Le rglement intrieur national des avocats contient des dispositions visant assurer la confidentialit des changes avec les avocats tablis dans lunion europenne (art. 3.3) et hors de lunion europenne (art. 3.4).

A. quest-ce quun transfert de donnes au sens de la loi informatique et liberts?


On parle de transfert de donnes lorsque des donnes caractre personnel sont transfres depuis le territoire europen vers un pays situ en dehors de lunion europenne. Le transfert peut seffectuer par copie, dplacement de donnes ou lintermdiaire dun rseau. On considre galement quil y a transfert de donnes, si ces dernires sont rendues accessibles une entit situe hors de lunion europenne, et ce, mme si les donnes ne sont pas matriellement dplaces. On parle ainsi de transferts lorsquun serveur localis en France est rendu accessible une entit situe dans un pays tiers lunion europenne. Par principe, les transferts de donnes caractre personnel hors de lunion europenne sont interdits, moins que le pays ou le destinataire des donnes assure un niveau de protection adquat celui dont bnficieraient les donnes au sein de lunion europenne. Cette protection adquate peut tre apporte de plusieurs manires.

B. comment apporter un niveau de protection adquat ?


Les transferts de donnes hors de lunion europenne sont possibles dans plusieurs hypothses. Il sagit des transferts : - raliss vers un pays dont la lgislation a t reconnue par la Commission europenne comme offrant une protection adquate. Pour connatre le niveau de protection dun tat, il est possible de consulter la carte interactive diffuse sur le site internet de la CNIL (http://www.cnil.fr/ pied-de-page/liens/les-autorites-de-controle-dans-le-monde). - vers une entreprise amricaine ayant adhr aux principes du Safe Harbor ; - encadrs par la signature entre les entits exportatrice et importatrice dun

37

F I C h e N 6 : L e s t r A N s F e r t s D e D o N N e s C A r A C t r e P e r s o N N e L e N D e h o r s D e L U N I o N e U r o P e N N e

Fiche n 6: Les transferts de donnes caractre personnel en dehors de lUnion europenne

- raliss au sein dune socit ayant adopt des rgles dentreprises contraignantes (galement appels binding corporate rules ou BCr) ; - raliss dans le cadre dune des exceptions de larticle 69 de la loi du 6 janvier 1978 modifie.

1. Le Safe harbor
La Commission europenne et le Dpartement du Commerce amricain se sont mis daccord sur un ensemble de principes de protection des donnes personnelles. Les entreprises amricaines qui ont adhr ces principes peuvent recevoir des donnes caractre personnel en provenance de lunion europenne. La liste des entreprises ayant adhr ces principes est consultable partir de ladresse suivante : https://safeharbor.export.gov/list.aspx

2. Les clauses contractuelles types


La Commission europenne a adopt des modles de clauses contractuelles permettant dencadrer les transferts de donnes personnelles effectus par des responsables de traitement vers des destinataires hors de lunion europenne. elles ont pour but de faciliter la tche des responsables de traitement dans la mise en uvre des contrats de transferts. Ces clauses sont disponibles sur le site de la CNIL partie de ladresse suivante : http://www.cnil.fr/vos-responsabilites/transferer-des-donnees-aletranger/contrats-types-de-la-commission-europeenne/

3. Les rgles internes dentreprises ou binding corporate rules (BCR)


Les BCr dsignent un code de conduite dfinissant la politique interne dun groupe en matire de transferts de donnes personnelles hors de lunion europenne. Il sagit dune alternative aux Clauses contractuelles types de la Commission europenne puisque les BCr permettent dassurer un niveau de protection suffisant aux donnes transfres hors de lunion europenne. Pour en savoir plus sur les BCR Les cabinets qui peuvent avoir un intrt adopter des BCr sont ceux qui disposent de plusieurs bureaux travers le monde changeant rgulirement des donnes personnelles. Pour plus de renseignements, consultez le guide transfert diffus sur le site de la CNIL (http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/ transferts/GuIDe-transferts-integral.pdf). Il est galement possible dadresser un courriel bcr@cnil.fr ou de contacter le service international de la CNIL.
GuIDe PrAtIque AVOCAtS

38

F I C h e N 6 : L e s t r A N s F e r t s D e D o N N e s C A r A C t r e P e r s o N N e L e N D e h o r s D e L U N I o N e U r o P e N N e

contrat rdig sur le modle de lune des clauses contractuelles types adoptes par la Commission europenne ;

Outre les transferts bnficiant dune protection adquate, la loi informatique et liberts prvoit galement des exceptions au principe dinterdiction des transferts. Celles-ci sont dinterprtation stricte. Ces exceptions sont listes larticle 69 de la loi informatique et liberts du 6 janvier 1978 modifie (par exemple, il est permis de transfrer des donnes personnelles vers un pays noffrant pas de protection adquate lorsque le transfert est ncessaire la sauvegarde de la vie de la personne). Attention ! Les exceptions de larticle 69 ne concernent pas les transferts massifs, rptitifs et structurs.

c. quelles formalits accomplir en cas de transfert de donnes hors de lunion europenne ?


en toutes hypothses, les transferts de donnes hors de lunion europenne doivent tre notifis la CNIL. en pratique, le responsable de traitement doit effectuer une dclaration ou une demande dautorisation (selon le rgime applicable au traitement principal) et remplir une annexe relative au transfert de donnes. Il faut indiquer dans cette annexe, notamment, le pays destinataire, la nature des donnes transfres, la finalit du transfert, ainsi que les garanties permettant un niveau de protection adquat (exemple : entreprise adhrente au Safe Harbor, clauses contractuelles types, BCr ou exceptions vises larticle 69 de la loi du 6 janvier 1978 modifie). en fonction de la garantie apporte au transfert, ce dernier pourra tre mis en uvre : soit compter de la rception du rcpiss pour les transferts : - vers un pays dont la lgislation apporte un niveau de protection adquat ; - vers une entreprise ayant adhr aux principes du Safe harbor ; - reposant sur une des exceptions de larticle 69 de la loi informatique et liberts modifies) ; soit compter de la rception du courrier de notification dautorisation de transfert pour les transferts encadrs par : - des clauses contractuelles types ; - des rgles internes dentreprises.

d. Les transferts raliss dans le cadre dune procdure de Discovery


une procdure dite de Discovery est une phase dinvestigation et dinstruction pralable lors des procs civils ou commerciaux aux etats-unis. elle fait 39

F I C h e N 6 : L e s t r A N s F e r t s D e D o N N e s C A r A C t r e P e r s o N N e L e N D e h o r s D e L U N I o N e U r o P e N N e

