Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

---

DONNEES PERSONNELLES ET FICHIERS INFORMATIQUES

 

La sécurité des fichiers

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende.art. 226-17 du code pénal

La confidentialité des données

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, les autorités fiscales ).

La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende.

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal

La durée de conservation des informations

Les données personnelles ont une date de péremption.

Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende. art. 226-20 du code pénal

L’information des personnes

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.
art. 131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005

L'autorisation de la CNIL

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la  CNIL

Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende. art. 226-16 du code pénal  

---

Déclaration d'un fichier à la CNIL

---

La finalité des traitements

Un fichier doit avoir un objectif précis.  Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.

Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. 

Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende.art. 226.21 du code pénal