I. - Les déclarations, demandes d'autorisation et demandes d'avis adressées à la Commission nationale de l'informatique et des libertés en vertu des dispositions des sections 1 et 2 précisent :

1° L'identité et l'adresse du responsable du traitement ou, si celui-ci n'est établi ni sur le territoire national ni sur celui d'un autre Etat membre de la Communauté européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 25 , 26 et 27 , la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en oeuvre le traitement ainsi que, pour les traitements relevant des articles 25 , 26 et 27 , les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s'exerce le droit d'accès prévu à l'article 39 , ainsi que les mesures relatives à l'exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l'indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne, sous quelque forme que ce soit, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne au sens des dispositions du 2° du I de l'article 5.

Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum.

- de tout changement affectant les informations mentionnées au I ;

- de toute suppression du traitement.

1. Modification du traitement




Avant l’adoption de la loi du 6 août 2004 modifiant la loi du 6 janvier 1978, l’administration était tenue, si elle voulait modifier les finalités d’un traitement décidé par un acte réglementaire pris après avis motivé de la Commission nationale de l’informatique et des libertés, de prendre un acte réglementaire modifiant ou complétant celui qui a décidé la création de ce traitement. L’administration ne pouvait se borner à porter la modification effectuée à la connaissance de la commission mais était tenue de solliciter, préalablement à l’édiction du nouvel acte réglementaire, l’avis motivé de cette commission (CE 3-8 SSR, 3-5-2004, Fondation assistance aux animaux, n° 249832).




2. Domaine de restriction




N’est pas justifié par la protection du secret statistique et du secret de la vie privée, l’arrêté qui fixe, sans aucune différenciation tenant à la nature des informations recueillies et aux différents supports contenant les données du recensement général de 1990, un seuil de population de 5 000 habitants en dessous duquel la cession par l’INSEE de données issues du recensement général est interdit (CE 10-7- SSR, 7-10-1998, Association des utilisateurs de données publiques, économiques et sociales, n° 186073).




3. Durée de conservation




La délibération du conseil d’administration de l'Assistance publique-Hôpitaux de Paris (APHP) modifiant un traitement automatisé est annulée pour défaut de mention concernant la durée de conservation. (CE 10-9 SSR 18-3-2005 n° 238206 Syndicat national de défense de l’exercice libéral de la médecine à l’hôpital).




Pour durée de conservation des données non conforme (Délib. n°2007-374 du 11-12-2007, 40 000 euros d'amende à l’encontre de la société Service Innovation Group France).