6 FICHES
.
CORRESPONDANT A LA PROTECTION DES DONNEES A CATACTERE PERSONNEL
Analyse du décret n°2005-1309 du 20 octobre 2005 suite à la mise à jour
de la loi " Informatique et libertés " du 6 août 2004

(analyse téléchargeable en PDF)

(Publié au Journal Officiel 247 du 22 octobre 2005)

Commentaire de Yves Lasfargue:

La loi n° 2004-801 du 6 août 2004, loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, a modifié profondément la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

En particulier, elle a allégé les modalités de déclaration des fichiers à la CNIL en dispensant les entreprises de déclarer leurs fichiers si elles ont désigné un correspondant chargé d'assurer la protection des données.

Ce décret du 20 octobre 2005comporte 8 titres et 100 articles (33 pages !). Cette analyse ne porte que sur le Titre III (articles 42 à 56) qui concerne la possibilité de création d'un correspondant à la protection des données dans chaque entreprise

 

Rappel de la nouvelle rédaction de l'article 22 - III de la loi n° 78-17 du 6 janvier 1978 :

" Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés.

Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions.

Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions.

Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions. "

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

TITRE III : Correspondants à la protection des données individuelles

Texte intégral sur le site Légifrance ( http://www.legifrance.gouv.fr/WAspad/UnDocument?base=LEX&nod=1DE0051309)

Voir l'analyse du Forum des droits sur Internet

Voir l'analyse de Me Emmanuelle Ressman : http://www.journaldunet.com/juridique/juridique051103.shtml

Le titre III de ce décret (33 pages!) concerne en particulier les " Correspondants à la protection des données individuelles "

Il précise utilement le statut du correspondant à la protection des données à caractère personnel (CDP) qui chargé d'assurer de manière indépendante le respect de la loi "informatique et libertés". Si l'entreprise notifie l'entreprise son CDP auprès de la CNIL et de l'instance représentative du personnel, elle n'a plus à déclarer l'ensemble de ses traitements automatisés et sites web préalablement à leur mise en œuvre.

Commentaire de Yves Lasfargue:

La loi du 6 août 2004 modifie assez fortement la loi " Informatique et libertés " de 1978. C'est pourquoi ce décret comporte 8 titres et 100 articles (33 pages !). Cette analyse ne porte que sur le Titre III (articles 42 à 56)

 

 

 

 

Chapitre Ier Du correspondant à la protection des données à caractère personnel

Article 42

La désignation d'un correspondant à la protection des données à caractère personnel par le responsable de traitements relevant des formalités prévues aux articles 22 à 24 de la loi du 6 janvier 1978 susvisée est notifiée à la Commission nationale de l'informatique et des libertés par lettre recommandée avec demande d'avis de réception ou par remise au secrétariat de la commission contre reçu, ou par voie électronique avec accusé de réception qui peut être adressé par la même voie. Commentaire : C'est l'entreprise qui désigne ce correspondant à la protection des données (CDP). Si elle notifie son CDP auprès de la CNIL et de l'instance représentative du personnel (voir article 45 ci-après ), elle n'a plus à déclarer l'ensemble de ses traitements automatisés et sites web préalablement à leur mise en œuvre.

Commentaire de Yves Lasfargue:

C'est l'entreprise qui désigne ce correspondant à la protection des données (CDP). Si elle notifie son CDP auprès de la CNIL et de l'instance représentative du personnel (voir article 45 ci-après ), elle n'a plus à déclarer l'ensemble de ses traitements automatisés et sites web préalablement à leur mise en œuvre.

 

 

 

 

Article 43

La notification prévue à l'article 42 du présent décret mentionne :

1° Les nom, prénom, profession et coordonnées professionnelles du responsable des traitements, le cas échéant, ceux de son représentant, ainsi que ceux du correspondant à la protection des données à caractère personnel. Pour les personnes morales, la notification mentionne leur forme, leur dénomination, leur siège social ainsi que l'organe qui les représente légalement ;

2° Lorsque le correspondant à la protection des données à caractère personnel est une personne morale, les mêmes renseignements concernant le préposé que la personne morale a désigné pour exercer les missions de correspondant ; Commentaires : Le CDP peut être une personne physique ou une personne morale (SSII, ...)

Commentaire de Yves Lasfargue:

Le CDP peut être une personne physique ou une personne morale (SSII, ...)

 

 

 

 

3°Si la désignation est faite seulement pour certains traitements ou catégories de traitements, l'énumération de ceux-ci ;

4° La nature des liens juridiques entre le correspondant et la personne, l'autorité publique, le service ou l'organisme auprès duquel il est appelé à exercer ses fonctions ;

5° Tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction ;

Commentaire de Yves Lasfargue:

Aucune qualification spécifique n'est requise. Mais il parait évident que le CDP doit avoir une bonne connaissance des techniques informatiques utilisées dans l'entreprise.

