Mise en conformité des Agences de Recherche Privée (détectives) avec la CNIL et la Loi Informatique et Liberté

MISE EN CONFORMITE AVEC LA « CNIL » ET LA LOI INFORMATIQUE ET LIBERTE

Cette mise en conformité s’applique à tous les dirigeants et salariés des Agences de Recherche Privée, y compris aux intérimaires et aux stagiaires présents dans l’entreprise, ainsi qu’à tout intervenant dûment habilité. .

La CNIL, « Commission Nationale de l’Informatique et des Libertés », est chargée d’appliquer la loi du 6 janvier 1978 modifiée en août 2004 relative à l’informatique, aux fichiers et aux libertés : http://www.cnil.fr

La mise en Conformité des ARP doit se faire en accord avec le correspond CNIL de la profession d’ARP, à savoir Mr Gérard BRUGUES :
gerard.brugues@informatiqueetliberte.fr Tél : 06 32 64 86 14.

Au sens de l’article 8 de la loi informatique et libertés, sont considérées comme sensibles et devant donc faire l’objet d’une protection particulière les « données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Le traitement de ces données est interdit, sauf dérogations prévues par la loi, par exemple lorsque :
– le traitement statistique est réalisé par l’INSEE ou un service statistique ministériel et est autorisé par la CNIL ;
– le consentement exprès de la personne a été obtenu et une déclaration faite auprès de la CNIL ;
– l’enquête présente un intérêt public et est autorisée par la CNIL.
L’adresse, la nationalité et le lieu de naissance ne sont pas considérés par la CNIL comme des données « sensibles » au sens de l’article 8 de la loi. En effet, l’information sur le lieu de naissance de la personne fait partie de l’état civil et est considérée comme une donnée « objective ».
La Commission porte cependant une attention particulière au traitement des données relatives à la nationalité et au lieu de naissance dans les fichiers, la pertinence de leur collecte devant être dûment justifiée, au cas par cas, par le responsable du traitement.

Les dix recommandations de la CNIL en matière de mesure de la diversité

• Ouvrir plus largement aux chercheurs l’accès aux bases de données statistiques et aux fichiers de gestion.
• Utiliser les données « objectives » relatives à l’ascendance des personnes (nationalité et/ou lieu de naissance des parents) dans les enquêtes pour mesurer la diversité.
• Ne pas intégrer de données sur l’ascendance des personnes dans les fichiers des entreprises et des administrations (personnel et usagers).
• Développer des études sur le « ressenti » des discriminations, incluant le recueil de données sur l’apparence physique des personnes.
• Admettre, sous certaines conditions, l’analyse des prénoms et des patronymes pour détecter d’éventuelles pratiques discriminatoires.
• Modifier la loi informatique et libertés pour assurer une meilleure protection des données sensibles en garantissant le caractère scientifique des recherches et en harmonisant les procédures de contrôle des fichiers de recherche.
• Refuser en l’état la création d’un référentiel national ethno racial.
• Développer le recours à des experts, tiers de confiance pour mener les études de mesure de la diversité.
• Garantir la confidentialité et l’anonymat par le recours aux techniques d’anonymisation.
• Garantir l’effectivité des droits informatique et libertés en assurant la transparence.

