CNIL : gérer la protection et les droits d'accès aux données personnelles

Septembre 2017

Toute entreprise qui collecte et traite des données à caractère personnel via son site Internet est soumise à plusieurs obligations. Celles-ci visent à assurer la sécurité et la confidentialité des informations. Parmi elles, la réponse à une demande de droit d'accès aux données et leur communication à la personne concernée.


Application de la loi Informatique et Libertés : qui est concerné ?

Tous les sites et entreprises ne sont pas forcément concernés par la loi Informatique et Libertés actuellement en vigueur.
Le règlement s'applique dans les conditions suivantes :
  • Les données collectées se rapportent à une personne physique identifiable quel que soit le moyen, de manière directe ou non.
  • Les données personnelles sont traitées : enregistrées, conservées, modifiées, transmises, consultées, etc. Le traitement peut être informatisé ou non.
  • Le traitement des données dépasse un cadre strictement personnel. Par exemple : un répertoire personnel de contacts n'entre pas dans le cadre de la loi.
  • Le responsable du traitement des données est situé sur le territoire français.

Le responsable du traitement des données

D'après la loi, « le responsable d’un traitement de données à caractère personnel est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. » Son rôle est de veiller à la bonne application de la loi Informatique et Libertés.
Le responsable du traitement est le plus souvent le représentant légal d'un organisme : le président d'une entreprise du secteur privé, par exemple.
A noter qu'il est également possible de faire appel à un sous-traitant pour procéder au traitement des données, à condition que celui-ci assure une sécurité et une confidentialité optimales.

Principes à respecter pour protéger les données

La loi impose plusieurs obligations aux professionnels qui collectent et traitement des données personnelles.
  • Des objectifs définis : il convient d'établir les finalités exactes du fichier de données. Le responsable du traitement doit informer les personnes de la manière dont leurs informations personnelles vont être utilisées, et s'y tenir.
  • Une collecte minimisée : seules les données personnelles pertinentes doivent être récupérées. C'est à dire, seulement les données permettant d'atteindre les objectifs définis dans le point précédent.
  • Une conservation limitée : les données collectées doivent être supprimées une fois le(s) objectif(s) atteint(s). Il incombe au responsable de traitement de fixer la durée de conservation des informations en fonction de leur nature (10 ans pour un dossier médical par exemple).
  • Des droits respectés : droit d'accès aux données, droit de rectification et droit de s'opposer à leur utilisation.
  • Un traitement sécurisé : la sécurité des données doit être garantie par le responsable de traitement, de même que leur confidentialité. La CNIL préconise également d'évaluer les mesures existantes et les risques pour la vie privée des personnes dont les données sont collectées.

Répondre à une demande de droits d'accès

Selon l'article 39 de la loi Informatique et Libertés « toute personne physique qui justifie de son identité peut demander à un responsable de traitement d’un organisme privé ou public d’accéder aux données qui la concernent. » Ce droit d'accès permet de vérifier l'exactitude des informations, de demander leur rectification ou leur suppression.

Proposer une démarche simple

Pour répondre à une demande de droit d'accès aux données personnelles, il est recommandé d'avoir déterminé au préalable des bonnes pratiques en interne. La démarche doit être simple afin de pouvoir répondre dans les délais impartis.
De plus, il est impératif d'indiquer de manière précise à quel service ou à quelle personne s'adresser pour exercer sont droit d'accès.

Respecter le délai de réponse

Le délai de réponse à une demande de droit d'accès est actuellement fixé à deux mois.
A partir du 25 mai 2018 et avec l'entrée du nouveau règlement européen, ce délai sera réduit à un mois à compter de la date de réception de la demande. Des demandes complexes et/ou nombreuses pourront donner droit à une prolongation du délai.

Savoir quand il est possible de refuser

Le responsable de traitement d'un fichier n'est pas tenu de répondre à une demande de droit d'accès dans tous les cas. Certaines situations exceptionnelles peuvent donner lieu à un refus de communication des données :
  • les demandes sont manifestement abusives ou répétitives (un document déjà fourni et demandé plusieurs fois par exemple) ;
  • les données ne sont pas conservées ou ont été supprimées.

Communiquer les données avec des moyens adaptés

Les données personnelles peuvent être transmises par voie postale : la CNIL préconise l'envoi d'une lettre recommandée avec accusé de réception.
Il est également possible d'avoir recours à une clé USB, de préférence remise en main propre à la personne qui a demandé la communication des données. La CNIL invite à chiffrer les informations pour assurer leur sécurité.

En savoir plus

Déclarer son site Internet auprès de la CNIL

Crédits photo : © momius - Fotolia.com

A voir également


Publié par sophie Garrigues.
Ce document intitulé «  CNIL : gérer la protection et les droits d'accès aux données personnelles  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.