Application de la loi informatique et liberté : le décret du 25 mars 2007

Voici un nouveau décret d'application de la loi Informatique et Liberté qui vient modifier cette dernière sur deux axes principaux : les modalités d'exercice par un particulier de son droit d'accès, de modification et de rectification des données personnelles les concernant d'une part et d'autre par sur l'obligation d'information et les formalités préalables au traitement incombant aux responsables du traitement.

I. Les modalités d'exercices des droit d'accès, de modification et de rectification des données personnelles

Ce second décret d'application de la loi Informatique et Libertés vient préciser certaines modalités des droits d'opposition et de rectification des données personnelles.

Sur le droit de rectification, l'article 92 dans sa nouvelle rédaction impose une identification plus précise et certaine du demandeur ou de son mandataire notamment lors de la réception de la réponse par voie postale. En outre, la demande de modification devant être satisfaite dans un délai relativement court, si elle ne peut être satisfaite immédiatement, elle doit être adressée au demandeur dans un délai de 2 mois à compté de l'avis de réception daté et signé délivré lors de la formulation de la demande. Toutefois, ce délai peut être suspendu en cas de demande incomplète ou imprécise de façon à permettre au responsable du traitement d'obtenir les informations manquantes auprès du demandeur.

Afin de faciliter la mise en oeuvre du droit d'opposition et de rectification l'intéressé doit avoir la possibilité d'exprimer son choix avant la validation finale de ses réponses. En outre tout responsable du traitement auprès duquel a été exercé un droit d'opposition ou de rectification est tenu d'en informer tous les autres responsables du traitement à qui il avait transféré ces données.

II. L'obligation d'information et formalités préalables au traitement incombant aux responsables du traitement

Le responsable du traitement est tenu de porter à la connaissances des personnes concernées certaines informations énumérées à l'article 32 de la loi Informatique et liberté sur le support même de la collecte ou sur un document présenté préalablement. Il peut également le faire oralement ou par voie électronique avec l'accord de la personne concernée et à condition de pouvoir les fournir sur simple demande sur support écrit.

Enfin, lorsque le responsable du traitement envisage de transférer des données à caractère personnel vers un Etat tiers, il doit communiquer dans les conditions décrites ci-dessus certaines informations telles que le pays d'établissement du destinataire des données lorsqu'il est connu lors de la collecte, la nature des données transférées, la finalité du transfert, la catégories des destinataires des données et enfin le niveau de protection des données personnelles offerte par le pays tiers (en faisant notamment référence à la décision de la Commission européenne autorisant le transfert ou à l'exception de l'article 69 de la loi Informatique et Libertés). Enfin, si le transfert est envisagé postérieurement à la collecte, il ne peut intervenir avant un délai de 15 jours suivant la réception par l'intéressé de ces informations ou au terme de la procédure de l'article 94 de la loi Informatique et Libertés et ce pour lui permettre d'exercer ses droits.