Contrôles et vérifications

Section 1 : L’habilitation des agents des services de la commission
Article 57
L’habilitation prévue par le dernier alinéa de l’article 19 de la loi du 6 janvier 1978 susvisée est délivrée aux agents des
services de la commission, de catégorie A ou assimilés, pour une durée de cinq ans renouvelable.
Article 58
Nul agent des services de la commission ne peut être habilité à effectuer une visite ou une vérification s’il a fait l’objet
d’une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casier judiciaire, ou dans un
document équivalent lorsqu’il s’agit d’un ressortissant de l’Union européenne.
Article 59
Nul agent des services de la commission ne peut être désigné pour effectuer une visite ou une vérification auprès d’un
organisme au sein duquel :
1° Il détient un intérêt direct ou indirect, exerce des fonctions ou une activité professionnelle ou détient un mandat ;
2° Il a, au cours des trois années précédant la visite ou la vérification, détenu un intérêt direct ou indirect, exercé des
fonctions ou une activité professionnelle ou détenu un mandat.
Article 60
Lorsque les conditions prévues aux articles 57, 58 et 59 cessent d’être remplies, il est mis fin à l’habilitation après que
l’intéressé a été mis en mesure de présenter ses observations. En cas d’urgence, la commission peut suspendre
l’habilitation pour une durée maximale de six mois.
Il est également mis fin à l’habilitation lorsque l’intéressé n’exerce plus les fonctions à raison desquelles il a été habilité.
Section 2 : Le contrôle sur place
Article 61
Lorsque la commission décide un contrôle sur place, elle en informe préalablement par écrit le procureur de la
République dans le ressort territorial duquel doit avoir lieu la visite ou la vérification.
Le procureur de la République est informé au plus tard vingt-quatre heures avant la date à laquelle doit avoir lieu le
contrôle sur place. Cet avis précise la date, l’heure, le lieu et l’objet du contrôle.
Article 62
Lorsque la commission effectue un contrôle sur place, elle informe au plus tard au début du contrôle le responsable des
lieux de l’objet des vérifications qu’elle compte entreprendre, ainsi que de l’identité et de la qualité des personnes
chargées du contrôle. Lorsque le responsable du traitement n’est pas présent sur les lieux du contrôle, ces informations
sont portées à sa connaissance dans les huit jours suivant le contrôle.
Dans le cadre de leurs vérifications, les personnes chargées du contrôle présentent en réponse à toute demande leur
ordre de mission et, le cas échéant, leur habilitation à procéder aux contrôles.
Article 63
Lorsqu’en application de l’article 49 de la loi du 6 janvier 1978 susvisée la commission procède à des vérifications, à la
demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de la
Communauté européenne, elle en informe le responsable du traitement. Elle l’informe également que les informations
recueillies ou détenues par la commission sont susceptibles d’être communiquées à cette autorité.
Article 64
Les missions de contrôle sur place font l’objet d’un procès-verbal.
Le procès-verbal énonce la nature, le jour, l’heure et le lieu des vérifications ou des contrôles effectués. Il indique
également l’objet de la mission, les membres de celle-ci présents, les personnes rencontrées, le cas échéant, leurs
déclarations, les demandes formulées par les membres de la mission ainsi que les éventuelles difficultés rencontrées.
L’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie est annexé au procès-verbal.
Lorsque la visite n’a pu se dérouler, le procès-verbal mentionne les motifs qui ont empêché ou entravé son
déroulement.
Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou
par toute personne désignée par celui-ci. En cas de refus ou d’absence de celles-ci, mention en est portée au procès-verbal.
Le procès-verbal est notifié au responsable des lieux et au responsable des traitements.
Article 65
Lorsque la visite a lieu avec l’autorisation et sous le contrôle du juge en application du II de l’article 44 de la loi du 6
janvier 1978 susvisée, copie du procès-verbal de la visite lui est adressée par le président de la commission.
Section 3 : L’audition sur convocation
Article 66
En application du premier alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée, les personnes chargées du
contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir tout renseignement ou toute
justification utiles pour l’accomplissement de leur mission.
La convocation, adressée par lettre remise contre signature, ou remise en main propre contre récépissé ou acte
d’huissier, doit parvenir au moins huit jours avant la date de son audition.
La convocation rappelle à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.
Un procès-verbal est dressé dans les conditions prévues à l’article 64. Lorsque l’intéressé ne se rend pas à l’audition, il
en est fait mention dans un procès-verbal de carence établi par les personnes chargées du contrôle.
Section 4 : Le recours à des experts
Article 67
Lorsqu’en application du deuxième alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée le président de la
commission fait appel à un ou plusieurs experts, sa demande définit l’objet de l’expertise et fixe le délai de sa réalisation.
Préalablement aux opérations d’expertise, le ou les experts désignés attestent auprès du président de la commission
qu’ils répondent aux conditions posées aux articles 57 à 60.
Les indemnités dues aux experts font, le cas échéant, l’objet d’une convention.
Le ou les experts informent le président de la commission de l’avancement des opérations d’expertise. Celles-ci sont
menées contradictoirement.
Le rapport d’expertise est remis au président de la commission qui en adresse une copie au responsable du traitement.
Article 68
Lorsque les opérations de vérification nécessitent l’accès à des données médicales individuelles, telles que visées au
troisième alinéa du III de l’article 44 de la loi du 6 janvier 1978 susvisée, le préfet dans le ressort territorial duquel doit
avoir lieu le contrôle désigne, à la demande du président de la commission, un médecin inspecteur de santé publique ou
un médecin inspecteur du travail chargé de requérir la communication de ces données ; le président de la commission
peut également désigner un médecin inscrit sur une liste d’experts judiciaires. Le président de la commission définit les
conditions d’exercice de la mission confiée au médecin selon les formes prescrites aux premier et deuxième alinéas de
l’article 67.
Préalablement aux opérations de vérification requises, le médecin désigné atteste auprès du président de la
commission qu’il répond aux conditions posées aux articles 57 à 60.
Le médecin présente en réponse à toute demande son ordre de mission.
Le médecin consigne dans un rapport les vérifications qu’il a faites sans faire état, en aucune manière, des données
médicales individuelles auxquelles il a eu accès.
Le rapport est remis au président de la commission qui en adresse une copie au professionnel de santé responsable du
traitement.
Section 5 : Secret professionnel
Article 69
Lorsqu’une personne interrogée dans le cadre des vérifications faites par la commission oppose le secret professionnel,
mention de cette opposition est portée au procès-verbal établi par les personnes chargées du contrôle. Il est alors
également fait mention des dispositions législatives ou réglementaires auxquelles se réfère, le cas échéant, la personne
interrogée ainsi que la nature des données qu’elle estime couvertes par ces dispositions.
____________________________

Plus de 30% des sanctions qui sont prononcées annuellement par la CNIL concerne la profession d’ARP.
Une proposition de Loi en date du 6 novembre 2009 présentée par la CNIL rend obligatoire l’information claire et accessible sur les droits d’opposition et de suppression concernant la conservation des données personnelles et leur durée. L’origine des données doit être indiquée et cette nouvelle Loi va renforcer les pouvoirs de sanction de la CNIL en doublant le niveau des sanctions qui passent de 300.000 € à 600.000 €, sans excéder 5% du chiffre d’affaires hors taxes du dernier exercice clos.