 

 

 

 

6° Les mesures prises par le responsable des traitements en vue de l'accomplissement par le correspondant de ses missions en matière de protection des données. L'accord écrit de la personne désignée en qualité de correspondant est annexé à la notification. La désignation d'un correspondant à la protection des données à caractère personnel prend effet un mois après la date de réception de la notification par la Commission nationale de l'informatique et des libertés.

Toute modification substantielle affectant les informations mentionnées aux 1° à 6° est portée à la connaissance de la Commission nationale de l'informatique et des libertés, dans les formes définies à l'article 42.

Article 44

Lorsque plus de cinquante personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements automatisés pour lesquels le responsable entend désigner un correspondant à la protection des données à caractère personnel, seul peut être désigné un correspondant exclusivement attaché au service de la personne, de l'autorité publique ou de l'organisme, ou appartenant au service, qui met en oeuvre ces traitements.

Commentaire de Yves Lasfargue:

Cet article induit que les PME de moins de 50 personnes peuvent " mutualiser " un CDP commun à plusieurs PME.

 

 

 

 

Par dérogation au premier alinéa :

a) Lorsque le responsable des traitements est une société qui contrôle ou qui est contrôlée au sens de l'article L. 233-3 du code de commerce, le correspondant peut être désigné parmi les personnes au service de la société qui contrôle, ou de l'une des sociétés contrôlées par cette dernière ;

b) Lorsque le responsable des traitements est membre d'un groupement d'intérêt économique au sens du titre V du livre deuxième du code de commerce, le correspondant peut être désigné parmi les personnes au service dudit groupement ;

c) Lorsque le responsable des traitements fait partie d'un organisme professionnel ou d'un organisme regroupant des responsables de traitements d'un même secteur d'activités, il peut désigner un correspondant mandaté à cette fin par cet organisme.

Article 45

La désignation d'un correspondant à la protection des données à caractère personnel est, préalablement à sa notification à la Commission nationale de l'informatique et des libertés, portée à la connaissance de l'instance représentative du personnel compétente par le responsable des traitements, par lettre recommandée avec demande d'avis de réception.

 

Commentaire de Yves Lasfargue:

Article très important pour le respect des libertés individuelles et collectives : la désignation du CDP doit portée à la connaissance du Comité d'entreprise ou des délégués du personnel.

 

 

 

 

Article 46

Le correspondant à la protection des données à caractère personnel exerce sa mission directement auprès du responsable des traitements. Le correspondant ne reçoit aucune instruction pour l'exercice de sa mission. Le responsable des traitements ou son représentant légal ne peut être désigné comme correspondant. Les fonctions ou activités exercées concurremment par le correspondant ne doivent pas être susceptibles de provoquer un conflit d'intérêts avec l'exercice de sa mission.

Article 47

Le responsable des traitements fournit au correspondant tous les éléments lui permettant d'établir et d'actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l'établissement, du service ou de l'organisme au sein duquel il a été désigné et qui, à défaut de désignation d'un correspondant, relèveraient des formalités de déclaration prévues par les articles 22 à 24 de la loi du 6 janvier 1978 susvisée.

 

Commentaire de Yves Lasfargue:

Le CDP doit être informé de tous les traitements et fichiers portant sur des données à caractère personnel.

 

 

 

 

Article 48

Dans les trois mois de sa désignation, le correspondant à la protection des données à caractère personnel dresse la liste mentionnée à l'article 47. La liste précise, pour chacun des traitements automatisés :

1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;

2° La ou les finalités de traitement ;

3° Le ou les services chargés de le mettre en oeuvre ;

4° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès et de rectification ainsi que leurs coordonnées ;

5° Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;

6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

7° La durée de conservation des données traitées. La liste est actualisée en cas de modification substantielle des traitements en cause. Elle comporte la date et l'objet de ces mises à jour au cours des trois dernières années.

Le correspondant tient la liste à la disposition de toute personne qui en fait la demande. Une copie de la liste est délivrée à l'intéressé à sa demande. Le responsable des traitements peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction. Lorsque la liste ne recense pas la totalité des traitements mis en oeuvre par le responsable, elle mentionne que d'autres traitements relevant du même responsable figurent sur la liste nationale mise à la disposition du public en application de l'article 31 de la loi du 6 janvier 1978 susvisée.

 

Commentaire de Yves Lasfargue:

Cet article précise que le correspondant tient la liste à la disposition de toute personne qui en fait la demande : cela veut dire, en particulier, que le Comité d'entreprise et les délégués du personnel peuvent disposer de cette liste afin d evérifier qu'aucun traitement n'est " oublié ".

 

 

 

 

 

Article 49

Le correspondant veille au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné. A cette fin, il peut faire toute recommandation au responsable des traitements. Il est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur la liste prévue par l'article 47. Il reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur la liste prévue par l'article 47. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés. Il informe le responsable des traitements des manquements constatés avant toute saisine de la Commission nationale de l'informatique et des libertés. Il établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission.

 

Commentaire de Yves Lasfargue:

Cet article induit que le correspondant à la protection des données doit, en plus de ses compétences informatiques, avoir certaines compétences juridiques.

