Certifier la conformité aux autorisations uniques de la CNIL( Télécharger le fichier original )par Eric Lachaud Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010 |
1.7 Pourquoi des Autorisations uniques ?La faculté pour la CNIL d'édicter des Autorisations uniques a été introduite au moment de la modification en 200427 de la loi 78-17 du 6 janvier 1978. L'introduction de cette nouvelle faculté répondait à la volonté de préserver une certaine souplesse au système d'autorisation préalable introduit lors de cette réforme. Ceci dans le but revendiqué de simplifier les formalités déclaratives comme le souligne M. Francis. Delattre 28, rapporteur de la commission des lois à l'Assemblée Nationale, et en charge du projet de refonte de la loi. Il s'agissait, d'une part, d'alléger le travail de la CNIL en termes de traitement de dossier d'autorisations. D'autre part, de faciliter et d'accélérer la mise en oeuvre des traitements soumis à autorisation pour les entreprises qui déclarent se conformer aux dispositions d'une Autorisation unique. En termes de statistiques, le nombre d'entreprises s'étant déclarées conforme aux Autorisations uniques en septembre 2010 s'élevaient : - à plus de 3000 pour l'AU-001 concernant la gestion de l'urbanisme ou du service public de l'assainissement non collectif, - à plus de 1000 pour l'AU-004 concernant les alertes professionnelles, 25 Le formulaire de déclaration simplifié relatifs aux Articles 24-I, 25-II, 26-IV et 27-III de la loi du 6/01/78 modifiée) est disponible à cette adresse sur le site de la CNIL. https://www.correspondants.cnil.fr/CilExtranetWebApp/declaration/ declarant.action;jsessionid=B559E0FCB4C8B12A200BDB3ADF7546B6 26 L'ensemble des Autorisations uniques sont présentées dans notre bibliographie et sont accessibles sur le site de la CNIL à cette adresse. http://www.cnil.fr/en-savoir-plus/deliberations/autorisations-uniques/ 27 Premières décisions de la CNIL en matière d'autorisations 28 25ème rapport d'activité de la CNIL 2004 p. 23 http://www.ladocumentationfrancaise.fr/rapports-publics/054000256/index.shtml 20 - et déjà plus de 300 entreprises pour l'AU-026 concernant les éthylotests anti-démarrage dans les véhicules affectés au transport de personnes qui a été publiées le 28 janvier 201029. 1.8 Comment les Autorisations uniques sont-elles élaborées ? Deux cas peuvent se présenter :- Le nombre de demandes d'autorisations similaires en attente est suffisamment important pour que la CNIL 30 élabore des règles communes auxquelles les entreprises seront invitées à se conformer. Ce qui évite à la CNIL d'avoir à gérer un trop grand nombre de demandes. - Une entreprise, une association professionnelle ou une institution publique représentant potentiellement un nombre de demande d'autorisation important introduit une demande d'élaboration d'Autorisation unique31 auprès de la CNIL. Quelque soit le cas de figure, la décision d'élaborer ou non l'Autorisation unique appartient uniquement à la CNIL. Pour qu'une Autorisation unique soit élaborée, plusieurs conditions doivent être réunies : - Le traitement doit relever du régime d'autorisation défini par l'article 25 ou 26 de la loi 78-17 du 6 janvier 1978. - Une telle mesure de simplification doit présenter un intérêt pour la CNIL. Par exemple, que le nombre d'organismes susceptibles d'effectuer un engagement de conformité soit potentiellement élevé; qu'il existe un besoin de clarifier les obligations légales en fonction du contexte, notamment celles concernant la sécurité des données ou la durée de conservation. Le travail d'élaboration débute par une phase préliminaire qui relève des services techniques et juridiques de la CNIL en vue d'élaborer une première proposition. Celle-ci est alors soumise au Commissaire rapporteur en charge du domaine couvert par cette proposition. Une position de principe est alors arrêtée par celui-ci afin de savoir si cette Autorisation est opportune et si la position de la CNIL est suffisamment «mûre» vis à vis du sujet pour faire l'objet d'une Autorisation unique. Dans la mesure où la décision est prise de donner suite à ce projet, la proposition est alors successivement amendée par les services techniques, juridiques et par le Commissaire rapporteur. Il arrive, mais ça n'a rien de systématique, que les parties prenantes du secteur privé, public ou associatif soient consultées sur le projet afin de recueillir leurs éventuelles remarques. Dans le cas ou elles sont à l'origine de la demande d'Autorisation unique, les parties prenantes participent dans le cadre de réunions conjointes avec la CNIL à l'élaboration du texte. Au terme de cette phase d'élaboration, le projet est soumis à approbation en séance plénière de la CNIL par le Commissaire rapporteur en charge du projet. L'autorisation peut être soumise à approbation avec ou sans débat en fonction de la sensibilité du sujet ou du degré de consensus qui entoure le sujet. Le projet est adopté ou rejeté. Il peut être représenté en séance plénière autant de fois que nécessaire jusqu'à son adoption. 29 Chiffres recueillis auprès de la CNIL le 15 septembre 2010 30 Cette démarche est initiée à partir d'une cinquantaine de demandes en attente nous a précisé Mme Johanna Carvais de la CNIL que nous avons interrogé à ce sujet. 31 Tel fut le cas par exemple pour l'AU-006 concernant les traitements de données à caractère personnel aux fins d'exercice des activités notariales et de rédaction des documents des offices notariaux comme nous l'a précisé M. Xavier Leclerc; Correspondant Informatique et Libertés mutualisé auprès de l'Association pour le Développement du Service Notarial. C'est également à la demande du Ministère des transports que l'AU-026 concernant la mise en place d'éthylotests anti-démarrage dans les véhicules affectés au transport de personnes à été élaborée. 21 Une fois adopté, il doit encore être publié au Journal Officiel de la République Française (JORF) pour devenir opposable le lendemain de sa publication. |
|