Commission Nationale de l'Informatique et des Libertés
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles
La gouvernance en France
Contrôleur européen de la protection des données
Son rôle :
veiller à ce que les institutions et organes de l'UE respectent le droit des citoyens à la protection de leur vie privée lors du traitement de données à caractère personnel
- Il contrôle
les activités de traitement de données à caractère personnel par l'administration européenne afin d'en vérifier la conformité avec les règles en matière de protection de la vie privée.
- Il conseille
les institutions et organes de l'UE en ce qui concerne tous les aspects du traitement de données à caractère personnel, ainsi que les politiques et textes législatifs pertinents.
- Il gère les plaintes
et mène des enquêtes.
- Il collabore avec les autorités nationales
des pays de l'UE pour assurer la cohérence dans le domaine de la protection des données.
- Il suit l'évolution des technologies susceptibles d'avoir des incidences sur la protection des données.
La protection de la vie privée
Une partie importante des missions du contrôleur européen à la protection des données s'attache à la protection de la vie privée des personnes lors des contrôles établies sur un système de traitement automatisé de données. Le plus sûr moyen, pour un utilisateur, de vérifier qu'un contrôle efficace est établi sur le système d'information de l'entreprise, est de se rapporter à l'adhésion au droit international ci-après.
DROIT DES PERSONNES
- Déclaration universelle des droits de l'homme du 10 décembre 1948
- Convention européenne de sauvegarde des droits de l'Homme du 4 novembre 1950
- Convention de Genève du 28 juillet 1951 sur les réfugiés et protocole signé à New-York le 31 janvier 1967
- Convention de New York du 28 septembre 1954 sur le statut des apatrides, signée le 12 janvier 1955
- Convention de la Haye du 5 octobre 1961 sur la protection des mineurs
- Pacte du 16 décembre 1966 relatif aux droits civils et politiques
- Pacte du 16 décembre 1966 relatif aux droits économiques, sociaux et culturels
- Convention de la Haye du 25 octobre 1980 sur les aspects civils de l'enlèvement international des enfants
- Convention du 20 novembre 1989 relative aux droits de l'enfant
- Convention de la Haye du 29 mai 1993 sur la coopération en matière d'adoption internationale
Si votre entreprise effectue des déclarations auprès de la CNIL, n'hésitez pas à demander l'accès aux documents administratif vous concernant. Si ces données font parties d'une archive, cette demande d'accès peut être effectuée d'après la loi n° 2008-696 du 15 juillet 2008 relative aux archives. Les déclarations portées à la connaissance de la CNIL font obligatoirement l'objet d'un traitement.
La réglementation en informatique
Selon le Conseil d’État français et son rapport public de 2001, les autorités administratives indépendantes sont des « organismes administratifs qui agissent au nom de l'État et disposent d'un réel pouvoir, sans pour autant relever de l'autorité du gouvernement ».
La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi n° 78-17 du 6 janvier 1978 modifiée le 6 août 2004.
La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi n° 78-17 du 6 janvier 1978 modifiée le 6 août 2004.
Vous n'êtes pas déclaré dans le Système d'Information de votre entreprise
Prenons un exemple pour illustrer les conséquences d'une déclaration qui n'est pas portée à la connaissance de l'administration. Vous travaillez dans une entreprise et votre service informatique n'a pas enregistré dans le système d'information votre présence et votre activité dans l'entreprise.
Conséquence 1
: tous vos collègue bénéficient d'une protection (vie privée) qui ne s'applique pas à votre personne.
Conséquence 2
: vous êtes illégalement en train d'utiliser un bien de l'entreprise au profit de l'entreprise.
Conséquence 3
: vous disposez des ressources du service informatique en infraction aux règles établies dans l'entreprise.
La règlementation européenne sur l'usage d'un système d'information prévoit un dispositif de protection des données à caractère personnel, et c'est l'objet du RGPD entrée en application le 25 mai 2018. En France, la loi du 20 juin 2018 a transposée cette règlementation pour moderniser le droit français et réviser certains articles en contradiction avec le RGPD. Il s'agit maintenant de garantir et de prouver la conformité des organisations en matière de protection des données personnelles.
Si vous n'êtes pas déclaré dans le Système d'Information de votre entreprise, plusieurs recours peuvent être effectués. Tout d'abord, la CNIL peut vous renseigner sur les démarches obligatoires de votre employeur vis à vis du respect de la législation applicable en matière d'usage du SI. En effet, il ne peut pas effectuer de traitement sur vos données dès lors que vous n'êtes pas enregistré individuellement dans l'annuaire de l'entreprise, et à contrario vous ne pouvez pas effectuer de traitement de données si vous n'êtes pas enregistré dans l'annuaire de l'entreprise.
L'identification du responsable de traitement est obligatoire dans le cadre européen, de même que le périmètre des données collectées doit être définie en amont du processus de traitement. Dès lors, vos missions dans le cadre de votre travail doivent être réévaluées. Pour cela, un document de référence doit être présent au sein de votre organisation et accessible via le service informatique qui est en charge du maintient du SI.
Le document ci-dessous
a une portée importante et peut servir de médiateur dans une opposition réelle entre un employeur et un employé. Son article 6 notamment rappel que bien que le cadre de la protection des données personnelles soit définie en Europe, c'est la législation du pays où vous exercer votre emploie qui est applicable lors d'un audit effectuée sur votre lieu de travail. Ainsi, ce n'est pas pas seulement la CNIL qui peut vous aider, mais l'inspection du travail.
Convention de Rome de 1980 sur la loi applicable aux obligations contractuelles
Dans ce cas, il faudra recourir aux inspecteurs de travail si les entreprises ne respectent pas cette loi. Ils peuvent ainsi mener une enquête, recourir à des organismes agréés pour contrôler l’état des matériels et des locaux, et entrer et visiter librement l’entreprise sans prévenir.