4. cas particulier : les exceptions de larticle 69 de la loi informatique et liberts

Le primtre de ces changes peut tre trs large et le refus de communication peut aboutir un jugement dfavorable la partie sopposant cette communication. Depuis 2007, la CNIL a constat un accroissement des demandes de communication de donnes personnelles dtenues par des entreprises franaises dans le cadre de procdures de Discovery . elle a mis en place un groupe de travail et men de nombreuses auditions (pouvoirs publics, avocats, entreprises) afin didentifier les solutions permettant de rpondre ces demandes tout en respectant la loi informatique et liberts. La recommandation de la CNIL du 23 juillet 2009 (dlibration n 2009474) rappelle le cadre juridique dans lequel doivent sinscrire les demandes amricaines. un transfert de donnes caractre personnel opr dans le cadre dune procdure de Discovery vise la constatation, la sauvegarde ou la dfense dun droit en justice. Larticle 69-3 de la loi du 6 janvier 1978 modifie peut, ds lors, tre invoqu pour justifier le transfert des donnes. Ce dernier ne doit ainsi pas faire lobjet dune autorisation de la CNIL mais doit nanmoins lui tre dclar. une information gnrale, claire et complte de toute personne potentiellement concerne doit tre ralise pralablement la mise en place du traitement pouvant faire lobjet dun transfert ltranger dans le cadre de procdures judiciaires. en outre, une information spcifique doit tre assure au moment du transfert de donnes hors de lunion europenne. Cette information, ralise selon des modalits permettant de sassurer de sa dlivrance, prcise notamment lentit responsable du traitement, les faits du procs et le lien ncessitant la communication de ses donnes personnelles, le caractre facultatif ou non du traitement, les consquences en cas de refus de communication, les services ventuellement chargs de la recherche, les ventuels transferts de donnes caractre personnel destination dun etat non membre de lunion europenne, ainsi que les modalits dexercice des droits daccs, dopposition et de rectification. Lorsquil existe un risque que linformation de la personne concerne mette en danger la possibilit pour la partie au procs de mener une enqute ou de rassembler des preuves, linformation de la personne concerne peut tre retarde tant que ce risque existe. Lorsque des mesures conservatoires sont ncessaires, notamment pour prvenir la destruction de preuves, linformation peut intervenir aprs ladoption de ces mesures.

GuIDe PrAtIque AVOCAtS

40

F I C h e N 6 : L e s t r A N s F e r t s D e D o N N e s C A r A C t r e P e r s o N N e L e N D e h o r s D e L U N I o N e U r o P e N N e

obligation chaque partie de divulguer son contradicteur tous les lments de preuve pertinents dont elle dispose, mme si elles lui sont contraires, et ce, quelles que soient leur localisation et leur forme.

Les personnes concernes doivent bnficier en toutes circonstances dun droit dopposition, sur la base de motifs lgitimes. Les donnes collectes dans le cadre dune procdure de Discovery doivent tre adquates, pertinentes et non excessives au regard des finalits pour lesquelles le traitement est mis en uvre. La procdure amricaine intgre le principe de proportionnalit grce aux Stipulatives Court Orders. Il sagit dordonnances prises par le juge amricain garantissant que les pices communiques dans le cadre de la procdure seront utilises selon des conditions dfinies entre les parties et conserves de manire confidentielle. elles peuvent limiter le primtre des pices communiquer, spcifier les conditions lies lutilisation et la communication des tiers des donnes et prvoir des mesures de scurit et de confidentialit respecter. Les donnes doivent tre conserves pour le seul temps de la procdure ; Laccs aux donnes doit tre limit aux seules personnes qui, dans le cadre de leurs fonctions, peuvent lgitimement en avoir connaissance ; Le responsable du traitement doit garantir le droit daccder aux donnes et den demander, si elles sont inexactes, incompltes, quivoques ou primes, la rectification ou la suppression ; Le responsable du traitement doit prendre les mesures utiles pour prserver la scurit des donnes et tracer les consultations.

41

F I C h e N 6 : L e s t r A N s F e r t s D e D o N N e s C A r A C t r e P e r s o N N e L e N D e h o r s D e L U N I o N e U r o P e N N e

Il convient de recueillir le consentement libre et clair des personnes concernes et de pouvoir en rapporter la preuve.

Fiche n 7 : Le rle de lavocat en cas de contrle sur place


La dcision de procder un contrle est prise par le Prsident de la CNIL, sur proposition du service des contrles. La dcision de prvenir, ou non, le responsable de traitement auprs duquel est effectu le contrle est prise au regard des caractristiques de ce contrle. Il peut tre demand, cette occasion, communication pralable de documents particuliers relatifs, par exemple, aux moyens informatiques utiliss ou lorganisation gnrale de lorganisme contrl. La dcision du Prsident de la CNIL est notifie au dbut du contrle au responsable des lieux o se situent le ou les traitements qui font lobjet des vrifications. Le procureur de la rpublique territorialement comptent est inform, quant lui, de la date, de lheure et de lobjet du contrle avant que celui-ci ne dbute.
P L A C e F I C h e N 7 : L e r L e D e L A v o C At e N C A s D e C o N t r L e s U r

A. La procdure de dcision dun contrle

B. Les pouvoirs de la cnIL


un avocat peut assister lun de ses clients tout au long dun contrle de la CNIL. Ce type de mission vise prioritairement obtenir copie du maximum dinformations (lments techniques et juridiques) permettant dapprcier les conditions dans lesquelles sont mis en uvre des traitements automatiss de donnes caractre personnel (scurit, information des personnes, modalits de collecte de donnes, etc.). La dlgation de la CNIL peut demander communication de tout document ncessaire laccomplissement de sa mission, quel quen soit le support, et en prendre copie. Les membres de la dlgation peuvent galement accder aux programmes informatiques et aux donnes, ainsi quen demander la transcription par tout traitement appropri dans des documents directement utilisables pour les besoins du contrle. La dlgation peut ainsi demander copie : - de contrats (contrat de location de fichiers, de sous-traitance informatique etc.) - de formulaires ; - de dossiers papiers ; - de bases de donnes informatiques, etc. La copie des donnes lors du contrle et leur conservation ultrieure font lobjet de procdures particulires dfinies par le service des contrles, afin de garantir leur authenticit et leur confidentialit. un procs verbal, qui prcise notamment la liste des documents dont une copie aura t effectue, est tabli lissue de chaque mission de contrle. Larticle 51 de la loi informatique et liberts rprime dun an demprisonnement et de 15.000 damende le fait dentraver laction de la CNIL : 42

