CNIL / site associatif

Spyou

29/08/2004 à 02:46

"PurL" a écrit dans le message de
news:cgni3b$n2d$

Bonjour,

Je vais créer un site web pour une association et désirant diffuser des
données privées sur les membres de cette association, je cherche la
procédure pour etre dans la legalite :

1/ declaration à la CNIL : je ne vois pas à quoi cela sert ? a ce proteger
en cas de plainte ?

La CNIL sert a mesurer l'augmentation des traitements automatisés et a
empecher, autant que faire se peut, le croisement de fichiers pour essayer
de profiler les gens (a l'origine, du moins)

2/ demande écrite à chaque membre pour la diffusion de ces/ses données ?

C'est la moindre des choses

Question bonus :
Que faire pour que légalement, ce soit l'association qui soit responsable

du

contenu et non moi personnellement ?

Il faut que ce soit l'association qui edite le site en question .. Et que
vous ne soyez pas le président de l'association .. tant qu'a faire :)

PurL

30/08/2004 à 09:49

Spyou wrote:

"PurL" a écrit dans le message de
news:cgni3b$n2d$
Bonjour,

Je vais créer un site web pour une association et désirant diffuser
des données privées sur les membres de cette association, je cherche
la procédure pour etre dans la legalite :

1/ declaration à la CNIL : je ne vois pas à quoi cela sert ? a ce
proteger en cas de plainte ?

La CNIL sert a mesurer l'augmentation des traitements automatisés et a
empecher, autant que faire se peut, le croisement de fichiers pour
essayer de profiler les gens (a l'origine, du moins)

2/ demande écrite à chaque membre pour la diffusion de ces/ses
données ?

C'est la moindre des choses

Bien evidement :)
Donc il me faut juste :
- Demande d'autorisation de chaque membre (sur papier libre ?)
- Déclaration à la CNIL. Est-ce gratuit ?

Question bonus :
Que faire pour que légalement, ce soit l'association qui soit
responsable du contenu et non moi personnellement ?

Il faut que ce soit l'association qui edite le site en question .. Et
que vous ne soyez pas le président de l'association .. tant qu'a
faire :)

L'association n'est pas une personne. Ce sera moi, sous le nom de
l'association, qui s'occupera du site c'est pourquoi je ne voudrais etre
directement responsable de quoique ce soit...

Merci à vous,

PurL

haveur

30/08/2004 à 11:17

Bonjour,

PurL a écrit :

Je vais créer un site web pour une association et désirant diffuser
des données privées sur les membres de cette association, je cherche
la procédure pour etre dans la legalite :

1/ declaration à la CNIL : je ne vois pas à quoi cela sert ? a ce
proteger en cas de plainte ?

Attention la loi de 1978 (informatique et libertées) vient d'être
modifiée par la loi n°2004-801 du 6 août 2004. Quelsques extraits:

Article 2
Modifié par Loi 2004-801 2004-08-06 art. 1 JORF 7 août 2004.

La présente loi s'applique aux traitements automatisés de données à
caractère personnel, ainsi qu'aux traitements non automatisés de données
à caractère personnel contenues ou appelées à figurer dans des fichiers,
à l'exception des traitements mis en oeuvre pour l'exercice d'activités
exclusivement personnelles, lorsque leur responsable remplit les
conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à
une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si
une personne est identifiable, il convient de considérer l'ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels
peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération
ou tout ensemble d'opérations portant sur de telles données, quel que
soit le procédé utilisé, et notamment la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble
structuré et stable de données à caractère personnel accessibles selon
des critères déterminés.

Section 2 : Dispositions propres à certaines catégories de données.
Article 8
Modifié par Loi 2004-801 2004-08-06 art. 2 JORF 7 août 2004.

