">

Quel est le champ d’application de la Loi Informatique & Libertés ?

La question semble simple…mais il est difficile d’obtenir une réponse définitive et compréhensible par le commun des mortels.

La CNIL propose une infographie très intéressante, qui liste les quatre questions qu’il convient de se poser successivement :
- Suis-je en présence de données personnelles ?
- Un traitement de données est-il mis en oeuvre ?
- Dans le cadre d’activités personnelles uniquement ?
- Le responsable de traitement ou les moyens sont sur le territoire français ?

Des membres AFCDP seraient-ils intéressés pour créer enrichir cette « Fiche pratique » qui vulgariserait ce sujet ?

Vous souhaitez apporter votre pierre à l’édifice ? : Merci d’adresser vos suggestions, remarques, témoignages, contributions à charge-mission[ici le signe AT]afcdp.net

Rappel : Sur des sujets très opérationnels, les Fiches pratiques AFCDP font la synthèse des approches retenues par les membres de l’Association. Elles ne constituent en rien une recommandation, mais sont un support d’échanges et de réflexions.

_______________________

Première contribution :

C’est un excellent sujet et un problème auquel je suis confronté tous les jours.

Parmi les points à clarifier, la notion de « moyens ». La collecte des données (quelle que soit sa forme) est-elle un « moyen » au sens qu’utilisent Grégoire Goussu et Claudia Ouday ? (sachant que la collecte est dans le champ de la définition de « traitement de données »)

J’ai fait moi-même des tableaux et des mails d’explication à mes collègues sur ce sujet car nous avons des clients non-européens et aussi européens. Certains de mes homologues veulent se "déclarer" à la CNIL (malgré le fait qu’ils sont déjà référencés dans leur propre pays-état-membre de l’Union Européenne auprès de leur autorité de contrôle locale)...

Une autre question : Parfois l’entreprise non-européenne a un bureau dans un pays membre de l’UE, mais ce bureau n’est qu’un « simple » service de vente, sans aucun lien avec l’activité de traitement de données (ni responsabilité) ; Est-ce que cela place cette entreprise dans la case « établi en Europe » ou « non-établi en Europe » ?

En 2007, lors d’une conférence, j’ai demandé à M. Hustinx (European Data Protection Supervisor) et à M. Thomas (UK Information Commissioner) quelle logique ils trouvaient dans le fait qu’une entreprise européenne puisse être "autorisée" dans un seul pays (malgré les différences d’application de la Directive) tandis qu’une entreprise non-européenne doit être autorisée dans chaque pays… sans réponse utilisable.

_______________________

Deuxième contribution :

Mais où sont les données ?

Avec le Cloud computing, difficile de savoir où sont réellement les « moyens » et les données (le traitement est-il dans le champ d’application de la Loi Informatique & Libertés ?).

Pour l’OCLCTIC « le cloud computing pose des soucis pour les procédures de perquisition de données… » tandis que des questions se posent en matière de sécurisation.