Les incidences de la nouvelle modification de la loi Informatique et Libertés sur les particuliers et les responsables de traitements

Le décret (n°2007-451) du 25 mars 2007, vient de largement modifier la loi Informatique et Libertés, qui sera prochainement mise à jour sur le site de la CNIL. Il traite notamment des nouvelles modalités d'exercice par un particulier, de son droit d'accès, de modification et de rectification des données le concernant, mais aussi de l'obligation d'information incombant aux responsables de traitements. Le texte détaille aussi les formalités préalables incombant aux responsables de traitements envisageant un transfert de données à caractère personnel hors communauté européenne, ainsi que les informations des responsables de traitements, du public et des autorités européennes.

Les droits des personnes à l'égard des traitements de données à caractère personnel :
Selon la nouvelle rédaction de l'article 92, les demandes tendant à la mise en oeuvre des droits d'opposition et de rectification, lorsqu'elles sont présentées par écrit au responsable du traitement, sont signées et accompagnées de la photocopie d'un titre d'identité portant la signature du titulaire. Elles précisent l'adresse à laquelle doit parvenir la réponse. Lorsqu'il existe un doute sur l'adresse indiquée ou sur l'identité du demandeur, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse ou de l'identité du demandeur s'effectuant lors de la délivrance du pli.
Lorsque le responsable du traitement ou, en application des articles 49 et 50, le correspondant à la protection des données n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.
Lorsqu'une demande est présentée sur place, l'intéressé justifie par tout moyen de son identité auprès du responsable du traitement. Il peut se faire assister d'un conseil de son choix. La demande peut être également présentée par une personne spécialement mandatée à cet effet par le demandeur, après justification de son mandat, de son identité et de l'identité du mandant.
Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé. Le responsable du traitement répond à la demande présentée par l'intéressé dans le délai de 2 mois suivant sa réception.
Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration du délai prévu à l'alinéa précédent. Le responsable du traitement y procède par lettre remise contre signature ou par voie électronique. La demande de compléments d'information suspend le délai de 2 mois.
Sauf lorsque la demande est manifestement abusive, les décisions du responsable du traitement de ne pas donner une suite favorable à la demande qui lui est présentée sont motivées et mentionnent les voies et délais de recours ouverts pour les contester.
Le silence gardé pendant plus de 2 mois par le responsable du traitement sur une demande vaut décision de refus.
Les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.

Dispositions particulières au droit d'opposition :
Pour faciliter l'exercice du droit d'opposition, l'intéressé est mis en mesure d'exprimer son choix avant la validation définitive de ses réponses. Lorsque la collecte des données intervient par voie orale, l'intéressé est mis en mesure d'exercer son droit d'opposition avant la fin de la collecte des données le concernant. Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.

Disposition particulière au droit d'accès direct :
Selon l'article 98, la demande d'accès peut être effectuée par écrit. Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n'est possible que sous réserve de la protection des données personnelles des tiers. Sauf disposition législative ou réglementaire contraire, une copie des données à caractère personnel du demandeur peut être obtenue immédiatement. Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l'intéressé toutes les données qui le concernent et pendant une durée suffisante.
Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.

Dispositions particulières au droit de rectification :
Les articles 99 et 100 disposent que lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers. Celui-ci procède également sans délai à la rectification.
Outre la justification de son identité, l'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, apporter la preuve de sa qualité d'héritier par la production d'un acte de notoriété ou d'un livret de famille.

L'obligation d'information incombant aux responsables de traitements :
Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l'article 32 de la loi du 6 janvier 1978 sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles.
Selon l'article 90 de la loi Informatique et Libertés, il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d'opposition, d'accès et de rectification. Lorsque la collecte des données est opérée oralement à distance, il est donné lecture de ces informations aux intéressés en leur indiquant qu'ils peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit.
Ces informations peuvent être communiquées aux intéressés, avec leur accord, par voie électronique. Lorsque les informations sont portées à la connaissance de l'intéressé par voie d'affichage, il lui est indiqué qu'il peut, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit.
Lorsque le responsable du traitement communique des informations sur les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne, dans les conditions visées ci-dessus, à la personne auprès de laquelle des données à caractère personnel sont recueillies, celles-ci sont les suivantes :
- le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données
- la nature des données transférées
- la finalité du transfert envisagé
- la ou les catégories de destinataires des données
- le niveau de protection offert par le ou les pays tiers : si le ou les pays tiers figurent dans la liste prévue à l'article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ; si le ou les pays tiers ne satisfont pas aux conditions prévues à l'article 68 de la même loi, il est fait mention de l'exception prévue à l'article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l'informatique et des libertés autorisant ce transfert.
Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de 15 jours suivant la réception par l'intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l'article 94.