CNIL dispense 7

Dispense n° 7 - Délibération n°2006-138 du 9 mai 2006 décidant de la dispense de déclaration des traitements constitués à des fins d'information ou de communication externe

09 Mai 2006 - Thème(s) :

J.O n° 128 du 3 juin 2006

La Commission nationale de l'informatique et des libertés,

Vu la convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;  Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24, II ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ; Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les traitements constitués à des fins d'information ou de communication externe sont des traitements courants ne paraissant pas susceptibles de porter atteinte à la vie privée des personnes dans le cadre de leur utilisation régulière. La Commission estime en conséquence qu'il y a lieu de faire application des dispositions de l'article 24.II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable.

Décide :

Article 1er

Sont dispensés de déclaration les traitements constitués à des fins d'information ou de communication externe comportant des données sur des personnes physiques qui répondent aux conditions suivantes.

Article 2 : Finalités du traitement

Les traitements doivent avoir pour seules finalités la constitution et l'exploitation d'un fichier d'adresses à des fins d'information ou de communication externe se rapportant au but ou à l'activité poursuivie par la personne physique ou morale qui met en oeuvre le traitement, à l'exclusion de toute sollicitation commerciale. Dans le cas où est utilisé un service de communication au public en ligne (site internet), un traitement des données de connexion à des fins purement statistiques peut être effectué.

Sur GéoBretagne, la base de comptes est destinée à l'authentification et à l'attribution de droits d'accès aux utilisateurs. Les données de connexion (adresse IP ou suivi des consultations et téléchargements) sont exploitées pour mieux connaître la ventilation des trafics par donnée, structure ou origine géographique.

Article 3 : Données traitées

Les données traitées pour la réalisation des finalités décrites à l'article 2 sont :

  • identité : nom, prénoms, adresse et numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier électronique ;
  • vie professionnelle : adresse professionnelle, qualité ou fonction, titres et distinctions ;
  • centres d'intérêts, à l'exclusion de ceux qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatifs à la santé ou à la vie sexuelle des personnes (article 8 de la loi du 6 janvier 1978 modifiée) ;
  • données de connexion (date, heure, adresse Internet Protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site.

Les IP des accès "anonymes" sont enregistrées avec date, heure, page consultée. Seul le volume de trafic global par IP et par période de temps est analysé.

Les comptes enregistrés sur GéoBretagne sont décrits par les informations suivantes :  prénom, nom, mail, téléphone, fax, organisme d'appartenance, fonction, rôle dans GéoBretagne, adresse postale.

Les demandes de contact sont décrites par les informations suivantes : nom, adresse de courriel, objet, catégorie, message. Ces demandes ne font pas l'objet de mise en base de données et de traitement sur les identités des personnes.

Les données enregistrées ne peuvent faire l'objet d'autres traitements, ni d'interconnexions ou de mise en relation avec d'autres applications. Les données enregistrées ne peuvent être utilisées à des fins de démarchage politique, électoral ou commercial.

Article 4 : Destinataires des données

Peuvent seules être destinataires des données, les personnes habilitées relevant des services ayant pour mission d'assurer la diffusion des informations visés à l'article 3.

Seuls les administrateurs de GéoBretagne ont accès à l'intégralité des informations. Les contacts techniques de chaque structure adhérente ont accès aux informations des seules personnes appartenant à titre professionnel à la structure.

Article 5 : Information des personnes concernées

Les personnes concernées sont informées, au moment de la collecte de leurs données, de l'identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de leur droit d'opposition, d'accès et de rectification ainsi que des modalités d'exercice de leurs droits. A l'occasion de toute opération d'information ou de communication externe, les droit d'accès, de rectification et d'opposition doivent être rappelés aux personnes concernées. Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l'équipement terminal de connexion de l'utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, composants active X ou autre code mobile), les utilisateurs sont informés de la finalité de l'utilisation de ces procédés  et des moyens dont ils disposent pour s'y opposer.

Le formulaire de détail du compte permet à tout utilisateur authentifié de consulter et rectifier les informations qui le concernent.

A l'exception de contextes de carte, aucune information stockée dans l'équipement terminal n'est collectée de façon automatique.

Article 6 : Durée de conservation et mise à jour des données

Les données visées à l'article 3 sont conservées pour la durée nécessaire à la réalisation des finalités définies à l'article 2 et sont mises à jour annuellement.

Les données de compte sont conservées tant que la structure à laquelle appartient la personne est adhérente de GéoBretagne. Toute personne peut demander la suppression de son compte en adressant un courrier au secrétariat GéoBretagne dont les coordonnées figurent en page d'accueil de ce site.

Article 7 : Sécurité

Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. L'accès au traitement se fait au moyen d'un mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins équivalent.

Les transmissions nécessaires au traitement statistique des informations personnelles sont protégées par certificat SSL.

Article 8 : Transmissions de données vers des pays tiers à l'Union européenne

Ne peuvent prétendre au bénéfice de l'exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Les données personnelles de geobretagne.fr ne sont pas transmises vers des pays tiers.

Article 9 : Effets de la dispense de déclaration

Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.

Article 10

La norme simplifiée n° 15 établie par la délibération n° 80-032 du 21 octobre 1980 est abrogée.

Article 11

La présente délibération sera publiée au Journal officiel de la République française.

Le président  Alex Türk