Faut-il déclarer ?
Cette page ne vous concerne pas si vous êtes responsable d’un traitement mais que vous êtes domicilié dans un autre État membre de l'Union Européenne ou vous habitez en dehors de l'U.E. et que les données personnelles que vous gérez ne font que transiter par la France.

De même, vous n’avez pas à déclarer à la CNIL vos fichiers dans les cas qui ne sont pas susceptibles de porter atteinte à la vie privée ou aux libertés comme par exemple votre carnet d’adresses.

Vous n'avez plus à déclarer un site web personnel depuis la délibération de la CNIL n° 2005-284 du 22 novembre 2005, qui décide que "la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle". Attention, le site web d'une association reste déclarable.

Enfin, si vous êtes un organisme ou une association à caractère religieux, politique, philosophique ou syndical, vous ne déclarez pas votre fichier de membres, d’adhérents ou de personnes qui sont en contact régulier avec vous.
Pour les autres cas, il faut s'y mettre et ce n'est pas particulièrement compliqué mais c'est pénalement très risqué de s'abstenir ...

La déclaration

La CNIL dispose d'un site plutôt bien fait avec la pédagogie qu'il faut et les documents nécessaires en téléchargements ou même avec la possibilité de télédéclarer sur le site : www.cnil.fr

Nouveau mai 2006: La CNIL a décidé d'une nouvelle dispense bien commode pour les associations et leurs sites, plus besoin de déclarer si l'on établit un fichier informatique des membres/cotisations/etc et qu'on le met en ligne. Soyons raisonnables cependant en prévenant nos membres des informations éventuellelment diffusées, et en leur donnant un droit de rectification. L'idéal reste de protéger les pages concernées en donnant un accès réservé avec login/mot de passe (voir comment faire).

Pour les fichiers ou base de données:
Soit l'on se trouve dans le cas de dispense, sinon, c'est la déclaration en grandeur nature …

Pour les sites :
Le site de la CNIL comporte un document particulièrement explicite : "Je monte un site Internet : recommandations pratiques".

C'est très simple et d'autant plus pour un petit site car la C N I L offre un service de télédéclaration en ligne.

De plus, le site de la commission comporte tous les formulaires et les explications en ligne : http://www.cnil.fr/index.php?id=32

L'essentiel de ces questions juridiques c'est :
l'information du visiteur de votre site des conditions de collecte de ses données et l'usage qui en sera fait et particulièrement la cession même gratuite et la durée de conservation ;

Enfin, un petit coup de fil à la commission (ils sont plutôt très serviables !) permet de se mettre en règle sur un sujet que le code pénal dans sa dernière version ne prend plus à la légère, voyez ci-dessous.

Art. 226-16
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
...

Art. 226-18
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

Art. 226-19
Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Commentaire d'un jugement récent (extrait du site de la CNIL) : Le tribunal correctionnel de Paris avait, par un jugement du 7 décembre 2004, relaxé le dirigeant de cette société en estimant que, "compte tenu de l’accessibilité universelle de l’Internet qui est la caractéristique et un des principaux atouts de ce réseau", l’opération de recueil des adresses électroniques sur les espaces publics de l’Internet n’impliquait l’usage d’aucun procédé frauduleux et ne pouvait dès lors être considérée comme déloyale, du seul fait qu’elle serait effectuée sans que les intéressés en soient informés. Conformément au souhait de la CNIL, le parquet a décidé de faire appel de cette décision. La Cour d’appel de Paris, par un jugement du 18 mai 2005, a infirmé la décision de relaxe prononcée en première instance en condamnant l’expéditeur à une amende de 3 000 € pour collecte d’adresses de données personnelles par un moyen illicite ou déloyal.

Le responsable de la société mise en cause était poursuivi pour avoir collecté des données nominatives, en l’espèce des adresses électroniques, dans le but de constituer des fichiers de prospects, par un moyen frauduleux, déloyal ou illicite, à savoir l’utilisation de logiciels permettant l’« aspiration » de ces adresses sur Internet (sites, annuaire, forum) sans que les personnes concernées aient donné leur consentement ni même en aient été informées. En effet l’article 226-18 du code pénal réprime le fait de collecter des données personnelles par un moyen frauduleux, déloyal ou illicite.

La Cour d’appel a retenu cette infraction en estimant que la mise en œuvre des deux logiciels par la société pour "aspirer", sur Internet, des adresses électroniques de personnes physiques constituait une collecte de données nominatives opérée par un moyen illicite, et en tout cas déloyal, en ce que :

---