Déclarer un fichier à la CNIL pour une seule personne ?

Le RGPD, même s’il n’est pas encore entré en vigueur a le mérite de mettre en avant la nécessité de déclarer les traitements de données personnelles auprès de la CNIL.

Habituellement le traitement de données personnelles concerne des centaines voire des milliers de personnes, notamment quand il s’agit des clients.

Il a fallu attendre 2015 pour que la question suivante soit posée. Doit-on  déclarer à la CNIL un fichier contenant les données personnelles d’une seule personne ?

En effet, les modalités nécessaires cette déclaration, ou en cas de besoin, la demande d’autorisation concernant une seule personne peuvent sembler disproportionnées au regard du contenu du fichier. On peut donc être tenté de s’en affranchir.

C’est un arrêt de la chambre criminelle de la cour de cassation daté du 8 septembre 2015 (pourvoi n°13-85587) qui est venu trancher la question.

Déclarer un traitement de données personnelles pour une personneRevenons sur les faits à l’origine de l’arrêt. Un collaborateur d’un établissement public avait déposé plainte en raison de la mise en place d’un traitement automatisé de données à caractère personnel sans autorisation. À l’origine de la plainte ? Deux notes de son responsable, destinées au directeur de l’établissement public et contenant des appréciations personnelles sur lui. Ces deux notes avaient été enregistrées dans un texte, dans un répertoire informatique accessible à l’ensemble du personnel l’établissement.

L’arrêt dispose ainsi que « que la loi du 6 janvier 1978 s’applique à la création d’un seul fichier de données personnelles accessible à des tiers même si ce fichier ne concerne qu’une seule personne, sans qu’il soit besoin d’atteindre un certain seuil de données traitées« .

La cour rappelle ainsi que la loi de 1978 ne prévoit aucun nombre de personnes concernées pour qu’un traitement de données doivent être déclaré.

Les juges ont appliqués la loi de 1978 ensemble l’article 226-16 du code pénal pour juger « qu’est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi susvisée qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers« .

En conséquence, vous devez effectuer une déclaration CNIL avant notamment votre premier client ou votre premier salarié.

Pour éviter un risque d’oubli, appuyez vous sur le privacy by design dans le cadre de la cartographie de vos traitements de données personnelles !

RGPD : à quoi devez-vous vous attendre ?

Avec le RGPD la protection des données personnelles change de philosophie. D’une obligation déclarative, le nouveau régime juridique se base sur la responsabilité de l’entreprise qui recueille et traite les données. Cette nouvelle philosophie appelle logiquement un nouveau mode organisationnel. Dans le cadre de la nouvelle réglementation, les données personnelles doivent être protégés avec des leurs origines : cela s’appelle le privacy by design. L’idée est que les données personnelles doivent être protégées dès leur conception.

Quelles sont les données concernées par le RGPD ?

le RGPD : une nouvelle manière de gérer les données personnellesDe manière générale, toutes les données se rattachant à une personne identifiable directement ou indirectement sont concernées. Par exemple, le nom et le prénom d’une personne sont des données permettant de l’identifier directement. De la même manière, une adresse IP est vue comme une donnée personnelle dans la mesure où elle permet d’identifier un individu de manière indirecte. Le fait que les données soient chiffrer n’entre pas en ligne de compte. (suite…)