Pour cela voici les dispositions à prendre pour respecter les directives de la CNIL :

En cas de contrôle inopiné sur place, de contrôle sur pièce et de visite domiciliaire par des contrôleurs de la CNIL, vous ne devez pas vous y opposer sous peine de poursuites pour délit d’entrave. Vous devez leur laisser le libre accès aux locaux, répondre à leurs questions, donner accès aux archives, aux armoires, aux ordinateurs et à tout élément dont ils souhaiteraient avoir connaissance.

Vous devez répondre sur les pratiques et les procédures en vigueur dans votre agence, voire même leur laisser contrôler les poubelles. En cas d’empêchement du dirigeant, vous devez signer le PV de visite et/ou formuler des réserves si vous pensez que des erreurs ont été commises.

La mission première de ces contrôleurs est de vérifier l’information collectée, les mesures de protection , la sécurisation des e-mails et l’archivage des dossiers. La CNIL est une juridiction et elle peut infliger des amendes et transmettre les procédures au parquet.

Vous devez donc vous mettre en conformité avec la Loi informatique et liberté et faire le ménage dans vos archives et vider vos ordinateurs, notamment sur la collecte et la conservation des données personnelles. Voici les principales obligations demandées par la CNIL :

• Lorsque qu’une enquête est terminée et que le client a payé, vous ne devez pas conserver les archives du dossier plus de 2 mois, vous devez donc les détruire et ne rien conserver, que ce soit sous forme papier ou sous forme informatique, sauf les factures, le contrat passé avec le client, le bon de commande éventuellement et l’accusé de réception de remise du rapport et des annexes signé par le client. Une fois le rapport remis le client ne pourra plus vous demander de copie après ce délai de 2 mois. Le client doit être averti par écrit de cette procédure, en général par l’intermédiaire des contrats et conditions générales, voire même sur l’accusé de réception de remise du rapport et des annexes.
• Vous ne devez pas collecter de données personnelles sur l’opinion et les activités politiques, syndicales et religieuses des clients et des personnes enquêtées, ni sur leurs pratiques sexuelles. Vous ne devez en aucun cas donner de jugement ou d’avis personnel sur vos clients et sur les personnes enquêtées, que ce soit sur vos brouillons ou sur vos rapports. Vous devez détruire tout ce qui va à la poubelle (brouillons, doubles de rapports, photos, post-its, etc…).
• Vous ne devez pas prendre de photos ou de vidéos qui pourraient violer le droit à l’image, vous ne devez pas en donner à vos clients, ni les conserver. Ce sont des données personnelles et il ne doit exister aucun système de captation de l’image ou de la parole qui pourrait être contraire à la Loi informatique et liberté.
• Il faut sécuriser l’accès à vos ordinateurs et à Internet, en changeant votre mot de passe au moins 1 fois par mois.
• Vous devez crypter vos e-mails et sécuriser les échanges avec la clientèle, surtout si vous envoyez des documents par cette voie, auquel cas il vous faut vous assurer de leur protection entre le départ et l’arrivée. Des logiciels existent pour cela.
• Vous devez détruire les e-mails relatifs aux échanges avec vos clients et ne pas les conserver au-delà du délai de 2 mois après la clôture d’un dossier.
• Vous devez sécuriser les locaux et l’accès aux dossiers clients papiers et informatiques doit être interdit aux personnes non habilitées, notamment aux personnels internes et externes. En principe vous êtes tenus au secret professionnel et même votre entourage ne doit pas avoir accès aux données personnelles collectées conformément à la Loi Informatique et Liberté.
• Si vous faites appel à des sous-traitants, faites leur signer un contrat ou une convention où il est spécifié qu’ils sont tenus aux mêmes dispositions, à savoir ne pas collecter et conserver des données personnelles (photos et vidéos comprises, qui sont en principe interdites si elles violent le droit à l’image) dans le même délai de 2 mois, ainsi que sur les opinions et les activités politiques, syndicales et religieuses des clients et des personnes enquêtées, comme sur leurs pratiques sexuelles.
• L’archivage de vos dossiers sur papier et sur informatique doit être anonymisé. C’est-à-dire que vous devez garder les factures, contrats et accusés de réception de remise de rapports dans des pochettes comportant des numéros et non les noms des clients.
• Les dossiers en cours doivent être conservés à l’abri et sous clé, surtout la nuit et le WE. Si possible posséder une alarme performante pour protéger l’accès aux locaux ou aux archives.
• Les factures ne doivent pas comporter les noms des personnes enquêtées.
• Vous ne devez jamais faire état des condamnations ni des numéros de SS des personnes enquêtées, de même il faut faire très attention avec l’utilisation des comptes bancaires des personnes enquêtées. Lorsqu’un client vous remet des documents sur les personnes à enquêter vous ne devez pas réceptionner de fiches de salaires ni de numéros de SS ou de numéro de compte bancaire, vous devez préciser sur un document de remise les renseignements de base et exclure toutes données ou documents à caractère personnel.
• Evitez de collecter et de conserver toutes données à caractère personnel sans rapport avec le but de la mission.
• Bien sûr vérifiez l’identité de chaque client et la légitimité de la mission, si vous prenez une photocopie du livret de famille et/ou de la CNI du client, ne les conservez pas au-delà du délai de 2 mois après la clôture du dossier.
Droit d’accès obligatoire
Conformément aux dispositions de la Loi Informatique et Liberté et aux directives de la CNIL il est prévu les procédures suivantes :
• Les archives papier et informatique de chaque dossier ne peuvent être conservées plus de 2 mois après leur clôture.
• Les données personnelles et leur collecte font l’objet d’un contrôle et d’un droit d’accès. Toute personne concernée peut exercer un droit de suppression, d’accès et de rectification sur ses données personnelles, que ce soit sur support papier, sur support informatique et par voie électronique lorsque le traitement s’effectue par le biais d’un site Internet.
• Le droit d’accès aux données personnelles détenues par l’entreprise s’effectue par une demande écrite de la personne qui le sollicite. Puis la dite personne sera convoquée dans un délai de 10 jours ouvrables afin de lui communiquer les données personnelles détenues par l’entreprise. Ces données personnelles devront soit être supprimées, soit rectifiées, à la demande de la personne concernée.
• Toutes les demandes de devis n’ayant donné lieu à aucune suite devront être détruites immédiatement, que ce soit par le biais du site Internet ou par tout autre moyen.
• Le droit d’accès aux données personnelles exercé par un client ou un mis en cause ne concerne pas les résultats de la mission, mais les données à caractère personnel (nom, prénom, date et lieu de naissance, adresse personnelle, téléphone, fax, portable, e-mail, fonction, état civil, etc…)
• Le droit de suppression s’exerce sans frais.
• Il est fait obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de la donnée. cette indication permet en effet à la personne objet du traitement de remonter jusqu’au responsable du traitement détenteur du fichier d’origine et d’exercer éventuellement auprès de lui ses droits d’accès, de rectification ou d’opposition.

