Un traitement de données à caractère personnel est susceptible d’évoluer au gré des besoins de l’organisme qui le met en oeuvre. De même, l’outil utilisé pour mettre en oeuvre ce traitement peut se révéler inadapté quelques années plus tard.
Dans ce contexte, deux questions peuvent se poser :
  • Quelles sont les conséquences de la modification d’un traitement de données à caractère personnel (formalité, information des personnes, etc.) ?
  • Le changement de l’outil utilisé pour mettre en oeuvre un traitement de données à caractère personnel crée-t-il une obligation de modifier la formalité préalablement effectuée auprès de la CNIL ?

Des modifications substantielles

La loi Informatique et Libertés et son décret d’application organisent les conditions dans lesquelles un responsable de traitement doit porter à la connaissance de la CNIL les modifications qu’il a apportées au traitement précédemment déclaré, autorisé ou ayant fait l’objet d’un avis préalable.

En effet, le responsable d’un traitement déjà déclaré doit informer la CNIL, sans délai, de tout changement affectant les informations déclarées (article 30, II de la loi Informatique et Libertés).

Celles-ci regroupent l’ensemble des informations que le responsable de traitement doit communiquer à la CNIL via le formulaire de déclaration, de demande d’autorisation ou de demande d’avis (identité et adresse du responsable de traitement, finalités du traitement mis en oeuvre, données traitées et leur origine, etc.).

Un risque de requalification de la formalité initiale

Une attention particulière doit être portée à l’ampleur des évolutions apportées ainsi qu’à leurs conséquences éventuelles. En effet, selon que les modifications portent sur les catégories de données traitées et/ou sur les finalités du traitement, une formalité ad hoc pourrait s’imposer.

Par exemple, un traitement originairement soumis au régime de la déclaration normale peut être soumis à une demande d’autorisation si des données sensibles sont traitées.

De même, une formalité ad hoc peut s’avérer nécessaire si les modifications apportées à un traitement ayant fait l’objet d’un engagement de conformité à une norme simplifiée sont telles que le traitement n’entre plus dans le champ de ladite norme simplifiée.

En pratique

Indépendamment de la modification de la formalité, l’information des personnes est susceptible d’évoluer. En effet, les personnes dont les données sont collectées doivent être informées des principales caractéristiques du traitement. Les modifications apportées au traitement peuvent avoir un impact sur l’information que le responsable de traitement doit délivrer à l’avenir (ajout d’une finalité, d’une catégorie de destinataires, modification du service chargé de la gestion des droits, etc.). Le consentement des personnes peut par ailleurs s’avérer nécessaire.

En outre, la question de l’adaptation des mesures de sécurité mises en oeuvre pourrait se poser en cas de modification du traitement qui conduirait à collecter des données à caractère personnelles qualifiées de sensibles par exemple. En effet, tant la réglementation française que le Règlement européen, publié le 4 mai dernier au journal officiel de l’Union européenne, imposent au responsable de traitement d’adapter les mesures notamment à la nature des données traitées.

Le changement d’outil de traitement indifférent

La Cour de cassation a eu l’occasion de se prononcer sur l’obligation du responsable de traitement de procéder à une nouvelle déclaration auprès de la CNIL en cas de changement de logiciel de traitement. Il résulte de l’arrêt de la Haute juridiction que « seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la CNIL ; qu’une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration » (Cass. soc., 23 avril 2013, n°11-26099).

Mathias Avocats se tient à votre disposition pour vous accompagner dans vos projets, notamment en cas de modification  de vos traitements.