GuIDe PrAtIque AVOCAtS

Lavocat peut accompagner son client tout au long de cette procdure de contrle sur place, en linformant des pouvoirs de la CNIL, des possibilits qui lui sont offertes pour ragir ces contrles et des suites qui peuvent tre donnes. Il peut ainsi dfinir un dispositif de crise pour grer un contrle de la CNIL. Le concours dun avocat peut galement tre utile en cas de contrle sur pices, notamment lors de lenvoi des pices sollicites, et ce, afin de respecter les dlais, la forme et le contenu des documents demands. Il peut aussi proposer une analyse des lments dclencheurs du contrle afin de remdier la non-conformit.

c. Le droit de sopposer un contrle


Larticle 44-II de la loi du 6 janvier 1978 modifie prvoit que le responsable des locaux visits doit tre inform de son droit sopposer au contrle. Si ce droit est exerc, la visite peut nanmoins se drouler aprs une autorisation du juge des liberts et de la dtention comptent. Lorsque lurgence, la gravit des faits, le risque de destruction ou de dissimulation de documents le justifie, un contrle peut se drouler sans information pralable du responsable des locaux, sur autorisation pralable du juge des liberts et de la dtention. Dans ce cas, le responsable ne peut sopposer la visite.

d. Lopposabilit du secret professionnel


Lors dun contrle, le secret professionnel peut tre utilement avanc pour interdire la dlgation de la CNIL daccder aux fichiers qui en relvent (article 69 du dcret n2005-1309 du 20 octobre 2005 pris pour lapplication de la loi informatique et liberts). Le responsable des locaux visits doit cependant prciser les dispositions lgislatives et rglementaires auxquelles il se rfre, ainsi que la nature des donnes quil estime couvertes par ces dispositions. Ces lments (cest--dire la mention de lopposition, son fondement textuel et la nature des donnes couvertes) sont mentionns sur le procs verbal tabli par les membres de la CNIL. Le secret professionnel ne peut concerner que les seuls fichiers comportant des lments confidentiels.

43

F I C h e

L e

r L e

D e

L A v o C At

e N

C A s

D e

C o N t r L e

- en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel quil tait au moment o la demande a t formule ou qui ne prsentent pas ce contenu sous une forme directement accessible.

s U r

- en refusant de communiquer ses membres ou aux agents habilits les renseignements et documents utiles leur mission, en dissimulant lesdits documents ou renseignements, ou en les faisant disparatre ;

P L A C e

- en sopposant lexercice des missions confies ses membres ou aux agents habilits lorsque la visite a t autorise par un juge ;

en 2005, la Commission a ainsi prononce une sanction pcuniaire de 5.000 lencontre dune tude dhuissiers ayant dtourn le secret professionnel de son objet. A savoir : Les fichiers des avocats, au mme titre que ceux de tous les responsables de traitements de donnes caractre personnel, peuvent tre contrls par une dlgation de la CNIL. Cette dernire peut se voir opposer le secret professionnel.

GuIDe PrAtIque AVOCAtS

44

F I C h e

L e

r L e

D e

L A v o C At

e N

C A s

D e

C o N t r L e

s U r

P L A C e

Linvocation injustifie du secret professionnel constitue une entrave passible des peines prvues par larticle 51 de la loi informatique et liberts (1 an demprisonnement et 15.000 damende).

Fiche n 8 : Le rle de lavocat en cas de procdure de sanction


Le Conseil detat a considr par une ordonnance du 19 fvrier 2008 que la CNIL, en raison de ses missions et de sa composition, tait un tribunal au sens de larticle 6-1 de la Convention de sauvegarde des droits de lhomme et des liberts fondamentales. Cette dcision a entrain un profond remaniement de lorganisation et du fonctionnement de la formation restreinte de la Commission. Les lois organique et ordinaire relatives au Dfenseur des droits, publies le 30 mars 2011 au Journal Officiel, ont ainsi redistribu les pouvoirs de poursuite, dinstruction et de jugement au sein de la Commission pour rpondre aux exigences de la Cour europenne des droits de lhomme. Dsormais, les membres du bureau de la Commission (le Prsident et les deux vices Prsidents) ne sont plus ligibles la formation restreinte alors que le Prsident de la Commission est seul comptent pour diligenter des missions de contrle sur place, adresser des mises en demeure et procder la dsignation des rapporteurs. en application de ces dispositions, une nouvelle formation restreinte a t lue le 5 mai 2011. Pour rappel, depuis la rforme du 6 aot 2004, la CNIL dispose dun large ventail de mesures coercitives lencontre des responsables de traitement. Hormis lavertissement, la CNIL peut, aprs une mise en demeure reste infructueuse et lissue dune procdure contradictoire, prononcer une sanction pcuniaire allant jusqu 300.000 ( lexception des traitements mis en uvre par ltat), prononcer une injonction de cesser le traitement ou encore retirer une autorisation pralablement accorde. en outre, la formation restreinte peut engager des procdures durgence : linterruption du traitement, lavertissement, le verrouillage des donnes et linformation du Premier ministre pour certains traitements sensibles mis en uvre par letat. en cas datteinte grave et immdiate aux droits et liberts garantis par la loi du 6 janvier 1978 modifie, le Prsident peut demander par la voie du rfr la juridiction comptente dordonner, le cas chant sous astreinte, toute mesure de scurit ncessaire la sauvegarde de ces droits et liberts. Il peut galement, au nom de la Commission, dnoncer au Procureur de la rpublique les violations de la loi dont il a connaissance. enfin, la formation restreinte peut dcider de rendre publique les sanctions quelle prononce.
s A N C t I o N F I C h e N 8 : L e r L e D e L A v o C At e N C A s D e P r o C D U r e D e