Voilà en quelques mots les principales dispositions à prendre pour être en conformité avec la Loi informatique et liberté, et surtout avec la CNIL qui peut vous contrôler sans préavis. Il s’agit d’une procédure inquisitoire et il ne sert à rien de contester, ces contrôles peuvent aller jusqu’à la saisie du parquet si les contrôleurs pensent que vous cachez quelque chose. Soyez donc prévenant et jouez franc jeu.

Pour l’archivage des dossiers on ne doit garder que les factures, le contrat et l’accusé de réception de remise de rapport et des annexes. Cela pour la comptabilité, mais tout ce qui concerne les éléments du rapport, le rapport, les brouillons, les fiches, les annexes, tout doit être détruit dans un délai de 2 mois après la clôture du dossier et rien ne doit être conservé. Il ne faut collecter et conserver aucune données personnelles après la conclusion d’une affaire.

Même sur les factures il ne faut pas citer les noms des personnes enquêtées. Les dossiers avec les factures et les contrats doivent être gardés en archives papier et informatique sous forme numérotée, car il ne faut pas conserver de dossiers comportant le nom des clients.

Logiciel de cryptage :Il faut télécharger le logiciel « AxCrypt » par exemple. Très facile d’utilisation il est de plus gratuit…..

Le droit à l’information : « A titre exceptionnel, la liberté de la presse et le droit à l’information du public permet en certaines circonstances de limiter le caractère exclusif du droit à l’image. Ainsi, les personnages publics et les célébrités, dans l’exercice de leur fonction ou de leur activité professionnelle, peuvent voir leur image utilisée à des fins d’actualité ou de travail historique, à la condition toutefois que les nécessités de l’information et de l’actualité le justifient et sous la réserve du respect de la dignité humaine. Dans de telles hypothèses, il n’est pas nécessaire de recourir à une autorisation individuelle. »

