Fichiers Utilisateurs - Obligation de D‚claration ------------------------------------------ Ce sujet avait d‚j… ‚t‚ trait‚ par Georges Bourne lors de la FRCONF 2 de Lyon en Octobre 93. Nous avions alors appris comment effectuer les d‚marches d'enregistrement auprŠs de la C.N.I.L. sans nous attarder sur les aspects juridiques de la chose. Je pense qu'il est bon d'y revenir afin que chacun se fasse une id‚e plus pr‚cise de l'importance de cette d‚claration. Je vous propose donc de prendre connaissance des textes de loi qui nous imposent cette formalit‚, je donnerai quelques explications par la suite. EXTRAITS DU CODE PENAL : ------------------------ Loi nø 78-17 du 6 janvier 1978, relative … l'informatique, aux fichiers et aux libert‚s. Art.4. - Sont r‚put‚es nominatives au sens de la pr‚sente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectu‚ par une personne physique ou par une personne morale. Art.16. - Les traitements automatis‚s d'informations nominatives doivent, pr‚alablement … leur mise en oeuvre, faire l'objet d'une d‚claration auprŠs de la commission nationale de l'informatique et des libert‚s. Cette d‚claration comporte l'engagement que le traitement satisfait aux exigences de la loi. DŠs qu'il a re‡u le r‚c‚piss‚ d‚livr‚ sans d‚lai par la commission, le demandeur peut mettre en oeuvre le traitement. Il n'est exon‚r‚ d'aucune de ses responsabilit‚s. Art.26. - Toute personne physique a le droit de s'opposer, pour des raisons l‚gitimes, … ce que des informations nominatives la concernant fassent l'objet d'un traitement. Art.29. - Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-…-vis des personnes concern‚es, … prendre toutes pr‚cautions utiles afin de pr‚server la s‚curit‚ des informations et notamment d'empˆcher qu'elles ne soient d‚form‚es, endommag‚es ou communiqu‚es … des tiers non autoris‚s. Art.31. - Il est interdit de mettre ou conserver en m‚moire informatis‚e, sauf accord exprŠs de l'int‚r‚ss‚, des donn‚es nominatives qui, directement ou indirectement, font apparaŒtre les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes. Art.41. - Sera puni d'un emprisonnement de six mois … trois an et d'une amende de 2000 … 200.000 francs, ou de l'une de ces deux peines seulement, quiconque aura proc‚d‚ ou fait proc‚der … des traitements automatis‚s d'informations nominatives, sans qu'aient ‚t‚ faites les d‚clarations pr‚vues … l'article 16 ci-dessus. ------------------------------------------------------------------------------------------------- FIN DE CITATION DES TEXTES ------------------------------------------------------------------------------------------------- II - ANALYSE ------------------- Revenons sur l'article 4. La d‚finition du "traitement automatis‚ d'informations nominatives" peut paraŒtre vague. C'est d'ailleurs la raison pour laquelle j'avais l'an dernier ‚mis des r‚serves quand … l'obligation de d‚clarer nos fichiers. Renseignements pris et suite … l'‚tude des jurisprudences en vigueur, cette d‚finition s'applique bel et bien … la simple d‚tention des informations basiques concernant les utilisateurs de nos systŠmes. Ainsi, cette loi doit ‚galement s'appliquer … nos serveurs, tout priv‚s et amateurs qu'ils soient. L'article 16 est clair, et mˆme un non-juriste peut facilement l'interpreter. Cet article stipule que la d‚claration … la CNIL est obligatoire et doit ˆtre effectu‚e avant la mise en route du systŠme. Cependant mˆme si votre systŠme tourne depuis longtemps sans qu'aucune d‚claration n'aie ‚t‚ faite, il n'est pas trop tard pour effectuer les d‚marches, et vous ne devriez pas ˆtre inqui‚t‚ pour avoir effectu‚ la d‚claration si tardivement. L'article 26 a pour but de prot‚ger les citoyens contre les abus. En clair il signifie que si un utilisateur vous le demande, vous devez effacer toute donn‚e le concernant, sans en garder de copie, de mˆme que les articles 34, 35, et 36 (non reproduits par manque de temps :-( ) vous imposent l'obligation de transmettre une copie des informations … l'int‚r‚ss‚ s'il en fait la demande, de le laisser acc‚der … ces informations et de les corriger s'il constate une erreur. L'article 29 vous impose une totale confidentialit‚ des informations. Vous seul pouvez acc‚der aux donn‚es. Vous ne devez les communiquer … personne, mˆme pas … vos Co-Sysops. Vous ne pouvez pas les exploiter … des fins personnelles, commerciales ou autres sans l'autorisation de l'int‚r‚ss‚. Ainsi, le seul fait de dire dans SYSOPS.032 que Jean-Lucien Dushmol a tent‚ de pirater votre systŠme, vous met en infraction avec la loi puisque vous venez de diffuser une information nominative contenue dans vos fichiers. L'article 31 se passe de commentaire. L'article 41 d‚finit les peines auxquelles vous vous exposez en cas de non respect de ces dispositions l‚gales. Je n'ai repris ici que les articles qui m'ont sembl‚ les plus importants. Vous trouverez en annexe de ce dossier l'int‚gralit‚ des textes de cette loi ainsi que quelques cas de jurisprudence. CONCLUSION : ------------ Je ne saurai trop vous conseiller de vous mettre rapidement en conformit‚ avec cette loi. Les pouvoirs publics commencent … s'interresser de prŠs … ces "myst‚rieux BBS" et les d‚marches sont relativement simples. Vous pouvez obtenir un dossier de d‚claration par le 3615 CNIL ou auprŠs de la pr‚fecture. Pour ce qui est de la fa‡on dont vous devez remplir le dossier, je vous invite … consulter le dossier pr‚par‚ par Georges Bourne l'an dernier, vous devriez pouvoir le r‚cup‚rer par l'interm‚diaire d'un collŠgue pr‚sent … la FRCONF2.