A. La procdure de sanction suite la rforme du 30 mars 2011

45

Lavocat trouve naturellement sa place comme reprsentant des intrts de son client loccasion dune procdure de sanction administrative diligente par la CNIL. tel est le cas, notamment, lorsque lavocat assiste ou reprsente un client devant la formation restreinte de la Commission. La procdure de sanction mise en uvre au sein de la formation restreinte de la CNIL est crite. Le Prsident de la CNIL commence par dsigner un rapporteur charg de rdiger un rapport caractrisant, en fait et en droit, les manquements reprochs lorganisme mis en cause. Le rapport est notifi lorganisme au minimum un mois avant la sance de la formation restreinte . A compter de cette notification, lavocat, en sa qualit de conseil de lorganisme mis en cause, peut avoir accs au dossier en venant le consulter au sige de la CNIL. Il dispose galement de la possibilit dobtenir une copie de ce dossier. Les critures en dfense doivent tre communiques la CNIL dans un dlai raisonnable avant la sance. A cet gard, un projet de dcret qui devrait tre adopt prochainement impose un dlai incompressible de communication des observations en dfense de trois jours avant la sance. Le jour de la sance, le rapporteur prend la parole en premier, suivi de lorganisme mis en cause et, le cas chant, de son conseil. La formation restreinte peut entendre toute personne dont laudition lui parait utile et demander au rapporteur, si elle sestime insuffisamment claire, de poursuivre ses diligences. Lorganisme et son conseil ont la parole en dernier. Les observations orales de lavocat ne peuvent tre dveloppes qu lappui de ses conclusions crites. Le dcret prcit formalisera galement ce principe inhrent au caractre crit de la procdure. A la fin de la sance, la formation restreinte se retire pour dlibrer. La dcision de sanction, ou de relaxe, est notifie lorganisme avec indication des voies et dlais de recours. A noter : Depuis la publication des lois organique et ordinaire relatives au Dfenseur des droits en date du 30 mars 2011, la formation restreinte peut rendre publique toutes les sanctions quelle prononce sans devoir tablir la mauvaise foi de lorganisme mis en cause.

GuIDe PrAtIque AVOCAtS

46

F I C h e

L e

r L e

D e

L A v o C At

e N

C A s

D e

P r o C D U r e

D e

s A N C t I o N

B. Lavocat et la procdure de sanction

III. ANNEXES
A N N e x e s I I I .

A. conseils pour assurer un niveau de scurit satisfaisant


La loi informatique et liberts impose que les organismes mettant en uvre des traitements ou disposant de fichiers de donnes caractre personnel en garantissent la scurit. Par scurit des donnes, on entend lensemble des prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement pour, notamment, empcher que les donnes soient dformes, endommages, ou que des tiers non autoriss y aient accs. (Art.34 de la loi informatique et liberts). Cette scurit se conoit pour lensemble des processus relatifs ces donnes, quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit et leur disponibilit. rappel : Les avocats, au mme titre que les ventuels prestataires spcialiss dans lhbergement et la gestion de documents, sont tenus de prsenter des garanties suffisantes pour assurer la scurit et la confidentialit des donnes auxquelles ils accdent, en application de larticle 35 de la loi informatique et liberts.

1. Authentifiez les utilisateurs


- dfinissez un identifiant (login) unique chaque utilisateur - adoptez une politique de mot de passe utilisateur rigoureuse - obligez lutilisateur changer son mot de passe aprs rinitialisation

2. grez les habilitations et sensibilisez les utilisateurs


- dfinissez des profils dhabilitation - supprimez les permissions daccs obsoltes - documentez les procdures dexploitation - rdigez une charte informatique et annexez-la au rglement intrieur

3. Scurisez les postes de travail


- limitez le nombre de tentatives daccs un compte - installez un pare-feu (firewall) logiciel - utilisez des antivirus rgulirement mis jour - prvoyez une procdure de verrouillage automatique de session

4. Scurisez linformatique mobile


- prvoyez des moyens de chiffrement pour les ordinateurs portables et les units de stockage amovibles (cls uSB, CD, DVD)

47

- effectuez des sauvegardes rgulires - stockez les supports de sauvegarde dans un endroit sr - prvoyez des moyens de scurit pour le convoyage des sauvegardes - prvoyez et testez rgulirement la continuit dactivit - chiffrez les sauvegardes

6. encadrez la maintenance
- enregistrez les interventions de maintenance dans une main courante - effacez les donnes de tout matriel avant sa mise au rebut - recueillez laccord de lutilisateur avant toute intervention sur son poste - prvoyez de rendre impossible laccs au contenu des bases de donnes aux prestataires techniques

7. tracez les accs et grez les incidents


- prvoyez un systme de journalisation - informez les utilisateurs de la mise en place du systme de journalisation - protgez les quipements de journalisation et les informations journalises - notifiez aux personnes concernes des accs frauduleux leurs donnes

8. protgez les locaux


- restreignez les accs aux locaux au moyen de portes verrouilles - installez des alarmes anti-intrusion et vrifiez-les priodiquement

9. protgez le rseau informatique interne


- limitez les flux rseau au strict ncessaire - scurisez les accs distants des appareils informatiques nomades par VPN - utilisez le protocole SSL avec une cl de 128 bits pour les services web - mettez en uvre le protocole WPA - AeS/CCMP pour les rseaux WiFi

10. Scurisez les serveurs et les applications


- adoptez une politique de mot de passe administrateur rigoureuse - installez sans dlai les mises jour critiques - assurez une disponibilit des donnes

11. grez la sous-traitance


- prvoyez une clause spcifique dans les contrats des sous-traitants

GuIDe PrAtIque AVOCAtS

48

I I I .

A N N e x e s

5. Sauvegardez et prvoyez la continuit dactivit

- prvoyez les conditions de restitution et de destruction des donnes

12. Archivez
- mettez en uvre des modalits daccs spcifiques aux donnes archives - dtruisez les archives obsoltes de manire scurise

13. Scurisez les changes avec dautres organismes


- chiffrez les donnes avant leur envoi - assurez-vous quil sagit du bon destinataire - transmettez le secret lors dun envoi distinct et via un canal diffrent

B. tableaux rcapitulatifs : quelle formalit simplifie pour quel fichier ?


1. dispenses de dclaration pouvant concerner les cabinets davocat
rfrence de Numro de la la dlibration dispense Dlibration n 2004-097 du 9 dcembre 2004 Dlibration n 2005-005 du 18 janvier 2005 Dlibration n 2006-138 du 9 mai 2006 Dlibration n 2006-186 du 6 juillet 2006 Dispense n 2 Domaine couvert par la dispense Gestion des rmunrations (y compris lintressement, la participation et les dclarations fiscales et sociales), tenue des registres obligatoires Gestion des fichiers de fournisseurs comportant une personne physique traitements constitus des fins dinformation ou de communication externe ne pouvant sapparenter une sollicitation commerciale traitements automatiss de donnes personnelles ayant pour finalit la tenue, lutilisation et la communication des listes dinitis

Dispense n 4

Dispense n 7

Dispense n 9

traitements mis en uvre par les comits Dlibration dentreprises ou dtablissements, les comits centraux dentreprises, les comits n 2006-230 Dispense n 10 du 17 octobre de groupe ou les comits interentreprises ou 2006 les dlgus du personnel pour la gestion des activits sociales et culturelles

49

I I I .