« La CNIL a été approchée par des entreprises françaises et des cabinets d’avocats sollicitant ses conseils sur l’encadrement juridique devant être respecté quant à la communication d’informations à des autorités judiciaires ou administratives étrangères.
Ces demandes, adressées par des administrations étrangères, mais aussi par des sociétés mères à leurs filiales, voire par des partenaires commerciaux, soulèvent des problèmes juridiques multiples qui intéressent aussi bien le secret des affaires que la protection des brevets, les mécanismes d’entraide judiciaires internationale, d’intelligence économique… domaines qui ne sont pas de la compétence de la CNIL ».
http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL-28erapport-2007.pdf
La CNIL sanctionne deux sociétés pour prospection commerciale non sollicitée et pour défaut de déclaration préalable
http://www.net-iris.fr/veille-juridique/actualite/19740/la-cnil-sanctionne-deux-societes-pour-prospection-commerciale-non-sollicitee-et-pour-defaut-de-declaration-prealable.php
Türk (Cnil) : « Effacer ou anonymiser les données le plus vite possible »
http://www.lepoint.fr/actualites-societe/turk-cnil-effacer-ou-anonymiser-les-donnees-le-plus-vite-possible/920/0/236607
La CNIL est une « juridiction » selon le Conseil d’Etat
http://www.cnil.fr/index.php?id=2414
Alex Türk, Cnil : « La Cnil devrait être financée par les entreprises
et les administrations »
http://www.zdnet.fr/actualites/internet/0,39020774,39379100,00.htm
Alex Türk, président de la CNIL : « une adresse IP est une donnée
personnelle »
http://www.silicon.fr/fr/news/2008/01/29/alex_turk_president_de_la_cnil_une_adresse_ip_est_une_donnee_personnelle_
Audition de M. Alex Türk, président de la Commission nationale de l’informatique et des libertés (CNIL)
http://www.senat.fr/bulletin/20080128/office.html#toc4
____________________________

Fichiers cadastraux et systèmes d’information géographique

Le cadastre recense, décrit et fixe les limites des propriétés foncières, en donne une évaluation, utilisée en matière fiscale. Il constitue un fichier de données à caractère personnel dans la mesure où il comporte, notamment, l’identité des propriétaires. Nombre de collectivités locales et de leurs groupements reçoivent sur support informatique, voire au sein d’un système d’information géographique (SIG), la documentation cadastrale concernant leur territoire, pour en permettre l’exploitation à des fins internes par leurs services ou pour renseigner le public intéressé. Dans certains cas, les groupements de communes et les conseils généraux acquièrent des fichiers auprès des services fiscaux pour les mettre à disposition des communes ou des collectivités de leur ressort.
Pour quelles finalités ?
Le fichier du cadastre – ou le SIG – peut notamment être consulté lors de l’instruction des demandes d’autorisation d’occupation du sol (permis de construire, de démolir, déclaration de travaux…), de l’exploitation des déclarations d’intention d’aliéner, de la constitution des dossiers d’acquisitions ou de ventes foncières, pour la gestion des permissions de voiries, l’envoi aux propriétaires fonciers de courriers d’informations sur des opérations d’aménagement, ou encore pour répondre aux personnes ayant déposé une demande de renseignements concernant une parcelle ou un propriétaire déterminé (dans la limite des informations communicables).
Chaque commune ou groupement de communes ayant ses propres fichiers cadastraux ou accédant à une base de données du cadastre gérée à distance doit définir précisément les utilisations qu’il souhaite faire des données cadastrales ou du SIG.
Pour quels utilisateurs ?
Les communes ne peuvent accéder qu’aux données cadastrales de leur territoire, si bien qu’en présence d’un SIG intercommunal ou départemental, elles ne sont pas habilitées à accéder aux données à caractère personnel des autres communes.
Seuls doivent disposer d’un accès direct aux informations les services ayant un besoin permanent de ces données au titre d’une au moins des finalités déclarées du fichier (par exemple, les services du cadastre, de l’urbanisme, des travaux de voirie).
Les contraintes de diffusion des informations cadastrales auprès du public
La documentation cadastrale comporte à la fois des informations cadastrales, par nature publiques, et des données recueillies à des fins purement fiscales (description des locaux, situation fiscale des personnes…). Ces dernières ne peuvent être communiquées qu’au contribuable concerné.
Le maire peut délivrer ou faire délivrer par la personne qu’il délègue à cet effet, à toute personne qui en fait la demande, des informations cadastrales relatives à un bien déterminé, sous réserve que toute garantie soit prise pour empêcher une utilisation de ces informations à des fins commerciales, politiques ou électorales ou de nature à porter atteinte à l’honneur ou à la réputation des personnes ou au respect de la vie privée.
La communication ne doit pas excéder les informations demandées. Le public ne peut directement accéder au logiciel de consultation par quelque moyen que ce soit. Seul le propriétaire foncier ou son mandataire peut accéder à l’ensemble des informations le concernant.
Les date et lieu de naissance du propriétaire, les mentions relatives aux motifs d’exonération des taxes foncières lorsque ces motifs donnent une information sur le mode de financement de la construction ou la situation personnelle du propriétaire (personne économiquement faible) ne peuvent pas être communiqués au public.
L’adresse du domicile du propriétaire ne peut être délivrée qu’en présence d’une motivation légitime.
Les informations ne sont délivrées qu’après signature d’un acte d’engagement recueillant l’identité du demandeur et l’informant sur les limites d’utilisation ainsi que sur les risques encourus. En cas de doute, la commune doit renvoyer le demandeur vers le centre des impôts fonciers.
La CNIL estime, enfin, que la diffusion de données cadastrales nominatives sur des sites Internet ou des bornes interactives publics comporte un risque d’utilisation détournée de l’information, notamment à des fins commerciales, alors que les personnes concernées ne sont pas en mesure de s’y opposer.
Les mesures de sécurité nécessaires
Les niveaux d’accès à l’application informatique doivent être définis avec précision. S’agissant d’autres organismes publics (EPCI…) que les communes, les services concernés ne doivent pouvoir accéder, sauf exception motivée, qu’aux données générales (n° de la parcelle, localisation, nom et adresse du propriétaire).
Un SIG en intranet ou extranet doit, de préférence, faire appel à un réseau de terminaux dédiés (réseau VPN par exemple) ou à un cryptage des données.
Lorsque les données cadastrales sont transmises sur support amovible (cédérom) ou par réseau, les données cadastrales visées à l’article 2 doivent être chiffrées. La clé de déchiffrement doit être délivrée, de manière sécurisée, indépendamment du support amovible ou, dans l’hypothèse d’un accès par réseau, avant l’ouverture de cet accès. Le support amovible doit, dans la mesure du possible, être utilisé pour l’installation des données cadastrales sur un poste de travail ou sur un serveur dont les accès à l’application doivent être strictement limités. Le support amovible doit être conservé en toute sécurité. Il ne peut être dupliqué ni transmis en dehors des locaux des services municipaux habilités.

