Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

La CNIL adopte une autorisation unique pour le traitement des données judiciaires

Publié le par

Les données judiciaires sont des données sensibles. Pourtant elles sont traitées couramment, par exemple pour gérer le contentieux de l’entreprise. Le traitement de ces données nécessite normalement une autorisation. La CNIL vient de délivrer une autorisation unique au profit de tous ceux qui respectent les conditions qu’elle y fixe. Les autres doivent continuer à demander une autorisation préalable.

Le problème posé par les données judiciaires

Le traitement de données judiciaires est quelque chose extrêmement banal, contrairement à une croyance bien ancrée qui veut que les professionnels de la justice soient les premiers – si pas les seuls – concernés.

En réalité, presque toutes les entreprises traitent des données judiciaires. Dès qu’une facture n’est pas payée, qu’une mise en demeure part et que le dossier termine chez un avocat, on est en présence de données judiciaires qui impliquent très souvent des personnes physiques, même si le débiteur est une personne morale. Il en va de même des personnes physiques qui peuvent être contraintes de défendre leurs intérêts en justice, notamment pour obtenir la réparation d’un préjudice, et qui n’agissent pas toujours dans un cadre exclusivement domestique.

Or, relève la CNIL, les traitements de données à caractère personnel mis en œuvre pour préparer et gérer des contentieux sont, par nature, susceptibles de porter sur des données relatives à des infractions et condamnations pénales, ou sur des mesures de sûreté.

Il y a par conséquent lieu de faire application des dispositions du 3° du I de l’article 25 de la loi du 6 janvier 1978 modifiée qui prévoient que les traitements, automatisés ou non automatisés, portant sur des données à caractère personnel relatives aux infractions, condamnations ou mesures de sûreté, ne peuvent être mis en œuvre qu’après une autorisation de la commission.

Afin de faciliter la vie, en application des dispositions du II de l’article 25 de la loi du 6 janvier 1978 modifiée, la CNIL peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.

C’est ce qu’elle vient de faire (JORF n° 0036 du 12 février 2016)

Dorénavant, les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.

Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l’objet d’une demande d’autorisation spécifique.

Quelles finalités ?

Ne bénéficient de la déclaration unique que les traitements mis en œuvre par une personne morale de droit privé ou de droit public, ou par une personne physique, aux fins de préparer, d’exercer et de suivre une action disciplinaire ou un recours en justice et, le cas échéant, de faire exécuter la décision rendue.

Quelles données ?

Sans préjudice de l’obligation de ne traiter que des données adéquates, pertinentes et non excessives au regard de la finalité poursuivie, la CNIL vise dans son autorisation unique :

·         l’identification des personnes mises en cause, des victimes, des témoins et des auxiliaires de justices mandatés dans la procédure (nom ; nom d’usage ; prénoms ; sexe ; date et lieu de naissance ; nationalité ; adresse, numéros de téléphone et de fax ; adresse électronique) ;

·         les infractions, condamnations ou mesure de sûreté, en particulier :

·         les faits litigieux à l’origine de la procédure ;

·         les informations, documents et pièces recueillis tendant à établir des faits susceptibles d’être reprochés : constat ; témoignage ; attestation ; mise en demeure ; compte rendu d’une enquête consécutive à une alerte professionnelle ; images extraites d’un dispositif de vidéosurveillance ; « logs » extraits d’un outil de sécurisation des ressources informatiques ; fiche de constat des faits ; dépôt de plainte ; certificat médical ;

·         les caractéristiques du contentieux : date de début et de clôture du litige, juridiction saisie, date de l’assignation, date d’audience, état de la procédure, nature et objet des demandes, griefs, argumentations, observations et avis des représentants légaux, date du jugement ;

·         la date, la nature, les motifs, les montants et les éventuels échelonnements des condamnations ;

·         les commentaires relatifs à la description et au suivi de la procédure.

Quelle durée ?

Les données collectées et traitées dans le cadre de la gestion d’un précontentieux doivent ainsi être supprimées dès le règlement amiable du litige ou, à défaut, dès la prescription de l’action en justice correspondante.

Les données collectées et traitées dans le cadre d’un contentieux doivent quant à elles être supprimées lorsque les voies de recours ordinaires et extraordinaires ne sont plus possibles contre la décision rendue.

Qui peut accéder aux données ?

Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données visées par la présente décision unique :

·         les employés du responsable de traitement habilités à préparer et gérer des contentieux dans le cadre de leurs fonctions ;

·         les autres personnes chargées de traiter les données en raison de leurs fonctions ;

·         les sous-traitants du responsable de traitement ;

·         les auxiliaires de justice et officiers ministériels ;

·         l’autorité saisie d’un litige.

Autres

Afin d’éviter de supprimer l’effet de surprise qui est parfois nécessaire, la CNIL rappelle que l’information des personnes peut-être assurée après l’adoption des mesures conservatoires indispensables lorsque des mesures conservatoires sont rendues nécessaires pour éviter la dissimulation ou la destruction de preuves.

La CNIL a également pris soin de préciser les règles d’accès, de rectification et d’opposition pour motif légitime, notamment en ce qui concerne la communication de pièces dans une procédure.

Il y a également des règles particulières fixées en ce qui concerne la sécurité des données, et leur transfert.

Plus d’infos ?

En prenant connaissance de l’autorisation unique, jointe en annexe à la présente actualité.

Droit & Technologies

Annexes

Délibération de la CNIL

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK