Liste des traitements soumis à autorisation préalable de la CNIL
La philosophie de la loi "Informatique et Libertés" dans sa nouvelle rédaction est de soumettre à autorisation préalable de la CNIL les traitements présentant des risques pour les droits des personnes.
La demande d'autorisation doit être effectuée par le responsable de traitement ou par la personne ayant qualité pour le représenter.
La CNIL dispose d'un délai de 2 mois, renouvelable une fois, pour se prononcer.
Le silence de la CNIL conservé à l'issue de cette période constitue une décision implicite de refus de la demande d'autorisation.
Cette décision de la CNIL peut être contestée devant le Conseil d'Etat par le biais d'un recours pour excès de pouvoir.
Le défaut d'autorisation préalable est passible de 5 ans d'emprisonnement et de 300.000 euros d'amende (la peine d'amende peut être multipliée par cinq lorsque le coupable est une personne morale).
Sont soumis à demande d'autorisation :
- Les traitements, automatisés ou non, de données sensibles réalisés par l'INSEE ou par un service statistique ministériel ;
- Les traitements, automatisés ou non, de données sensibles justifiés par un intérêt public ;
- Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;
- Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;
- Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire (la CNIL estime ainsi que sont soumis à autorisation préalable dans ce cadre : les fichiers de lutte contre la fraude, les fichiers de mutualisation des impayés, ou encore le credit scoring ;
- Les traitements automatisés ayant pour objet :
- l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
- l'interconnexion de fichiers relevant de personnes ne gérant pas un service public et dont les finalités principales sont différentes.
- Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes (c'est-à-dire par exemple l'utilisation du numéro de sécurité sociale) ;
- Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;
- Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes ;
- Les traitements, automatisés ou non, de données sensibles susceptibles de faire l'objet d'un procédé d'anonymisation à bref délai ;
- Les transferts de données personnelles vers des pays tiers à l'Union Européenne.
Hélène Lebon
Avocat à la Cour
Retour à la liste des fiches
|