Dernière modification : 17/08/06
____________________________

L’utilisation de l’image des personnes / CNIL

28.03.2005 – Internet.

Parce que l’image d’une personne est une donnée à caractère personnel, les principes de la loi « informatique et libertés » s’appliquent. La diffusion à partir d’un site web, par exemple, de l’image ou de la vidéo d’une personne doit se faire dans le respect des principes protecteurs de la loi du 6 janvier 1978 modifiée. Ces principes rejoignent les garanties issues du droit à l’image.
D’une manière générale, la reproduction et la diffusion de l’image ou la vidéo d’une personne doivent respecter les principes issus du droit à l’image et du droit à la vie privée.
Les principes issus du droit à l’image
Le droit à l’image permet à toute personne de s’opposer – quelle que soit la nature du support utilisé – à la reproduction et à la diffusion, sans son autorisation expresse, de son image. L’autorisation de la captation ou de la diffusion de l’image d’une personne doit être expresse et suffisamment précise quant aux modalités de l’utilisation de l’image (pour quelle finalité l’autorisation a-t-elle été donnée, quelle sera la durée de l’utilisation de cette image ?). Dans le cas d’images prises dans les lieux publics, seule l’autorisation des personnes qui sont isolées et reconnaissables est nécessaire. La diffusion, à partir d’un site web, de l’image ou de la vidéo d’une personne doit respecter ces principes. Le non-respect de cette obligation est sanctionné par l’article 226-1 du code pénal qui prévoit un an d’emprisonnement et 45 000 € d’amende. Pour autant, lorsque la capture de l’image d’une personne a été accomplie au vu et au su de l’intéressée sans qu’elle s’y soit opposée alors qu’elle était en mesure de le faire, le consentement de celle-ci est présumé.
La protection de la vie privée
L’article 226-1 du code pénal punit d’un an d’emprisonnement et 45 000 € d’amende le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé. Pour autant, lorsque la capture de l’image d’une personne a été accomplie au vu et au su de l’intéressée sans qu’elle s’y soit opposée alors qu’elle était en mesure de le faire, le consentement de celle-ci est présumé. Par ailleurs, l’article 226-8 du code pénal punit d’un an emprisonnement et de 15 000€ d’amende le fait de publier, par quelque voie que ce soit, le montage réalisé avec l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention. La loi « informatique et libertés » vient compléter les garanties apportées par le droit à l’image et le droit à la vie privée.
Les principes de la loi « informatique et libertés »
Dès lors qu’elle se rapporte à une personne identifiée ou identifiable, l’image d’une personne est une donnée à caractère personnel. Le traitement informatique de cette donnée (numérisation, diffusion à partit d’un site web, etc.) doit s’effectuer dans le respect de la loi « informatique et libertés ». On relèvera que la loi « informatique et libertés » ne s’applique pas pour l’exercice d’activités purement personnelles ou domestiques. A titre d’exemple, la photographie d’un parent ou d’un ami par un appareil photographique numérique ou par un téléphone portable nouvelle génération et la diffusion de cette image par courrier électronique, par MMS à un nombre limité de correspondants ou par l’intermédiaire d’un site web dont l’accès est restreint, ne rentrent pas dans le champ de compétence de la CNIL. De la même façon, la photographie et la publication de photographies de personnes identifiables aux seules fins de journalisme ou d’expression artistique ne sont pas soumises aux principales dispositions de la loi du 6 janvier 1978 modifiée dans la seule mesure où ces exceptions s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression. La loi « informatique et libertés » s’applique dans tous les autres cas (diffusion de l’image d’une personne par l’intermédiaire d’un site web ouvert au public par exemple) et conduit le responsable du traitement à informer les personnes dont les images sont utilisées de son identité, de la finalité du traitement (diffusion de son image sur un intranet, sur internet, etc.), des personnes destinataires des images et de l’existence d’un droit d’accès et de rectification. Enfin, l’article 38 de la loi reconnaît à toute personne physique le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ainsi, une personne qui contesterait, par exemple, la diffusion de son image par un site web pourrait s’adresser soit au juge en s’appuyant sur les principes du droit à l’image (obligation de recueil du consentement), soit à la CNIL, après avoir, en application du droit d’opposition, demandé sans succès l’arrêt de cette diffusion au responsable du site. Enfin, on doit relever que la diffusion à partir d’un site web ouvert au public de données à caractère personnel (le nom d’une personne ou son image) constitue un traitement automatisé de données à caractère personnel et est soumise à l’obligation de déclaration prévue à l’article 22 de la Loi.

