Passer au contenu

Déclarer ses fichiers informatiques nominatifs à la Cnil

Avant de constituer un dossier de déclaration d’un fichier nominatif, il est préférable d’en connaître quelques ficelles. Cette déclaration n’est toutefois qu’une première étape : toute sa ” vie “, le fichier devra respecter la loi. C’est la responsabilité du signataire de la déclaration.

En vertu de l’article 16 de la loi de 1978, tout fichier directement ou indirectement nominatif doit obligatoirement être déclaré par un formulaire Cerfa 99001 à la Commission nationale de l’informatique et des libertés (Cnil). En effet, si les fichiers directement nominatifs indiquent les noms des personnes concernées, ceux qui sont indirectement nominatifs comportent, quant à eux, des informations permettant de déduire l’identité des personnes (numéros de téléphone, des plaques d’immatriculation, etc.).Dans 80 % des cas, les entreprises ne remplissent qu’une “déclaration simplifiée”, comme pour le fichier de paie, décrivant surtout la finalité de celui-ci. Pour les autres (notamment les informations utilisées pour la gestion du personnel), il faudra effectuer une “déclaration ordinaire”, détaillant les données, le traitement ainsi que les utilisateurs.Cette situation va évoluer l’année prochaine, avec l’alignement de la loi sur la directive européenne, elle-même inspirée par la législation française. Un classement plus clair entre déclarations ordinaires et simplifiées devrait voir le jour. L’esprit de la loi restera, quant à lui, inchangé, c’est-à-dire qu’il rendra transparente l’utilisation des fichiers nominatifs et interdira les informations subjectives ainsi que les données sur l’appartenance ethnique, les m?”urs, les opinions politiques et l’affiliation à un syndicat.

1. Se faire conseiller par la Cnil

Avec trente-deux cas prévus de déclarations simplifiées, des textes de loi parfois difficiles à interpréter et la nécessité de fournir plusieurs pièces annexes, la constitution d’un dossier devient vite un casse-tête. Les meilleurs conseillers se trouvent à la Cnil. Leur rôle n’est pas répressif, ils aident les entreprises à respecter la loi. Un simple coup de fil peut déjà faire gagner de nombreuses heures.

2. Nommer un responsable unique

“Pour les grandes entreprises, souvent multisites, la situation se simplifie beaucoup quand une seule personne centralise les demandes, pour tous les fichiers et les différentes implantations”, explique Sophie Nerbonne, responsable du service Entreprises de la Cnil. Cet interlocuteur (de préférence un juriste) deviendra l’interface entre le demandeur (chef de service, directeur d’agence, etc.) et la Cnil. En cas de problème pendant la constitution des dossiers ou après, il pourra les gérer bien plus facilement.

3. Grouper les fichiers

Des fichiers à finalités différentes doivent faire l’objet de déclarations séparées. Mais, à l’inverse, si un même fichier subit plusieurs traitements différents, une déclaration unique suffit : un seul exemplaire servira pour la paie et pour la gestion du personnel. Bien sûr, tous les traitements doivent être décrits dans la déclaration.

4. Détailler les champs minutieusement

Lorsque les informations sur les personnes sont peu nombreuses, il est possible de se contenter d’une déclaration simplifiée. Encore faut-il que les informations recueillies correspondent exactement au cas prévu par la réglementation. Il suffit d’un champ supplémentaire, fournissant un renseignement plus personnel, pour que le fichier ne rentre plus dans le cadre d’une déclaration simplifiée. Ce serait le cas, par exemple, d’un fichier des clients dans lequel on ferait figurer le numéro de sécurité sociale. Il faudra alors s’astreindre à une déclaration ordinaire.

5. S’assurer de la bonne utilisation des fichiers

La déclaration est signée par une personne qui assume la responsabilité de sa bonne utilisation. Déclarer un fichier ne donne aucun blanc-seing : une fois cette formalité remplie, restent les obligations, qui perdureront toute la vie du fichier. La première est son accessibilité à toutes les personnes qui y figurent, une obligation légale. Le responsable devra s’assurer que le fichier ne s’enrichit pas de rubriques supplémentaires interdites ou non prévues au moment de la déclaration. Il doit aussi prendre des mesures pour minimiser les risques de vol ou d’utilisation frauduleuse. Enfin, si la gestion des informations est par la suite confiée à un sous-traitant, le responsable devra déclarer ce changement à la Cnil.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jean-Luc Goudet