I. - Il est interdit de collecter ou de traiter des données à caractère
personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l'appartenance syndicale des personnes, ou qui sont
relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines
catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son
consentement exprès, sauf dans le cas où la loi prévoit que
l'interdiction visée au I ne peut être levée par le consentement de la
personne concernée ;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais
auxquels la personne concernée ne peut donner son consentement par suite
d'une incapacité juridique ou d'une impossibilité matérielle ;

3° Les traitements mis en oeuvre par une association ou tout autre
organisme à but non lucratif et à caractère religieux, philosophique,
politique ou syndical :

- pour les seules données mentionnées au I correspondant à l'objet de
ladite association ou dudit organisme ;

- sous réserve qu'ils ne concernent que les membres de cette association
ou de cet organisme et, le cas échéant, les personnes qui entretiennent
avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu'ils ne portent que sur des données non communiquées à des tiers,
à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues
publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la
défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des
diagnostics médicaux, de l'administration de soins ou de traitements, ou
de la gestion de services de santé et mis en oeuvre par un membre d'une
profession de santé, ou par une autre personne à laquelle s'impose en
raison de ses fonctions l'obligation de secret professionnel prévue par
l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la
statistique et des études économiques ou l'un des services statistiques
ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur
l'obligation, la coordination et le secret en matière de statistiques,
après avis du Conseil national de l'information statistique et dans les
conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche dans le domaine de la
santé selon les modalités prévues au chapitre IX.

III. - Si les données à caractère personnel visées au I sont appelées à
faire l'objet à bref délai d'un procédé d'anonymisation préalablement
reconnu conforme aux dispositions de la présente loi par la Commission
nationale de l'informatique et des libertés, celle-ci peut autoriser,
compte tenu de leur finalité, certaines catégories de traitements selon
les modalités prévues à l'article 25. Les dispositions des chapitres IX
et X ne sont pas applicables.

IV. - De même, ne sont pas soumis à l'interdiction prévue au I les
traitements, automatisés ou non, justifiés par l'intérêt public et
autorisés dans les conditions prévues au I de l'article 25 ou au II de
l'article 26.

Chapitre III : La Commission nationale de l'informatique et des libertés.

Article 11
Modifié par Loi 2004-801 2004-08-06 art. 3 JORF 7 août 2004.

La Commission nationale de l'informatique et des libertés est une
autorité administrative indépendante. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables
de traitements de leurs droits et obligations ;

2° Elle veille à ce que les traitements de données à caractère personnel
soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés à l'article 25, donne un
avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les
déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et
édicte, le cas échéant, des règlements types en vue d'assurer la
sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la
mise en oeuvre des traitements de données à caractère personnel et
informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas
échéant, des juridictions, et conseille les personnes et organismes qui
mettent en oeuvre ou envisagent de mettre en oeuvre des traitements
automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à
l'article 40 du code de procédure pénale, des infractions dont elle a
connaissance, et peut présenter des observations dans les procédures
pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses
membres ou des agents de ses services, dans les conditions prévues à
l'article 44, de procéder à des vérifications portant sur tous
traitements et, le cas échéant, d'obtenir des copies de tous documents
ou supports d'information utiles à ses missions ;

g) Elle peut, dans les conditions définies au chapitre VII, prononcer à
l'égard d'un responsable de traitement l'une des mesures prévues à
l'article 45 ;

h) Elle répond aux demandes d'accès concernant les traitements
mentionnés aux articles 41 et 42 ;

3° A la demande d'organisations professionnelles ou d'institutions
regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente
loi des projets de règles professionnelles et des produits et procédures
tendant à la protection des personnes à l'égard du traitement de données
à caractère personnel, ou à l'anonymisation de ces données, qui lui sont
soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles
professionnelles qu'elle a précédemment reconnues conformes aux
dispositions de la présente loi, au regard du respect des droits
fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la
protection des personnes à l'égard du traitement des données à caractère
personnel, après qu'elles les a reconnus conformes aux dispositions de
la présente loi ;

4° Elle se tient informée de l'évolution des technologies de
l'information et rend publique le cas échéant son appréciation des
conséquences qui en résultent pour l'exercice des droits et libertés
mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la
protection des personnes à l'égard des traitements automatisés ;

b) Elle propose au Gouvernement les mesures législatives ou
réglementaires d'adaptation de la protection des libertés à l'évolution
des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle
peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la
préparation et à la définition de la position française dans les
négociations internationales dans le domaine de la protection des
données à caractère personnel. Elle peut participer, à la demande du
Premier ministre, à la représentation française dans les organisations
internationales et communautaires compétentes en ce domaine.