A N N e x e s

- assurez-vous de leffectivit des garanties prvues (audits de scurit, visites...)

Dlibration n 80-34 du 21 octobre 1980

traitements automatiss de comptabilit gnrale

2. normes simplifies pouvant concerner les cabinets davocats :


rfrence de la dlibration Dlibration n 03-067 du 18 dcembre 2003 Numro de la norme simplifie Norme simplifie n 21 Domaine couvert par la norme simplifie Gestion et la ngociation des biens immobiliers

Dlibration n 02-001 du 8 janvier 2002

traitements automatiss dinformations nominatives mis en Norme simplifie uvre sur les lieux de travail pour n 42 la gestion des contrles daccs aux locaux, des horaires et de la restauration

Gestion des ressources humaines (gestion administrative Dlibration n 2005- Norme simplifie du personnel, mise disposition des outils informatiques, 002 du 13 janvier 2005 n 46 organisation du travail, gestion des carrires et mobilit, formation) traitements automatiss de donnes caractre personnel mis en uvre dans le cadre de lutilisation de services de tlphonie fixe et mobile sur les lieux de travail traitements automatiss de donnes caractre personnel relatifs la gestion des fichiers de clients et de prospects traitements automatiss de donnes caractre personnel mis en uvre par les organismes publics ou privs destins golocaliser les vhicules utiliss par leurs employs

Dlibration n 2005019 du 3 fvrier 2005

Norme simplifie n 47

Dlibration n 2005112 du 7 juin 2005

Norme simplifie n 48

Dlibration n 2006067 du 16 mars 2006

Norme simplifie n 51

GuIDe PrAtIque AVOCAtS

50

I I I .

A N N e x e s

Dlibration n 2009-476 du Dispense n 14 10 septembre 2009

traitements de donnes caractre personnel mis en uvre dans le cadre de plans de continuit dactivit relatifs une pandmie grippale

rfrence de la Numro de dlibration lautorisation unique Dlibration n2005-305 du 8 dcembre 2005 Autorisation unique Au-004

Domaine couvert par lautorisation unique traitements automatiss de donnes caractre personnel mis en uvre dans le cadre de dispositifs dalerte professionnelle Mise en uvre de dispositifs biomtriques reposant sur la reconnaissance du contour de la main et ayant pour finalits le contrle daccs ainsi que la gestion des horaires et de la restauration sur les lieux de travail Mise en uvre de dispositifs biomtriques reposant sur la reconnaissance de lempreinte digitale exclusivement enregistre sur un support individuel dtenu par la personne concerne et ayant pour finalit le contrle de laccs aux locaux sur les lieux de travail Mise en uvre de dispositifs biomtriques reposant sur la reconnaissance du rseau veineux des doigts de la main et ayant pour finalit le contrle de laccs aux locaux sur les lieux de travail Mise en uvre de dispositifs biomtriques reposant sur la reconnaissance de lempreinte digitale et ayant pour finalit le contrle de laccs aux postes informatiques portables

Dlibration n2006-101 du 27 avril 2006

Autorisation unique Au-007

Dlibration n2006-102 du 27 avril 2006

Autorisation unique Au-008

Dlibration n2009-316 du 7 mai 2009

Autorisation unique Au-019

Dlibration n2011-074 du 10 mars 2011

Autorisation unique Au-027

51

I I I .

A N N e x e s

3. Autorisations uniques pouvant tre utilises par les cabinets davocats :

rfrence de la dlibration Dlibration n2009474 du 23 juillet 2009

Domaine de la recommandation transferts de donnes caractre personnel dans le cadre de procdures judiciaires amricaines dite de discovery

Dispositifs destins golocaliser les vhicules Dlibration n2006automobiles utiliss par les employs dun organisme 066 du 16 mars 2006 priv ou public Dlibration n2005213 du 11 octobre 2005 Dlibration n02-017 du 21 mars 2002 Modalits darchivage lectronique dans le secteur priv Collecte et traitement dinformations nominatives lors doprations de recrutement

Dlibration n01-057 Diffusion de donnes personnelles sur internet par les du 29 novembre 2001 banques de donnes de jurisprudence Dlibration n 94-056 Dispositifs de vidosurveillance mis en uvre dans du 21 juin 1994 les lieux publics et les lieux recevant du public Dlibration n 84-031 du 18 septembre 1984 Dlibration n 81-094 du 21 juillet 1981 Dlibration n 80-010 du 1er avril 1980 usage des autocommutateurs tlphoniques Mesures gnrales de scurit des systmes informatiques Mise en uvre du droit individuel daccs aux fichiers automatiss

c. modles de mentions informatives


1. formulaire de collecte de donnes caractre personnel
.......................................... (Indiquez lidentit du responsable du traitement) Les informations recueillies font lobjet dun traitement informatique destin .................................................... (Prcisez la finalit). Les destinataires des donnes sont : ............................................... (Prcisez). Conformment la loi informatique et liberts du 6 janvier 1978 modifie, vous bnficiez dun droit daccs et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant (Prcisez le service et ladresse). Vous pouvez galement, pour des motifs lgitimes, vous opposer au traitement des donnes vous concernant.

GuIDe PrAtIque AVOCAtS

52

I I I .

A N N e x e s

4. recommandations de la cnIL pouvant faciliter la mise aux normes des traitements informatiss gnralement utiliss par les cabinets davocat :

Le(s) service(s) (Veuillez citer le nom du ou des services responsables du traitement) dispose(nt) de moyens informatiques destins grer plus facilement (Veuillez indiquer la finalit du traitement). Les informations enregistres sont rserves lusage du (ou des) service(s) concern(s) et ne peuvent tre communiques quaux destinataires suivants : (Veuillez prciser les destinataires). Conformment aux articles 39 et suivants de la loi n 78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts, toute personne peut obtenir communication et, le cas chant, rectification ou suppression des informations la concernant, en sadressant au service ( Veuillez citer le nom du service ou des services concerns).

3. panneau dinformation concernant la vidoprotection


tablissement sous vidoprotection (reprsentation graphique dune camra) Nous vous informons que cet tablissement est plac sous vidoprotection pour des raisons de (Indiquez les finalits poursuivies). Pour tout renseignement, sadresser (identifiez la personne ou le service comptent), auprs duquel vous pouvez galement exercer votre droit daccs, conformment la loi n 78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts.

