Quand la loi nouvelle est-elle applicable ?
En l’absence de disposition fixant une date d’application particulière, la loi s’applique le lendemain de sa publication au Journal officiel intervenue le 7 août 2004, soit depuis le 8 août 2004.
Un traitement automatisé autorisé sur la base de la loi du 6 janvier 1978 doit-il faire l’objet d’une nouvelle procédure d’autorisation ou de déclaration ?
La loi nouvelle a prévu un délai de trois ans pour mettre les traitements régulièrement intervenus en conformité avec ses dispositions. Quand les caractéristiques des traitements ne sont pas modifiées, il n’est pas nécessaire de recommencer la procédure de déclaration ou d’autorisation à la CNIL (article 20 de la loi sur les dispositions transitoires).
A quelles formalités est assujeti un traitement décidé depuis le 8 août 2004, se conformant à la loi du 30 juin 2004 prévoyant le plan d’alerte et d’urgence et à son décret d’application ?
A quelles formalités est assujeti un traitement décidé depuis le 8 août 2004, se conformant à la loi du 30 juin 2004 prévoyant le plan d’alerte et d’urgence et à son décret d’application ?
Un tel traitement n’est pas soumis à autorisation. Il est même dispensé de déclaration, comme l’a décidé la CNIL.
En effet, un tel traitement ne comporte pas de données sensibles au sens donné à ce terme par la loi du 6 août 2004 (cf l’article 8 modifié, notamment données relatives à la santé ou à la vie sexuelle, et l’article 25,I,7° données comportant des appréciations sur les difficultés sociales des personnes). Il ne prévoit ni interconnexion des fichiers, ni utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques.
De tels traitements font donc normalement l’objet d’une déclaration à la CNIL et non d’une autorisation, même s’ils sont mis en œuvre par une commune, personne morale de droit public (article 23 de la loi). La loi nouvelle fait, en effet, le partage suivant le degré de sensibilité des données (déclaration pour les données à propos desquelles le danger pour les libertés est faible, autorisation pour les données sensibles) et non plus selon la personne qui met en œuvre le traitement (autorisation pour les personnes publiques et les personnes privées gérant un service public, déclaration pour les autres personnes privées).
La CNIL peut dispenser de déclaration certaines catégories de traitement. Il en est ainsi des traitements décidés en application de la loi du 30 juin 2004 et de son décret d’application.
Si le traitement que je décide dépasse le cadre fixé par la loi du 30 juin 2004 et de son décret d’application, que faut-il faire ?
C’est le cas, par exemple, si le traitement inclut des données plus larges que celles prévues dans le décret (des informations ne figurant pas sur la liste mentionnée à l’article 3 du décret) ou allonge la liste des destinataires des informations.
On se situe alors dans le cadre du droit commun de la loi du 6 août 2004.
Si le traitement comporte des éléments qu’on peut qualifier de sensibles (exemples : informations sur la santé des personnes, appréciations sur leurs difficultés sociales), il faut demander l’autorisation de la CNIL.
Si le traitement ne présente aucun danger particulier (absence de données sensibles, pas d’interconnexion de fichiers, pas d’utilisation du numéro d’inscription de la personne au répertoire national des personnes physiques), il suffit de le déclarer à la CNIL.