Déclarer ses fichiers contenant des données personnelles est obligatoire et sévèrement sanctionné. Généralement, une simple déclaration suffit (vente de biens, gestion clients…). Mais certains fichiers nécessitent une autorisation préalable de la CNIL (données de santé, orientation sexuelle…).
Formalités obligatoires lors de la création d’une entreprise
Avant 2006, toute création de sites internet devait être déclarée à la CNIL. Aujourd’hui les éditeurs doivent seulement déclarer les fichiers de données personnelles qu’ils collectent. Par exemple, un cybercommerçant devra déclarer son fichier client à la CNIL. Il s’agit d’une formalité légale obligatoire. La déclaration d’un fichier de données personnelles est gratuite.
Déclaration CNIL
Dans la plupart des cas, une simple déclaration CNIL suffit. Selon le secteur d’activité, les déclarations CNIL à accomplir diffèrent. Afin de faciliter les déclarations, la CNIL a créé un certain nombre de déclarations simplifiées. La CNIL délivrera, après examen de la déclaration, un numéro d’identification unique que l’éditeur mentionnera sur ses mentions légales ou ses conditions générales de vente.
Autorisation préalable de la CNIL
Dans trois cas spécifiques, l’entreprise doit obtenir l’autorisation préalable de la CNIL avant de constituer ou d’exploiter un fichier contenant des données personnelles :
1- fichiers enregistrant des données dites sensibles (origine raciale ou ethnique, opinion philosophique, politique, syndicale, ou religieuse, vie sexuelle ou santé des personnes), des données biométriques, des données génétiques, des infractions, des condamnations ou des mesures de sûreté, le numéro de Sécurité sociale ou encore l’appréciation sur les difficultés sociales des personnes.
2- fichiers ayant des finalités spécifiques, tels que les enquêtes statistiques de l’INSEE, les traitements susceptibles d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat, les traitements de recherche médicale et d’évaluation des pratiques de soins.
3- les fichiers dont certaines données seront transférées hors de l’Union européenne.
Sanctions du défaut de déclaration ou d’autorisation
En l’absence de déclaration d’un fichier, le propriétaire du fichier s’expose à un emprisonnement de 5 ans et/ou une amende de 300.000 euros (art. 226-16 du Code pénal).
De plus, le propriétaire du fichier ne pourra pas céder ce fichier à un tiers, la jurisprudence ayant décidé qu’une telle vente est nulle en raison de l’illicéité de son objet (Cass. 25 juin 2013 n°12-17037).
RÉFÉRENCES :
- Commission nationale informatique et libertés
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés