Fichiers - Bases de Données

3.4. Le traitement des données

Une déclaration doit être faite à la CNIL (Commission Nationale d'Informatique et Libertés) pour tout traitement automatisé de données à caractère personnel (art 22-I de la loi 78-17 modifiée).
Le non accomplissement des formalités prévues par la loi est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende. (Art 226-16 du Code Pénal).

Une déclaration simplifiée peut être effectuée par les associations régies par la loi 1901 pour la gestion de leurs fichiers adhérents à la condition de respecter la norme simplifiée n° 23 (http://www.cnil.fr/index.php?id=1226 ) ; (voir le guide de la CNIL pour les associations http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/Guide-Associations.pdf ).
Cette déclaration peut s'effectuer directement en ligne en remplissant le formulaire à l'adresse: http://www.cnil.fr/index.php?id=1248

Un avis doit être demandé auprès du Comité Consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé pour tout traitement de données ayant pour fin la recherche et ce préalablement à la saisine de la CNIL (art 54 de la loi 78-17 modifiée).

Une autorisation doit toutefois être demandée à la CNIL pour certains traitements :

• Pour tout traitement portant sur des données génétiques (art 25 alinéa I, 2 de la loi 78-17 modifiée),
• Pour tout traitement de données ayant pour fin la recherche dans le domaine de la santé ( art 8 alinéa III 8 et art 54 de la loi 78-17 modifiée).

Un engagement de conformité à la procédure MR001 a été récemment mis en place (http://www.cnil.fr/fileadmin/documents/declarer/mode_d-emploi/sante/MR-001.pdf ) pour le traitement des données personnelles opérés dans le cadre de recherche biomédicale.

La confidentialité des données doit être respectée c’est-à-dire que seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La divulgation à des tiers de données à caractère personnel, lorsque ces tiers n'ont pas qualité pour les recevoir et que la personne auprès de qui les données ont été collectées n'a pas donné son autorisation, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende dès lors que la divulgation aurait pour effet de porter atteinte à la considération de ladite personne ou à l'intimité de sa vie privée. Cette divulgation  commise par imprudence ou négligence est également punie de trois ans d'emprisonnement et de 100 000 € d'amende.

Les finalités de traitement doivent être "explicites et légitimes". L'objectif doit être précis et les informations exploitées cohérentes avec cette finalité.
Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende (art. 226.21 du code pénal).

La durée de conservation des données ne doit pas excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (art 6 de la loi n° 78-17 modifié par loi n° 2004-801. Cette durée de conservation doit être raisonnable par rapport à l'objectif.
L'utilisation des données, hors les cas prévus par la loi, au-delà de la période déclarée est passible de 5 ans d'emprisonnement et de 300 000 € d'amende (art 226-20 du Code Pénal).