Prise de photos :

Suivant Dina TOPEZA, Avocat au Barreau de PARIS :

« L’article 9 du CODE CIVIL prévoit que toute personne a droit au respect de sa vie privée… et l’article 8 de la Convention Européenne de sauvegarde des droits de l’homme et des libertés fondamentales précise que ce droit s’étend à sa vie familiale, à son domicile ou à sa correspondance. Des sanctions pénales sont prévues (article 226-1 du CODE PENAL) lorsque l’atteinte est volontaire et que le contrevenant « fixe, enregistre ou transmet, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».

Pour utiliser des photos ou des films à des fins autres que celles d’albums de famille, il faut avoir à l’esprit les principes suivants :

>> Toute personne a sur son image et l’utilisation qui en est faite un droit exclusif qui l’autorise à s’opposer à sa diffusion sans son autorisation expresse et spéciale. Cela implique que la reproduction de photos ou de films pris dans des lieux privés sans le consentement de ceux qui sont pris soit interdite. Ainsi a t-il été jugé que la diffusion de l’image d’une personne sur son lieu de travail sans que celle-ci l’ait autorisée est illicite.

>> On considère la reproduction de l’image de personnes privées autorisée par celles-ci, lorsqu’il s’agit de photographies de groupe ou d’une scène de rue et que ces photos ont été réalisées dans un lieu public. Encore faut-il que l’on ne puisse pas vous reprocher une « individualisation ou un cadrage sur un élément ». S’il y a individualisation d’un ou de plusieurs personnages ou un cadrage sur une maison par exemple, sans que la ou les personnes individualisées ou que le propriétaire de la maison aient donné leur consentement, il y a faute de votre part. La personne prise en photo ne doit pas en constituer le sujet principal, ni être normalement identifiable par ses proches ou par tout individu.

>> Si vous avez été témoin d’un événement d’actualité, vous pouvez proposer votre photo ou votre film, dès lors que la reproduction ne dépasse pas le cadre de l’information. A la condition que le cliché ou le film ne portent pas atteinte à la vie privée des personnes photographiées et n’aient pas été réalisés en fraude de leurs droits.

Enfin, sont aussi répréhensibles, la manipulation de photo ou de film, les trucages, si ceux-ci portent atteinte à la vie privée. Ceci est valable même si la photo a été prise dans un lieu public.

Pour éviter tout problème, il faut obtenir le consentement écrit des personnes ou s’assurer qu’il ne puisse pas être reproché la diffusion de la photo ou du film. »

Prise de photos par des détectives :

En principe un détective ne peut pas prendre de photos d’une personne sans son consentement écrit. S’il le fait il se met en infraction et encoure une condamnation pour violation du droit à l’image et/ou pour violation de la vie privée. Toute preuve qui aurait été collectée par un moyen illicite ou déloyal est rejetée par les tribunaux. Il est donc inutile pour un détective de prendre des photos de personnes dans l’intimité de leur vie privée, sous peine de poursuites et du rejet de son témoignage. Un rapport ou un témoignage écrit a plus de valeur qu’une photo, sauf en matière pénale ou tous les éléments de preuves sont acceptés pour prouver la commission d’un crime ou d’un délit, mais cela n’empêche pas la personne photographiée de se retourner contre le détective pour violation du droit à l’image. Les seules photos qu’un détective peut remettre à son client doivent être prises dans un lieu public et sans individualisation, sauf sur autorisation expresse des personnes photographiées et des occupants d’un lieu privé. A ce titre des photos d’une propriété privée sans le consentement de son occupant sont aussi prohibées.
____________________________

Communiqué de la CNIL : Annulation de deux sanctions par le Conseil d’Etat

La CNIL prend acte et réaffirme son ambition en matière de contrôle sur place – 2 décembre 2009 –

Le 6 novembre dernier, le Conseil d’Etat a décidé d’annuler deux sanctions prononcées par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces sanctions étaient fondées sur des constats opérés lors de contrôles sur place que le Conseil d’Etat a jugé irréguliers.

La CNIL prend acte de ces décisions. Elle a d’ores et déjà modifié ses pratiques de contrôle afin de se conformer aux exigences du Juge.

Ces décisions ne modifient ni les pouvoirs que la CNIL possède dans le cadre de ses contrôles ni la politique menée depuis la modification de la loi « informatique et libertés » en 2004 : les contrôles sur place demeurent une priorité au service des citoyens et du respect de la vie privée.

