Le 05 mai 2017
Par Mathias Lavole (IRMa)
|
La loi n° 78-17 du 6 janvier 1978 modifiée par loi n°2004-801 du 6 août 2004 autorise l’utilisation de données personnelles sous certaines conditions :
« Article 7 :
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1° Le respect d’une obligation légale incombant au responsable du traitement (non valide dans le cas du PCS) ;
2° La sauvegarde de la vie de la personne concernée (peut être valide dans le cas du PCS) ;
3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement (peut être valide dans le cas du PCS et notamment de l’alerte des populations) ;
4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci (peut être valide dans le cas du PCS mais difficile à réaliser à l’échelle d’une commune) ;
5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée (pourrait être valide dans le cas du PCS et notamment de l’alerte).
Les dispenses de la CNIL :
De plus, pour faciliter la collecte de certaines données, notamment celles relatives aux personnes sensibles, la CNIL à prévue une dispense de déclaration :
DISPENSE ART6 de la CNIL : l'article R.121-12 du Code d'action sociale et des familles dispense de déclaration le registre nominatif mis en œuvre par les communes afin de recenser leurs administrés âgés et handicapés qui le souhaitent pour favoriser l’intervention des services sociaux et sanitaires en cas de «risques exceptionnels». Pour être exonéré de déclaration auprès de la CNIL, ce registre communal doit respecter l’ensemble des conditions de constitution et d’utilisation fixées par les articles R121-3 et suivants.
Pour les personnes volontaires ou bénévoles :
DISPENSE DI007 de la CNIL (ancienne norme simplifiée n°15) : concerne les traitements de données personnelles mis en œuvre par tout organisme privé ou public à des fins d’information et de communication externe. Elle s’applique aux sites internet institutionnels et aux fichiers de contacts. Elle exclut toute utilisation commerciale ou politique des données traitées. La dispense prévoit que seules peuvent être enregistrées les données relatives à l’identité, la vie professionnelle, les centres d’intérêts de la personne concernée, à l’exception des données dites sensibles telles que les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou la vie sexuelle des personnes. Ces données peuvent être conservées pendant toute la durée nécessaire à la réalisation des finalités prévues et une mise à jour annuelle doit être prévue. Les personnes concernées doivent être informées lors de la collecte des données de l’utilisation ultérieure de ces données à des fins de communication ou d’information, et mises en mesure de s’y opposer.
Pour résumer :
- La collecte des données relatives aux personnes sensibles ne fait pas obligatoirement l’objet d’une déclaration CNIL.
- La collecte des données personnelles à des fins de services publics (alerte de la population) ne fait pas obligatoirement l’objet d’une déclaration CNIL à la condition d’avoir reçu le consentement de la personne concernée ou à minima de satisfaire à l’une des conditions indiquées ci-avant (points 2°, 3° et 5° de l’article 7 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).
- La collecte des données personnelles à d’autres fins (recensement des volontaires et des bénévoles) peut être exonérée de déclaration CNIL aux conditions citées ci-dessus. |