4. mention gnrale pour formulaire :


(Veuillez indiquer lidentit du responsable du traitement) Les informations recueillies font lobjet dun traitement informatique destin . (Veuillez prciser la finalit). Les destinataires des donnes sont : (Prcisez). Conformment la loi informatique et liberts du 6 janvier 1978 modifie, vous bnficiez dun droit daccs et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant (Veuillez prciser le service et ladresse). Vous pouvez galement, pour des motifs lgitimes, vous opposer au traitement des donnes vous concernant.

5. Annuaire diffus sur internet


Madame, Monsieur, Nous envisageons de diffuser prochainement sur notre site Internet . (Indiquez ici le nom de domaine de votre site) des informations vous 53

I I I .

A N N e x e s

2. note dinformation afficher

Ces informations sont les suivantes : (Indiquez ici les informations que vous allez diffuser. Exemples : nom, prnom, diplme, etc.). Compte tenu des caractristiques du rseau internet que sont la libre captation des informations diffuses et la difficult, voire limpossibilit, de contrler lutilisation qui pourrait en tre faite par des tiers, vous pouvez vous opposer une telle diffusion. Pour que nous puissions prendre en compte votre refus, contactez-nous (Prcisez comment).

6. enregistrement de conversations tlphoniques


Nous vous informons que votre conversation tlphonique est susceptible dtre enregistre pour des raisons de . (Veuillez indiquer les finalits poursuivies). Vous pouvez vous opposer cet enregistrement de la manire suivante : (Veuillez prciser la procdure suivre, appui sur une touche tlphonique, demande formuler loprateur) en cas denregistrement des conversations, ceux-ci son conservs pour une dure de (Veuillez prciser la dure). Seules les personnes habilites du service (Veuillez prciser le service par exemple le service clientle) auront accs cet enregistrement. Conformment la loi informatique et liberts du 6 janvier 1978 modifie, vous pouvez accder et rectifier les informations qui vous concernent en vous adressant (Veuillez prciser le service et ladresse).

7. notice dinformation en matire de recrutement


... (Indication de lidentit du responsable du traitement) Nous vous prions de bien vouloir complter soigneusement ce formulaire. Les rponses aux cases munies dun astrisque sont facultatives et sans consquence pour lexamen du dossier ; dans les autres cas, le dfaut rponse est susceptible de compromettre le bon suivi de votre candidature. Conformment au Code du travail, nous vous informons que la procdure de recrutement utilise par notre socit comprend : ( prciser, par exemple des entretiens, ventuellement une analyse graphologique et/ou des tests psychotechniques). Dans ce dernier cas il convient dajouter : Les rsultats de ces tests vous seront restitus sur demande, ils ne seront conservs dans votre dossier quen cas dembauche.

GuIDe PrAtIque AVOCAtS

54

I I I .

A N N e x e s

concernant dans le cadre de ( complter : Exemples : site internet dune administration, dune association, dun groupement professionnel, dune entreprise, etc.).

Option pour les groupes internationaux : Jautorise la socit communiquer les informations me concernant aux filiales du groupe situes en dehors de lunion europenne : Oui Non Option pour les cabinets de recrutement : Jautorise la socit communiquer les informations me concernant toute entreprise cliente : Oui Non Option pour les cvthques en ligne : Jautorise la socit : - communiquer les informations me concernant toute entreprise cliente qui en ferait la demande : Oui Non - diffuser en ligne les informations me concernant sans les rendre anonymes : Oui Non Vous pouvez accder aux informations vous concernant, les rectifier ou les supprimer pour ce faire il suffit de vous adresser auprs du service suivant : ( prciser). Fait le : ............................................... ............................................... Signature :

8. mention dinformation en cas de transfert de donns en dehors de lunion europenne


(Identit du responsable du traitement) dispose(nt) de moyens informatiques destins grer (Veuillez indiquer la finalit du traitement, par exemple la gestion des ressources humaines, la gestion de la paie, la maintenance informatique, etc.). Les informations enregistres sont rserves lusage du (ou des) service(s) concern(s) et ne peuvent tre communiques quaux destinataires suivants : (Veuillez prciser les destinataires). Certains de ces destinataires sont situs en dehors de lunion europenne (Veuillez indiquer le nom des entits ou services destinataires ainsi que leur pays dtablissement). Ces destinataires auront communication des donnes suivantes ( prciser, par exemple nom, prnom, matricule, coordonnes professionnelles, salaire, donnes de connexion) La transmission de ces donnes aux destinataires situs en dehors de lunion europenne est destine .. (Veuillez indiquer la finalit du transfert des donnes). Les garanties suivantes ont t prises pour sassurer dun niveau de protection suffisant des donnes personnelles :

55

I I I .

Seules les personnes habilites de notre socit pourront accder vos donnes des fins strictement internes.

A N N e x e s

Nous vous informons que les donnes vous concernant sont (ou ne sont pas) informatises, elles seront traites de faon confidentielle. Vos donnes sont conserves pour une dure de ( prciser, au maximum 24 mois compter du dernier contact avec le candidat).

- Le ou les destinataire(s) sont adhrent(s) aux principes du Safe Harbour; - Le transfert de donnes a t autoris par la CNIL et est encadr par les clauses contractuelles types tablies par la Commission europenne (prcisez le numro de la dlibration autorisant le transfert); - Le transfert de donnes a t autoris par la CNIL et est encadr par des rgles internes valides par la CNIL; - La socit bnficie dune des exceptions mentionnes larticle 69 de la loi du 6 janvier 1978 modifie : .. (Prcisez laquelle). Conformment aux articles 39 et suivants de la loi du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts, toute personne peut obtenir communication et, le cas chant, rectification ou suppression des informations la concernant, en sadressant au service (Veuillez citer le nom du service auprs duquel il est possible dexercer son droit daccs).

9. contrle daccs biomtrique


(Indication de lidentit du responsable du traitement) un dispositif biomtrique destin au contrle de laccs (Veuillez prciser ici la finalit, par exemple contrle daccs un btiment ou une zone en particulier, contrle daccs un poste informatique ou une application) a t mis en place. Les donnes vous concernant sont conserves au maximum (prcisez). Au-del, toutes les donnes sont dtruites. Seules les personnes habilites du service (Veuillez prciser le service par exemple le service informatique) auront accs vos donnes biomtriques. Conformment la loi informatique et liberts du 6 janvier 1978 modifie, vous pouvez avoir accs et rectifier les informations qui vous concernent en vous adressant (Veuillez prciser le service et ladresse)

GuIDe PrAtIque AVOCAtS

56

I I I .