Pour l'accomplissement de ses missions, la commission peut procéder par
voie de recommandation et prendre des décisions individuelles ou
réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République, au
Premier ministre et au Parlement un rapport public rendant compte de
l'exécution de sa mission.

-------------------------------------------------------------------------

Pour consulter la loi :

http://www.legifrance.gouv.fr/texteconsolide/PPEAU.htm

Ces modifications portent sur la mission de la CNIL et le sens donné à
ficher de traitrement de connées à caractère personnel

Question bonus :
Que faire pour que légalement, ce soit l'association qui soit
responsable du contenu et non moi personnellement ?

......................................
L'association n'est pas une personne. Ce sera moi, sous le nom de
l'association, qui s'occupera du site c'est pourquoi je ne voudrais etre
directement responsable de quoique ce soit...

Contrairement à ce que l'on croit le président n'est pas
systématiquement responsable de tout situation survenant dans une
association. Cela dépend :
- du contenu des statuts relatif aux attributs de chaque dirigeants et
fonctions dirigeantes. Des statuts silencieux sur ce sujet font
généralement considérer par un tribunal que c'est alors le président qui
a tous les pouvoirs et donc qu'il a tutes les responsabilités;
- de l'existence d'une faute de gestion personnelle, réelle et reconnue
par le tribunal (ce terme de faute personnelle peut recouvrir des
situations très différentes : violation des statuts, faute de gestion
comptable ou administrative, non respect d'une loi ou d'un texte
réglementaire ...).

Il convient donc que l'association précise dans ses statuts qui est
chargé de la réalisation et de la gestion du site, comme pour toute
autre activité (allant du bar aux activités culturelles, de loisir ou
sportives).

Veiller aussi, pour que l'association soit responsable de ce site à ce
que ce soit elle qui paye les travaux de conception, de réalisation , de
mise à jour et de gestion. Et à ce que le nom du site lui appartienne.

Cordialement

--

le forum d'aide aux membres et dirigeants d'associations :
news://news.elodis.com/elodis.aide-associations
www.elodis-associations.fr.fm : le site des associations

Bonjour,

PurL a écrit :

Je vais créer un site web pour une association et désirant diffuser
des données privées sur les membres de cette association, je cherche
la procédure pour etre dans la legalite :

1/ declaration à la CNIL : je ne vois pas à quoi cela sert ? a ce
proteger en cas de plainte ?

Attention la loi de 1978 (informatique et libertées) vient d'être
modifiée par la loi n°2004-801 du 6 août 2004. Quelsques extraits:

Article 2
Modifié par Loi 2004-801 2004-08-06 art. 1 JORF 7 août 2004.

La présente loi s'applique aux traitements automatisés de données à
caractère personnel, ainsi qu'aux traitements non automatisés de données
à caractère personnel contenues ou appelées à figurer dans des fichiers,
à l'exception des traitements mis en oeuvre pour l'exercice d'activités
exclusivement personnelles, lorsque leur responsable remplit les
conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à
une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si
une personne est identifiable, il convient de considérer l'ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels
peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération
ou tout ensemble d'opérations portant sur de telles données, quel que
soit le procédé utilisé, et notamment la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble
structuré et stable de données à caractère personnel accessibles selon
des critères déterminés.

Section 2 : Dispositions propres à certaines catégories de données.
Article 8
Modifié par Loi 2004-801 2004-08-06 art. 2 JORF 7 août 2004.