 

 

 

 

Article 50

Le responsable des traitements peut, avec l'accord du correspondant à la protection des données à caractère personnel, lui confier les missions mentionnées à l'article 49 pour la totalité des traitements qui dépendent du responsable. Dans ce cas, la notification prévue à l'article 43 en fait mention.

Article 51

La Commission nationale de l'informatique et des libertés peut être saisie à tout moment par le correspondant à la protection des données à caractère personnel ou le responsable des traitements de toute difficulté rencontrée à l'occasion de l'exercice des missions du correspondant. L'auteur de la saisine doit justifier qu'il en a préalablement informé, selon le cas, le correspondant ou le responsable des traitements. La Commission nationale de l'informatique et des libertés peut à tout moment solliciter les observations du correspondant à la protection des données ou celles du responsable des traitements.

 

Commentaire de Yves Lasfargue:

Cet article permet au Correspondant à la protection des données, mais aussi au responsable des traitements de faire appel à la CNIL.

 

 

 

 

Article 52

Lorsque la Commission nationale de l'informatique et des libertés constate, après avoir recueilli ses observations, que le correspondant manque aux devoirs de sa mission, elle demande au responsable des traitements de le décharger de ses fonctions en application du III de l'article 22 de la loi du 6 janvier 1978 susvisée.

Article 53

Hors le cas prévu à l'article 52, lorsqu'il envisage de mettre fin aux fonctions du correspondant pour un motif tenant à un manquement aux devoirs de sa mission, le responsable des traitements saisit la Commission nationale de l'informatique et des libertés pour avis par lettre recommandée avec demande d'avis de réception, comportant toutes précisions relatives aux faits dont il est fait grief. Le responsable des traitements notifie cette saisine au correspondant dans les mêmes formes en l'informant qu'il peut adresser ses observations à la Commission nationale de l'informatique et des libertés.

La Commission nationale de l'informatique et des libertés fait connaître son avis au responsable des traitements dans un délai d'un mois à compter de la réception de sa saisine. Ce délai peut être renouvelé une fois sur décision motivée de son président. Aucune décision mettant fin aux fonctions du correspondant ne peut intervenir avant l'expiration du délai prévu à l'alinéa précédent.

 

Commentaire de Yves Lasfargue:

Cet article apporte une certaine protection au correspondant à la protection des données.

 

 

 

 

Article 54

Lorsque le correspondant est démissionnaire ou déchargé de ses fonctions, le responsable des traitements en informe la Commission nationale de l'informatique et des libertés dans les formes prévues à l'article 42. La notification de cette décision mentionne en outre le motif de la démission ou de la décharge. Il y est annexé, en lieu et place de l'accord prévu au huitième alinéa de l'article 43, le justificatif de la notification de la décision au correspondant. Cette décision prend effet huit jours après sa date de réception par la Commission nationale de l'informatique et des libertés.

Hormis le cas du remplacement du correspondant, le responsable des traitements est alors tenu de procéder, dans le délai d'un mois, aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée pour l'ensemble des traitements qui s'en étaient trouvés dispensés du fait de la désignation à laquelle il est mis fin.

Article 55

Lorsque le responsable des traitements ne respecte pas ses obligations légales relatives au correspondant, la Commission nationale de l'informatique et des libertés l'enjoint par lettre recommandée avec accusé de réception de procéder aux formalités prévues aux articles 23 et 24 de la loi du 6 janvier 1978 susvisée. Cette lettre mentionne les traitements concernés par l'injonction ainsi que le délai dans lequel le responsable des traitements doit s'y conformer.

Chapitre II

Du correspondant à la protection des données appartenant à un organisme de presse écrite ou audiovisuelle

Article 56

Le correspondant prévu au quatrième alinéa de l'article 67 de la loi du 6 janvier 1978 susvisée est désigné par le responsable de traitements de données à caractère personnel aux fins de journalisme mis en oeuvre par un organisme de la presse écrite ou audiovisuelle. Ce correspondant est désigné parmi les personnes attachées au service de cet organisme. Le correspondant est soumis aux dispositions du présent titre, à l'exception des règles relatives à la désignation et aux missions du correspondant prévues par le 2° de l'article 43, l'article 45, les 4° et 7° et les dixième, onzième et douzième alinéas de l'article 48, ainsi que le cinquième alinéa de l'article 49 du présent décret.

 

Rappel:

Cette analyse est téléchargeable en PDF

 

.

 

 

COMMUNIQUEZ NOUS LES TEXTES DES CHARTES ET ACCORDS
concernant internet, intranet,
le télétravail les NTIC en général...
appliqués dans votre entreprise !!!!
nous pourrons ainsi les analyser et les mettre à la disposition de tous.

Pour télécharger les textes de ce site (en word ou en pdf)

 1 - Consultation CE / 2 - Charte / 3 - Utilisation par le CE / 4 - Par le syndicat / 5 - Libertés / 6 - Conditions de travail / SYAM / Bibliographie