JORF n°0155 du 7 juillet 2010 page texte n° 76
NOR: CNIA1000008X
Vu la convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 ;
Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations ;
Sont dispensés de déclaration les traitements automatisés de données à caractère personnel mis en œuvre par des organismes à but non lucratif (associations loi 1901, associations loi 1908 de droit local en Alsace et en Moselle, fondations et fonds de dotation) comportant des données sur des personnes physiques qui répondent aux conditions suivantes.
Finalités du traitement.
Les traitements doivent avoir pour seules finalités :
Données traitées.
Les données traitées pour la réalisation des finalités décrites à l'article 2 sont :
Ne peuvent bénéficier de l'exonération les traitements comportant les données suivantes :
Destinataires des données.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires des données :
a) Les personnes statutairement responsables de la gestion de l'association ;
b) Les services chargés de l'administration et de la gestion des membres ;
c) Eventuellement, les organismes gérant les systèmes d'assurance et de prévoyance, applicables aux activités de l'association. Sous réserve des dispositions de l'article 6 de la présente exonération, les données à caractère personnel traitées dans le cadre de l'activité de l'organisme peuvent faire l'objet :
Durée de conservation.
Les données à caractère personnel ne peuvent être conservées après la démission, la radiation ou le départ, sauf accord exprès de l'intéressé. S'agissant des donateurs, la commission recommande qu'elles ne soient pas conservées au-delà de deux sollicitations restées infructueuses. Le responsable de traitement est tenu de prendre toutes mesures utiles pour s'assurer que les données sont exactes, complètes et mises à jour et correspondent à des personnes qui ne se sont pas opposées à recevoir des sollicitations. En tout état de cause, les données doivent être conservées pour une durée limitée. Concernant les données relatives aux prospects, à savoir celles issues d'un fichier loué, elles ne doivent pas être conservées au-delà de la durée nécessaire à la réalisation de la campagne de collecte de dons pour lesquelles elles ont été louées.
Information et consentement des personnes concernées.
Les personnes concernées sont informées, lors de leur adhésion, de l'identité du responsable de traitement, des finalités poursuivies par le traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, de leur droit d'opposition, d'accès et de rectification ainsi que des modalités d'exercice de leurs droits.
En cas d'établissement d'annuaire : Lorsque les données figurent dans un annuaire appelé à être diffusé, les personnes concernées doivent en être préalablement informées et doivent être mises en mesure de s'opposer à ce que tout ou partie des données les concernant soit publié. La commission recommande à cet égard que l'accès à l'annuaire par le biais d'internet soit en accès restreint et que les personnes aient la possibilité d'indiquer les informations qu'elles ne souhaitent pas voir diffuser comme leur adresse personnelle tant sur la version web que papier de l'annuaire. Les personnes figurant dans l'annuaire doivent également avoir été mises en mesure de s'opposer à ce que les données les concernant soient utilisées à des fins de prospection.
En cas d'opérations relatives à des actions de prospection auprès des membres, donateurs et prospects : Lorsque les données sont utilisées à des fins de prospection, les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais, à tout moment et sans justification.
Dans le cas où les données sont utilisées à des fins de prospection commerciale par voie électronique, les personnes concernées doivent préalablement consentir à une telle utilisation. Dans cette hypothèse, les personnes doivent avoir été invitées, au moment de la collecte de leurs données, à consentir de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.
La commission rappelle que le responsable du traitement qui utilise des données issues d'un fichier loué est tenu de prendre toutes mesures auprès du prestataire pour s'assurer que les personnes ne se sont pas opposées ou ont consenti à une utilisation de leurs données à des fins de prospection.
La commission recommande que les messages de sollicitations indiquent aux personnes démarchées l'origine des informations utilisées pour leur faire parvenir ce message lorsque les données n'ont pas été recueillies directement par l'organisme à l'origine du message. Si les données à caractère personnel ont été collectées via un formulaire, le droit d'opposition ou le recueil du consentement préalable doivent, selon les cas, s'exprimer par un moyen simple tel que l'apposition d'une case à cocher.
En cas d'accès ou d'inscription d'informations dans l'équipement terminal de la personne : Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l'équipement terminal de connexion de l'utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, composants active X ou autre code mobile), les utilisateurs sont informés de la finalité de l'utilisation de ces procédés et des moyens dont ils disposent pour s'y opposer.
Sécurité.
Le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. L'accès au traitement se fait au moyen d'un mot de passe individuel régulièrement renouvelé ou par tout autre dispositif au moins équivalent.
Transmissions de données vers des pays tiers à l'Union européenne.
Ne peuvent prétendre au bénéfice de l'exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.
Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL. La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.
La présente délibération, qui abroge la délibération n° 2006-030 du 9 mai 2006, sera publiée au Journal officiel de la République française.
Fait à Paris, le 10 juin 2010.