I. - Il est interdit de collecter ou de traiter des données à caractère
personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l'appartenance syndicale des personnes, ou qui sont
relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines
catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son
consentement exprès, sauf dans le cas où la loi prévoit que
l'interdiction visée au I ne peut être levée par le consentement de la
personne concernée ;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais
auxquels la personne concernée ne peut donner son consentement par suite
d'une incapacité juridique ou d'une impossibilité matérielle ;

3° Les traitements mis en oeuvre par une association ou tout autre
organisme à but non lucratif et à caractère religieux, philosophique,
politique ou syndical :

- pour les seules données mentionnées au I correspondant à l'objet de
ladite association ou dudit organisme ;

- sous réserve qu'ils ne concernent que les membres de cette association
ou de cet organisme et, le cas échéant, les personnes qui entretiennent
avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu'ils ne portent que sur des données non communiquées à des tiers,
à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues
publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la
défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des
diagnostics médicaux, de l'administration de soins ou de traitements, ou
de la gestion de services de santé et mis en oeuvre par un membre d'une
profession de santé, ou par une autre personne à laquelle s'impose en
raison de ses fonctions l'obligation de secret professionnel prévue par
l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la
statistique et des études économiques ou l'un des services statistiques
ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur
l'obligation, la coordination et le secret en matière de statistiques,
après avis du Conseil national de l'information statistique et dans les
conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche dans le domaine de la
santé selon les modalités prévues au chapitre IX.

III. - Si les données à caractère personnel visées au I sont appelées à
faire l'objet à bref délai d'un procédé d'anonymisation préalablement
reconnu conforme aux dispositions de la présente loi par la Commission
nationale de l'informatique et des libertés, celle-ci peut autoriser,
compte tenu de leur finalité, certaines catégories de traitements selon
les modalités prévues à l'article 25. Les dispositions des chapitres IX
et X ne sont pas applicables.

IV. - De même, ne sont pas soumis à l'interdiction prévue au I les
traitements, automatisés ou non, justifiés par l'intérêt public et
autorisés dans les conditions prévues au I de l'article 25 ou au II de
l'article 26.

Chapitre III : La Commission nationale de l'informatique et des libertés.

Article 11
Modifié par Loi 2004-801 2004-08-06 art. 3 JORF 7 août 2004.

La Commission nationale de l'informatique et des libertés est une
autorité administrative indépendante. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables
de traitements de leurs droits et obligations ;

2° Elle veille à ce que les traitements de données à caractère personnel
soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés à l'article 25, donne un
avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les
déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et
édicte, le cas échéant, des règlements types en vue d'assurer la
sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la
mise en oeuvre des traitements de données à caractère personnel et
informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas
échéant, des juridictions, et conseille les personnes et organismes qui
mettent en oeuvre ou envisagent de mettre en oeuvre des traitements
automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à
l'article 40 du code de procédure pénale, des infractions dont elle a
connaissance, et peut présenter des observations dans les procédures
pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses
membres ou des agents de ses services, dans les conditions prévues à
l'article 44, de procéder à des vérifications portant sur tous
traitements et, le cas échéant, d'obtenir des copies de tous documents
ou supports d'information utiles à ses missions ;

g) Elle peut, dans les conditions définies au chapitre VII, prononcer à
l'égard d'un responsable de traitement l'une des mesures prévues à
l'article 45 ;

h) Elle répond aux demandes d'accès concernant les traitements
mentionnés aux articles 41 et 42 ;

3° A la demande d'organisations professionnelles ou d'institutions
regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente
loi des projets de règles professionnelles et des produits et procédures
tendant à la protection des personnes à l'égard du traitement de données
à caractère personnel, ou à l'anonymisation de ces données, qui lui sont
soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles
professionnelles qu'elle a précédemment reconnues conformes aux
dispositions de la présente loi, au regard du respect des droits
fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la
protection des personnes à l'égard du traitement des données à caractère
personnel, après qu'elles les a reconnus conformes aux dispositions de
la présente loi ;

4° Elle se tient informée de l'évolution des technologies de
l'information et rend publique le cas échéant son appréciation des
conséquences qui en résultent pour l'exercice des droits et libertés
mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la
protection des personnes à l'égard des traitements automatisés ;

b) Elle propose au Gouvernement les mesures législatives ou
réglementaires d'adaptation de la protection des libertés à l'évolution
des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle
peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la
préparation et à la définition de la position française dans les
négociations internationales dans le domaine de la protection des
données à caractère personnel. Elle peut participer, à la demande du
Premier ministre, à la représentation française dans les organisations
internationales et communautaires compétentes en ce domaine.

