S'abonner

 

La médiation

 
Lexique
Campagne DADSU
 

Informations juridiques

La protection des données personnelles

La loi du 6 août 2004 renforce la protection des données à caractère personnel. La Commission juridique du CTIP a analysé l’impact de ces nouvelles dispositions sur la gestion des institutions de prévoyance.

 

Les réflexions du CTIP sur la protection des données personnelles remontent à la convention Bélorgey de 2001. Cette convention visait à garantir la confidentialité des données personnelles de santé collectées via les questionnaires médicaux utilisés dans le cadre de l’assurance emprunteurs. Dès 2001, le CTIP a entrepris des travaux de sensibilisation aux modalités de respect de la confidentialité des données médicales dans les institutions de prévoyance.
 

De nouvelles obligations

La loi du 6 août a introduit des changements notables dans le régime juridique de la protection des données personnelles. Certains impliquent des modifications profondes dans les modalités de gestion des institutions, notamment en matière de systèmes d’information. Le délai de mise en conformité avec la loi de 2004 a expiré le 6 août 2007, et son non-respect expose à de lourdes sanctions pénales.

La Commission juridique du CTIP s’est donc attachée, en collaboration avec le Professeur Jérôme Huet, spécialiste du droit de l’informatique et du multimédia, à analyser l’impact de ces nouvelles dispositions.
 

 

La procédure d'autorisation

Les institutions de prévoyance peuvent désormais se trouver soumises à une procédure d’autorisation auprès de la Commission nationale de l’informatique et des libertés (CNIL) quand la collecte des données personnelles atteint un certain niveau de dangerosité pour la vie privée, à savoir :

  • en cas d’interconnexion de fichiers ;
      
  • en cas d’utilisation du numéro d’inscription des personnes au répertoire national des personnes physiques (NIR).La CNIL considère que la loi de 2004 ne remet pas en cause l’autorisation donnée par décret aux organismes assureurs complémentaires d’utiliser le NIR pour les activités relevant de leur coeur de métier ;
      
  • en cas de collecte de données sensibles, comme les données médicales.

 

Les données de santé : des "données sensibles"

Les données de santé entrent désormais dans la catégorie des “données sensibles” : le consentement exprès des personnes concernées est nécessaire pour que leur traitement soit autorisé.
  

 

Des recommandations pour les institutions

Pour répondre à leurs préoccupations en matière de protection des données personnelles, la Commission juridique, après avoir identifié les difficultés auxquelles les institutions pourraient être confrontées et les risques juridiques liés à certaines pratiques, a élaboré un guide juridique sur la protection des données personnelles dans les institutions de prévoyance. Il a été présenté au Comité des directeurs le 25 septembre 2007.

Point par point, des solutions sont proposées : désignation d’un correspondant informatique et Libertés, création au sein de l’institution d’un service seul habilité à traiter les données de santé, placé sous l’autorité d’un professionnel tenu au secret médical,…

Sur la base de ce guide, les institutions pourront opérer dans les directions concernées les adaptations nécessaires à la mise en conformité des traitements.

Janvier 2008
 

La loi du 6 août 2004

 
Cette loi transpose une directive européenne de 1995 :

_ elle renforce le régime juridique de la protection des données personnelles, défini en France par la loi Informatique et Libertés du 6 janvier 1978 ;
_ elle alourdit les sanctions en cas d’infraction : les contrevenants encourent 5 ans d’emprisonnement et 300.000 euros d’amende.

 


Le correspondant Informatique et Libertés

  
La loi de 2004 a créé la fonction de correspondant informatique et Libertés (CIL). Le CIL a une mission de conseil et de veille de la légalité des traitements effectués.

Certaines institutions ont déjà procédé à la désignation d’un CIL. Il constitue en effet un interlocuteur privilégié pour la CNIL. Celle-ci, souhaitant favoriser le recours au CIL, exonère les organismes qui s’en sont doté de l’obligation de déclaration préalable des traitements ordinaires et courants. Son président, Alex Türk, a également annoncé que la CNIL entretiendrait des rapports privilégiés de confiance et de célérité avec les organismes qui y recourent.

 


Un guide juridique sur la protection des données personnelles

 
Le guide juridique porte sur les points suivants :

_ le recours à la norme simplifiée n° 22,
_ l’utilisation du NIR,
_ l’interconnexion des fichiers,
_ les autres situations relevant d’une demande d’autorisation de la CNIL,
_ les précautions qu’implique le traitement des données de santé,
_ les fichiers de prospection commerciale,
_ les précautions qu’implique la délégation de gestion d’opérations de prévoyance et de tiers payant,
_ l’inventaire des traitements et le responsable des traitements,
_ le respect des droits d’accès et de rectification,
_ le respect des règles d’encadrement de fichiers.