A N N e x e s

- Le pays du ou des destinataire(s) offre un niveau de protection adquat par dcision de la Commission europenne : (Prcisez laquelle);

Alertes professionnelles ( Whistleblowing ) Cest un outil mis la disposition des salaris. Il peut sagir par exemple dun numro de tlphone ligne thique ou dune adresse lectronique particulire. Ce dispositif leur permet de signaler des problmes pouvant srieusement affecter lactivit dune entreprise ou engager gravement sa responsabilit. Les alertes recueillies sont ensuite vrifies, dans un cadre confidentiel, et permettent lemployeur de dcider, en connaissance de cause, des mesures correctives prendre. Compte tenu de la multiplicit des voies dalertes dj disponibles dans les entreprises (voie hirarchique, commissaires aux comptes, fonctions de laudit ou de la conformit interne, reprsentants du personnel, inspection du travail, etc.), le dispositif dalerte professionnelle ne peut tre que facultatif. un salari ne peut pas tre sanctionn sil ne souhaite pas lutiliser. Bcr Le sigle BCr signifie Binding Corporates Rules ou rgles dentreprise contraignantes. Ces rgles internes applicables lensemble des entits du groupe contiennent les principes-cls permettant dencadrer les transferts de donnes personnelles, de salaris ou de clients et prospects, hors de lunion europenne. Les BCr sont une alternative au Safe Harbor (qui ne vise que les transferts vers les tats-unis) ou aux Clauses contractuelles types adoptes par la Commission europenne. elles garantissent quune protection quivalente celle octroye par la directive europenne de 1995 sapplique aux donnes personnelles transfres hors de lunion europenne. Biomtrie La biomtrie regroupe lensemble des techniques informatiques permettant de reconnatre automatiquement un individu partir de ses caractristiques physiques, biologiques, voire comportementales. Les donnes biomtriques sont des donnes caractre personnel car elles permettent didentifier une personne. elles ont, pour la plupart, la particularit dtre uniques et permanentes (ADN, empreintes digitales...). Biomtrie sans trace ou avec trace ? Parmi toutes les donnes biomtriques utilises aujourdhui, certaines prsentent la particularit de pouvoir tre captures et utilises linsu des personnes concernes. Cest le cas, par exemple, des empreintes gntiques puisque chacun laisse involontairement derrire soi des traces, mme infimes, de son corps, dont on peut extraire lADN. Cest galement le cas des empreintes digitales, dont on laisse aussi des traces, plus ou moins facilement exploitables, dans beaucoup dactes de la vie courante. Dautres donnes biomtriques ne prsentent pas, du moins dans ltat actuel de la technique, cette particularit : cest le cas, par exemple, du rseau veineux du doigt ou du contour de la main, car ces donnes biomtriques laissent peu de trace au quotidien, voire aucune. La biomtrie avec trace impose donc une vigilance toute particulire de la part des personnes concernes.

57

I I I .

A N N e x e s

d. Lexique informatique et liberts

On distingue les transferts de responsable de traitement responsable de traitement et les transferts de responsable de traitement sous-traitant. Il existe donc deux types de clauses afin dencadrer chacun des transferts. Cloud computing Le Cloud Computing (en franais, informatique dans les nuages ) fait rfrence lutilisation de la mmoire et des capacits de calcul des ordinateurs et des serveurs rpartis dans le monde entier et lis par un rseau. Les applications et les donnes ne se trouvent plus sur un ordinateur dtermin mais dans un nuage (Cloud) compos de nombreux serveurs distants interconnects. Dun point de vue Informatique et Liberts , ce concept soulve des problmatiques de scurit, de qualification des parties, de droit applicable, dexercice effectif des droits et dencadrement des transferts internationaux de donnes personnelles. cnIL Autorit administrative indpendante, compose dun collge pluraliste de 17 commissaires, provenant dhorizons divers : 4 parlementaires, 2 membres du Conseil conomique et social, 6 reprsentants des hautes juridictions, 5 personnalits qualifies dsignes par le Prsident de lAssemble nationale (1), par le Prsident du Snat (1), par le Conseil des ministres (3). Le mandat de ses membres est de 5 ans. confrence mondiale des commissaires la protection des donnes et la vie prive Cette confrence se tient chaque anne lautomne. elle runit lensemble des 81 autorits et commissaires la protection des donnes et la vie prive de tous les continents. elle est ouverte aux intervenants et participants du monde conomique, des autorits publiques, et de la socit civile. une partie de la Confrence est rserve aux reprsentants des autorits accrdites par la Confrence, durant laquelle sont adoptes les rsolutions et dclarations. correspondant Informatique et Liberts Cr en 2004, le correspondant Informatique et Liberts (CIL) est charg dassurer de manire indpendante le respect des obligations prvues par la loi du 6 janvier 1978 ; en contrepartie de sa dsignation, les traitements de donnes personnelles les plus courants sont exonrs de dclarations auprs de la CNIL. dclarant Personne physique ou morale responsable dun traitement ou dun fichier contenant des donnes personnelles quil doit dclarer la CNIL sous peine

GuIDe PrAtIque AVOCAtS

58

I I I .

Il sagit de modles de clauses contractuelles adopts par la Commission europenne permettant dencadrer les transferts de donnes personnelles effectus par des responsables de traitement vers des destinataires situs hors de lunion europenne. elles ont pour but de faciliter la tche des responsables de traitement dans la mise en uvre de contrats de transfert.

A N N e x e s

clauses contractuelles types

destinataire Personne habilite obtenir communication de donnes enregistres dans un fichier ou un traitement en raison de ses fonctions. Discovery Discovery est le nom donn la procdure amricaine permettant, dans le cadre de la recherche de preuves pouvant tre utilises dans un procs, de demander une partie tous les lments dinformation (faits, actes, documents...) pertinents pour le rglement du litige dont elle dispose quand bien mme ces lments lui seraient dfavorables. donne biomtrique Caractristique physique ou biologique permettant didentifier une personne (ADN, contour de la main, empreintes digitales...). donne personnelle toute information identifiant directement ou indirectement une personne physique (ex. nom, no dimmatriculation, no de tlphone, photographie, date de naissance, commune de rsidence, empreinte digitale...). donne sensible Information concernant lorigine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, lappartenance syndicale, la sant ou la vie sexuelle. en principe, les donnes sensibles ne peuvent tre recueillies et exploites quavec le consentement explicite des personnes. droit la protection des donnes personnelles Le droit la protection des donnes caractre personnel est inscrit dans la charte des droits fondamentaux de lunion europenne au titre des liberts fondamentales telles que la libert de pense, de conscience et de religion, la libert dexpression et dinformation ou le respect de la vie prive et familiale, etc. droit linformation toute personne a un droit de regard sur ses propres donnes ; par consquent, quiconque met en uvre un fichier ou un traitement de donnes personnelles est oblig dinformer les personnes fiches de son identit, de lobjectif de la collecte dinformations et de son caractre obligatoire ou facultatif, des destinataires des informations, des droits reconnus la personne, des ventuels transferts de donnes vers un pays hors de lunion europenne.

59

I I I .

A N N e x e s

de sanctions.

toute personne peut prendre connaissance de lintgralit des donnes la concernant dans un fichier en sadressant directement ceux qui les dtiennent, et en obtenir une copie dont le cot ne peut dpasser celui de la reproduction. droit daccs indirect toute personne peut demander que la CNIL vrifie les renseignements qui peuvent la concerner dans les fichiers intressant la sret de ltat, la Dfense et la Scurit publique. droit dopposition toute personne a la possibilit de sopposer, pour des motifs lgitimes, figurer dans un fichier, et peut refuser sans avoir se justifier, que les donnes qui la concernent soient utilises des fins de prospection commerciale. droit de rectification toute personne peut faire rectifier, complter, actualiser, verrouiller ou effacer des informations la concernant lorsquont t dceles des erreurs, des inexactitudes ou la prsence de donnes dont la collecte, lutilisation, la communication ou la conservation est interdite. finalit dun traitement Objectif principal dune application informatique de donnes personnelles. exemples de finalit : gestion des recrutements, gestion des clients, enqute de satisfaction, surveillance des locaux, etc. formalits pralables ensemble des formalits dclaratives effectuer auprs de la CNIL avant la mise en uvre dun traitement de donnes personnelles ; selon les cas, il peut sagir dune dclaration ou dune demande dautorisation. formation restreinte Pour prendre des mesures lencontre des responsables de traitement qui ne respectent pas la loi Informatique et Liberts , la CNIL sige dans une formation spcifique, compose de six membres appele formation restreinte . lissue dune procdure contradictoire, cette formation peut notamment dcider de prononcer des sanctions pcuniaires pouvant atteindre 300 000 . g29 Larticle 29 de la directive du 24 octobre 1995 sur la protection des donnes et la libre circulation de celles-ci a institu un groupe de travail rassemblant les reprsentants de chaque autorit indpendante de protection des donnes nationale. Cette organisation runissant lensemble des CNIL europennes a pour mission de contribuer llaboration des normes europennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission europenne sur tout projet

GuIDe PrAtIque AVOCAtS

60

I I I .

A N N e x e s

droit daccs direct

Listes dopposition Les listes dopposition recensent les personnes qui ont fait connatre leur opposition tre prospectes dans le cadre doprations de marketing. nIr (numro dinscription au rpertoire) Le NIr ou numro de scurit sociale est attribu chaque personne sa naissance sur la base dlments dtat civil transmis par les mairies lINSee. reconnaissance faciale en sappuyant sur une base de photographies prenregistres relie un systme de vidoprotection et un dispositif de reconnaissance automatique des visages, il est dsormais techniquement possible didentifier un individu dans une foule. Si cette technologie nen est qu ses balbutiements, il importe de comprendre que son caractre intrusif est croissant puisque la libert daller et venir anonymement pourrait tre remise en cause. responsable de donnes Personne qui dcide de la cration dun fichier ou dun traitement de donnes personnelles, qui dtermine quoi il va servir et selon quelles modalits. rfId (Radio Frequency Identification) Les puces rFID permettent didentifier et de localiser des objets ou des personnes. elles sont composes dune micropuce (galement dnomme tiquette ou tag) et dune antenne qui dialoguent par ondes radio avec un lecteur, sur des distances pouvant aller de quelques centimtres plusieurs dizaines de mtres. Pour les applications dans la grande distribution, leur cot est denviron 5 centimes deuros. Dautres puces communicantes, plus intelligentes ou plus petites font leur apparition avec lavnement de linternet des objets. Certains prototypes sont quasi invisibles (0,15 millimtre de ct et 7,5 micromtres dpaisseur) alors que dautres, dune taille de 2 mm2, possdent une capacit de stockage de 512 Ko (kilo-octets) et changent des donnes 10Mbps (mga bits par seconde). Safe Harbor Il sagit dun ensemble de principes de protection des donnes personnelles, publis par le Dpartement du Commerce amricain, auxquels des entreprises tablies aux etats-unis adhrent afin de pouvoir recevoir des donnes en provenance de lunion europenne. Ces principes, ngocis entre les autorits amricaines et la Commission europenne en 2001, sont essentiellement bass sur ceux de la Directive 95/46 du 24 octobre 1995 : - information des personnes,

61

I I I .

A N N e x e s

ayant une incidence sur les droits et liberts des personnes physiques lgard des traitements de donnes personnelles. Le G29 se runit Bruxelles en sance plnire tous les deux mois environ.

- consentement explicite pour les donnes sensibles, - droit daccs, de rectification, - scurit. Le Safe Harbor permet donc dassurer une protection adquate pour les transferts de donnes en provenance de lunion europenne vers des entreprises tablies aux etats-unis. Sance plnire Cest la formation qui runit les 17 membres de la CNIL pour se prononcer sur des traitements ou des fichiers et examiner des projets de loi ou de dcrets soumis pour avis par le Gouvernement. traitement de donnes Collecte, enregistrement, utilisation, transmission ou communication dinformations personnelles, ainsi que toute exploitation de fichiers ou bases de donnes, notamment des interconnexions. transfert de donnes toute communication, copie ou dplacement de donnes personnelles ayant vocation tre traites dans un pays tiers lunion europenne.

GuIDe PrAtIque AVOCAtS

62

I I I .

A N N e x e s

- possibilit accorde la personne concerne de sopposer un transfert des tiers ou une utilisation des donnes pour des finalits diffrentes,

Document Imprim sur papier 100% recycl

une difficult ? une hsitation ?


Plus dinformations sur www.cnil.fr,

une permanence de renseignements juridiques par tlphone est assure tous les jours de 10h 12h et de 14h 16h au 01 53 73 22 22

Vous pouvez adresser toute demande par tlcopie au 01 53 73 22 00

www.cnil.fr

8 rue Vivienne 75083 Paris Tl : 01 53 Fax : 01 53

- CS 30223 cedex 02 73 22 22 73 22 00

Оценить