Pour l'accomplissement de ses missions, la commission peut procéder par
voie de recommandation et prendre des décisions individuelles ou
réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République, au
Premier ministre et au Parlement un rapport public rendant compte de
l'exécution de sa mission.

-------------------------------------------------------------------------

Pour consulter la loi :

http://www.legifrance.gouv.fr/texteconsolide/PPEAU.htm

Ces modifications portent sur la mission de la CNIL et le sens donné à
ficher de traitrement de connées à caractère personnel

Question bonus :
Que faire pour que légalement, ce soit l'association qui soit
responsable du contenu et non moi personnellement ?

......................................
L'association n'est pas une personne. Ce sera moi, sous le nom de
l'association, qui s'occupera du site c'est pourquoi je ne voudrais etre
directement responsable de quoique ce soit...

Contrairement à ce que l'on croit le président n'est pas
systématiquement responsable de tout situation survenant dans une
association. Cela dépend :
- du contenu des statuts relatif aux attributs de chaque dirigeants et
fonctions dirigeantes. Des statuts silencieux sur ce sujet font
généralement considérer par un tribunal que c'est alors le président qui
a tous les pouvoirs et donc qu'il a tutes les responsabilités;
- de l'existence d'une faute de gestion personnelle, réelle et reconnue
par le tribunal (ce terme de faute personnelle peut recouvrir des
situations très différentes : violation des statuts, faute de gestion
comptable ou administrative, non respect d'une loi ou d'un texte
réglementaire ...).

Il convient donc que l'association précise dans ses statuts qui est
chargé de la réalisation et de la gestion du site, comme pour toute
autre activité (allant du bar aux activités culturelles, de loisir ou
sportives).

Veiller aussi, pour que l'association soit responsable de ce site à ce
que ce soit elle qui paye les travaux de conception, de réalisation , de
mise à jour et de gestion. Et à ce que le nom du site lui appartienne.

Cordialement

--

le forum d'aide aux membres et dirigeants d'associations :
news://news.elodis.com/elodis.aide-associations
www.elodis-associations.fr.fm : le site des associations

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour,

PurL a écrit :

Je vais créer un site web pour une association et désirant diffuser
des données privées sur les membres de cette association, je cherche
la procédure pour etre dans la legalite :

1/ declaration à la CNIL : je ne vois pas à quoi cela sert ? a ce
proteger en cas de plainte ?

Attention la loi de 1978 (informatique et libertées) vient d'être
modifiée par la loi n°2004-801 du 6 août 2004. Quelsques extraits:

Article 2
Modifié par Loi 2004-801 2004-08-06 art. 1 JORF 7 août 2004.

La présente loi s'applique aux traitements automatisés de données à
caractère personnel, ainsi qu'aux traitements non automatisés de données
à caractère personnel contenues ou appelées à figurer dans des fichiers,
à l'exception des traitements mis en oeuvre pour l'exercice d'activités
exclusivement personnelles, lorsque leur responsable remplit les
conditions prévues à l'article 5.

Constitue une donnée à caractère personnel toute information relative à
une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si
une personne est identifiable, il convient de considérer l'ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels
peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération
ou tout ensemble d'opérations portant sur de telles données, quel que
soit le procédé utilisé, et notamment la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble
structuré et stable de données à caractère personnel accessibles selon
des critères déterminés.

Section 2 : Dispositions propres à certaines catégories de données.
Article 8
Modifié par Loi 2004-801 2004-08-06 art. 2 JORF 7 août 2004.

