Fil d'actualité du Service Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteObligations du responsable de traitementObligations préalable à la mise en oeuvre d’un traitement

Obligations préalable à la mise en oeuvre d’un traitement

Page publiée le 20 octobre 2011, mise à jour le 13 janvier 2012

Rappel des principales règles à respecter
  • respecter le principe de finalité et de proportionnalité : le traitement doit avoir une finalité déterminée, explicite et légitime et les données, collectées de manière loyale et licite, doivent être pertinentes au regard de cette finalité.
  • conserver les données pendant une durée limitée fixée en fonction de la finalité du traitement.
  • assurer la sécurité et la confidentialité des données. Exemple Les données ne doivent pas déformées, endommagées ou être accessibles à des tiers non autorisés(Article 34 de la loi.)
  • informer la personne du traitement dont elle fait l’objet et de ses caractéristiques afin de lui permettre d’exercer ses droits d’accès, de modification, de suppression et d’opposition.
    Attention Le responsable du traitement doit obligatoirement informer les personnes concernées de leurs droits et identifier clairement le service auprès duquel s’exercent ces droits dans l’unité.
  • déclarer le traitement auprès du Correspondant Informatique et Libertés.
    Attention Le responsable du traitement s’engage à réaliser une déclaration conforme à la réalité du traitement mis en œuvre.

Conditions propres aux données sensibles

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

Par principe, il est interdit de collecter et de traiter ce type de données. Toutefois, la loi prévoit certaines dérogations. Ainsi la CNIL peut autoriser, compte tenu de leur finalité, certains traitements si les données sont à bref délai, anonymisées selon un procédé reconnu conforme, au cas par cas, par la CNIL ou si les traitements sont justifiés par un intérêt public(Pour d’autres dérogations, cf. les articles 8 et 25 de la loi.)

Exemple Peuvent être reconnus conformes des procédés irréversibles de transcodage ou de hachage des identités.

cf. la rubrique concernée

Les transferts de données

  • vers un Etat appartenant à la Communauté européenne : Les transferts ne soulèvent pas de difficulté particulière, s’ils ont été prévus dans la déclaration initiale au CIL ou dans l’acte autorisant le traitement. A défaut, une modification de la déclaration ou de l’acte autorisant le traitement est nécessaire.
  • vers un Etat n’appartenant pas à la Communauté européenne :  [1]

Les transferts de données à caractère personnel ne sont possibles que si les États destinataires assurent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées par le traitement.

A défaut, il convient de solliciter l’autorisation de la CNIL ou de respecter les conditions prévues par la loi.

En pratique Si vous envisagez un tel transfert, contactez le Correspondant Informatique et Libertés pour déterminer le régime applicable et la procédure à suivre.


Notes

[1] Articles 68 à 70 de la loi.