La loi du 6 août 2004 a doté la CNIL d’un pouvoir de contrôle sur place entre 6 heures du matin et 21 heures le soir. Les constats et manquements à la loi relevés dans le cadre de ces contrôles peuvent la conduire à prononcer des sanctions, notamment financières, à l’encontre des entreprises ou des administrations concernées. En 2009, la CNIL a réalisé près de 270 contrôles sur l’ensemble du territoire.

C’est sur la base de tels constats que la CNIL avait prononcé, le 14 décembre 2006, deux sanctions financières à l’encontre des sociétés « Pro Décor » et « inter confort » qui commercialisent des fenêtres en ayant recours à de la prospection téléphonique. Lors de ses contrôles, la CNIL avait constaté que le droit des personnes à s’opposer à être démarchées téléphoniquement, donc leur droit à la tranquillité, n’était pas pris en compte de manière satisfaisante.

Le 6 novembre dernier, le Conseil d’Etat a considéré que, « en raison de l’ampleur des pouvoirs » de contrôle de la CNIL, « cette ingérence » n’est proportionnée que si elle a été « préalablement autorisée par un juge » ou si la personne responsable des lieux « a été préalablement informée de son droit de s’opposer » au contrôle. Cette information préalable n’ayant pas été réalisée, le Conseil d’état a annulé ces deux sanctions de la CNIL.

La CNIL prend acte de cette décision. Elle procède dorénavant systématiquement à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi et notamment :
• de leur droit à s’opposer à ce contrôle ;
• dans cette hypothèse, de la possibilité pour le président de la CNIL de saisir le président du tribunal de grande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y compris en faisant appel à la force publique.

La CNIL affirme solennellement son intention de saisir systématiquement l’autorité judiciaire en cas d’opposition afin de permettre la vérification de la conformité des fichiers à la loi.
Ces décisions du Conseil d’Etat ne modifient pas les pouvoirs conférés à la CNIL dans le cadre de ses contrôles :
• possibilité de demander communication de tout document, quel qu’en soit le support,
• possibilité d’accéder aux programmes informatiques et aux données,
• possibilité d’en prendre copie ;
• possibilité de recueillir tout renseignement et toute justification utiles.

Enfin, la CNIL rappelle que la loi prévoit (article 21) que les détenteurs de fichiers « ne peuvent s’opposer à l’action de la Commission » et « doivent prendre toutes mesures utiles afin de faciliter sa tâche ». De surcroît, la loi dispose que le fait « d’entraver » l’action de la CNIL en « s’opposant » à ses contrôles est constitutif d’un délit puni d’un an d’emprisonnement et de 15 000 euros d’amende (article 51).

La CNIL observe que le tribunal correctionnel de Paris a condamné pour délit d’entrave, le 29 janvier 2009, le directeur général d’une société s’étant opposé au contrôle de la CNIL sans avoir qualité pour ce faire. Le devoir d’information désormais imposé par les décisions du Conseil d’Etat du 6 novembre et la disposition de la loi réprimant
le délit d’entrave présentent donc certaines difficultés d’articulation que seule la loi peut résoudre.

C’est pourquoi la CNIL a saisi le Premier Ministre et la Chancellerie afin d’envisager une modification de la loi. Celle-ci pourrait consister à donner à la CNIL la possibilité de se faire délivrer une autorisation du juge judiciaire préalablement à tout contrôle.
L’effet de surprise pourrait ainsi être conservé, ce qui est très important en matière de fichiers informatiques où les preuves sont fragiles car facilement effaçables.

Législation en matière d’outils d’espionnage

Plusieurs reportages et articles diffusés ces dernières semaines ont souligné le développement d’une offre toujours plus accessible d’outils et logiciels d’espionnage, qui peuvent notamment être installés sur les téléphones portables.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rappelle que l’intimité de la vie privée et le secret des communications électroniques sont protégés par la loi.

Leur violation, la vente au public et l’utilisation de dispositifs d’écoute sont illégales et passibles de poursuites judiciaires.

Le code pénal (article 226-1) punit d’un an d’emprisonnement et de 45 000 euros d’amende le fait de porter atteinte à l’intimité de la vie privée d’autrui. Ces mêmes peines sont applicables à l’interception des télécommunications ou à l’installation d’appareils conçus à cette fin (article 226-15).

La circulation sur le territoire français de dispositifs ou de logiciels permettant l’écoute des communications est d’ailleurs strictement réglementée. Ainsi, en l’absence d’autorisation ministérielle, sont punies des mêmes peines la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils conçus pour réaliser les infractions précitées, de même que la publicité d’un tel dispositif (article 226-3). En particulier, il est interdit de proposer et vendre sur internet des logiciels permettant de piéger des téléphones mobiles à des fins d’écoute et de surveillance.

Le code pénal (article 323-1) réprime en outre le fait de pénétrer frauduleusement un système informatique par deux ans d’emprisonnement et 30 000 euros d’amende. Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un programme informatique destiné à commettre ce type d’infraction est également sanctionné (article 323-3). Sont concernés par cette infraction les logiciels destinés à modifier les systèmes informatiques à l’insu de l’utilisateur afin de capter des données personnelles.