I. - Il est interdit de collecter ou de traiter des données à caractère
personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l'appartenance syndicale des personnes, ou qui sont
relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines
catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son
consentement exprès, sauf dans le cas où la loi prévoit que
l'interdiction visée au I ne peut être levée par le consentement de la
personne concernée ;

2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais
auxquels la personne concernée ne peut donner son consentement par suite
d'une incapacité juridique ou d'une impossibilité matérielle ;

3° Les traitements mis en oeuvre par une association ou tout autre
organisme à but non lucratif et à caractère religieux, philosophique,
politique ou syndical :

- pour les seules données mentionnées au I correspondant à l'objet de
ladite association ou dudit organisme ;

- sous réserve qu'ils ne concernent que les membres de cette association
ou de cet organisme et, le cas échéant, les personnes qui entretiennent
avec celui-ci des contacts réguliers dans le cadre de son activité ;

- et qu'ils ne portent que sur des données non communiquées à des tiers,
à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues
publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la
défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des
diagnostics médicaux, de l'administration de soins ou de traitements, ou
de la gestion de services de santé et mis en oeuvre par un membre d'une
profession de santé, ou par une autre personne à laquelle s'impose en
raison de ses fonctions l'obligation de secret professionnel prévue par
l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la
statistique et des études économiques ou l'un des services statistiques
ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur
l'obligation, la coordination et le secret en matière de statistiques,
après avis du Conseil national de l'information statistique et dans les
conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche dans le domaine de la
santé selon les modalités prévues au chapitre IX.

III. - Si les données à caractère personnel visées au I sont appelées à
faire l'objet à bref délai d'un procédé d'anonymisation préalablement
reconnu conforme aux dispositions de la présente loi par la Commission
nationale de l'informatique et des libertés, celle-ci peut autoriser,
compte tenu de leur finalité, certaines catégories de traitements selon
les modalités prévues à l'article 25. Les dispositions des chapitres IX
et X ne sont pas applicables.

IV. - De même, ne sont pas soumis à l'interdiction prévue au I les
traitements, automatisés ou non, justifiés par l'intérêt public et
autorisés dans les conditions prévues au I de l'article 25 ou au II de
l'article 26.

Chapitre III : La Commission nationale de l'informatique et des libertés.

Article 11
Modifié par Loi 2004-801 2004-08-06 art. 3 JORF 7 août 2004.

La Commission nationale de l'informatique et des libertés est une
autorité administrative indépendante. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables
de traitements de leurs droits et obligations ;

2° Elle veille à ce que les traitements de données à caractère personnel
soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés à l'article 25, donne un
avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les
déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et
édicte, le cas échéant, des règlements types en vue d'assurer la
sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la
mise en oeuvre des traitements de données à caractère personnel et
informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas
échéant, des juridictions, et conseille les personnes et organismes qui
mettent en oeuvre ou envisagent de mettre en oeuvre des traitements
automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à
l'article 40 du code de procédure pénale, des infractions dont elle a
connaissance, et peut présenter des observations dans les procédures
pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses
membres ou des agents de ses services, dans les conditions prévues à
l'article 44, de procéder à des vérifications portant sur tous
traitements et, le cas échéant, d'obtenir des copies de tous documents
ou supports d'information utiles à ses missions ;

g) Elle peut, dans les conditions définies au chapitre VII, prononcer à
l'égard d'un responsable de traitement l'une des mesures prévues à
l'article 45 ;

h) Elle répond aux demandes d'accès concernant les traitements
mentionnés aux articles 41 et 42 ;

3° A la demande d'organisations professionnelles ou d'institutions
regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente
loi des projets de règles professionnelles et des produits et procédures
tendant à la protection des personnes à l'égard du traitement de données
à caractère personnel, ou à l'anonymisation de ces données, qui lui sont
soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles
professionnelles qu'elle a précédemment reconnues conformes aux
dispositions de la présente loi, au regard du respect des droits
fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la
protection des personnes à l'égard du traitement des données à caractère
personnel, après qu'elles les a reconnus conformes aux dispositions de
la présente loi ;

4° Elle se tient informée de l'évolution des technologies de
l'information et rend publique le cas échéant son appréciation des
conséquences qui en résultent pour l'exercice des droits et libertés
mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la
protection des personnes à l'égard des traitements automatisés ;

b) Elle propose au Gouvernement les mesures législatives ou
réglementaires d'adaptation de la protection des libertés à l'évolution
des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle
peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la
préparation et à la définition de la position française dans les
négociations internationales dans le domaine de la protection des
données à caractère personnel. Elle peut participer, à la demande du
Premier ministre, à la représentation française dans les organisations
internationales et communautaires compétentes en ce domaine.

Pour l'accomplissement de ses missions, la commission peut procéder par
voie de recommandation et prendre des décisions individuelles ou
réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République, au
Premier ministre et au Parlement un rapport public rendant compte de
l'exécution de sa mission.

-------------------------------------------------------------------------

Pour consulter la loi :

http://www.legifrance.gouv.fr/texteconsolide/PPEAU.htm

Ces modifications portent sur la mission de la CNIL et le sens donné à
ficher de traitrement de connées à caractère personnel

Question bonus :
Que faire pour que légalement, ce soit l'association qui soit
responsable du contenu et non moi personnellement ?

......................................
L'association n'est pas une personne. Ce sera moi, sous le nom de
l'association, qui s'occupera du site c'est pourquoi je ne voudrais etre
directement responsable de quoique ce soit...

Contrairement à ce que l'on croit le président n'est pas
systématiquement responsable de tout situation survenant dans une
association. Cela dépend :
- du contenu des statuts relatif aux attributs de chaque dirigeants et
fonctions dirigeantes. Des statuts silencieux sur ce sujet font
généralement considérer par un tribunal que c'est alors le président qui
a tous les pouvoirs et donc qu'il a tutes les responsabilités;
- de l'existence d'une faute de gestion personnelle, réelle et reconnue
par le tribunal (ce terme de faute personnelle peut recouvrir des
situations très différentes : violation des statuts, faute de gestion
comptable ou administrative, non respect d'une loi ou d'un texte
réglementaire ...).

Il convient donc que l'association précise dans ses statuts qui est
chargé de la réalisation et de la gestion du site, comme pour toute
autre activité (allant du bar aux activités culturelles, de loisir ou
sportives).

Veiller aussi, pour que l'association soit responsable de ce site à ce
que ce soit elle qui paye les travaux de conception, de réalisation , de
mise à jour et de gestion. Et à ce que le nom du site lui appartienne.

Cordialement

--

le forum d'aide aux membres et dirigeants d'associations :
news://news.elodis.com/elodis.aide-associations
www.elodis-associations.fr.fm : le site des associations

PurL

30/08/2004 à 15:52

haveur wrote:

Attention la loi de 1978 (informatique et libertées) vient d'être
modifiée par la loi n°2004-801 du 6 août 2004. Quelsques extraits:

Quelle indigestion :(
Y'a-t-il une traduction (résumé) quelque part pour les non-juristes ?

Pour consulter la loi :

http://www.legifrance.gouv.fr/texteconsolide/PPEAU.htm

Ces modifications portent sur la mission de la CNIL et le sens donné à
ficher de traitrement de connées à caractère personnel

La loi toute entière j'imagine...

Il convient donc que l'association précise dans ses statuts qui est
chargé de la réalisation et de la gestion du site, comme pour toute
autre activité (allant du bar aux activités culturelles, de loisir ou
sportives).

bah, ce sera moi...

Veiller aussi, pour que l'association soit responsable de ce site à ce
que ce soit elle qui paye les travaux de conception, de réalisation ,
de mise à jour et de gestion. Et à ce que le nom du site lui
appartienne.

Tout le site sera fait avec des moyens gratuits (ressources internet
gratuites, bénévola, ...)

Cordialement

PurL

CNIL / site associatif

4 réponses

Veuillez sélectionner un problème