Déclaration à la CNIL des traitements de données personnelles par les AJMJ
19.01.2018
Gestion d'entreprise
Les traitements des données à caractère personnel mis en oeuvre par les administrateurs et les mandataires judiciaires dans le cadre de leurs missions peuvent bénéficier d'une déclaration simplifiée à la CNIL.
Les administrateurs et mandataires judiciaires sont amenés à traiter des données à caractère personnel, dans le cadre de leurs différentes missions commerciales et civiles, de représentation et d’administration des personnes. La CNIL décide que les traitements mis en œuvre par ces derniers, au cours de leurs mandats, peuvent bénéficier de formalités allégées de déclaration dans une norme (NS-060) fixée par une d��libération n° 2017-291 du 21 décembre 2017.
La CNIL identifie les responsables de traitement que sont les administrateurs et mandataires judiciaires, relevant du Conseil national des administrateurs et des mandataires judiciaires (CNAJMJ) ainsi que les personnes physiques n’exerçant aucune de ces professions, mais justifiant d'une expérience ou d'une qualification particulière au regard de la nature d’une affaire et désignées comme administrateur ou mandataire judiciaire par une décision motivée du tribunal de commerce (Délib. CNIL, obs.).
Les professionnels peuvent être amenés à traiter des données à caractère personnel relevant de deux catégories de traitements :
- les traitements mis en œuvre par les personnes physiques ou morales administrées ou représentées par ces derniers,
- les traitements directement mis en œuvre au sein de leurs études qui seuls peuvent faire l’objet d’une déclaration simplifiée.
Les traitements concernent les missions qui leurs sont confiées par le juge judiciaire relatifs à la gestion et au suivi de la représentation juridique, de l’assistance, de la surveillance et du contrôle des personnes placées, par l’autorité judiciaire.
Ils sont mis en œuvre afin de permettre aux administrateurs et aux mandataires judiciaires de gérer les entreprises en difficulté ou les entreprises in bonis lorsque le fonctionnement des organes sociaux n’est plus correctement assuré. Il s’agit également des traitements en vue d’administrer des structures ou situations en état de crise (société, association, indivision, succession). Sont, notamment, concernées les missions de gestion des procédures collectives, d’administration provisoire d’une copropriété ou d’une société civile, de gestion d’une expropriation, d’administration provisoire d’une indivision, de gestion d’une succession et de séquestre (Délib. CNIL, art. 3).
La déclaration simplifiée de conformité est à envoyer à la CNIL ou, le cas échéant, à effectuer par voie électronique.
Un certain nombre de données peuvent être collectées au sein des études des professionnels. Elles peuvent être traitées soit sous format papier, soit sous format automatisé. Le professionnel doit être en mesure de justifier du caractère nécessaire des catégories de données à caractère personnel effectivement collectées.
Dans le cadre d’une procédure collective ou d’un mandat ad hoc , les administrateurs et mandataires judiciaires peuvent manipuler des données relatives aux débiteurs personnes physiques comme, par exemple, son identité, son numéro d’immatriculation aux registres et répertoires, celles relatives aux associés des personnes morales, les données relatives aux salariés et aux créanciers. Les données relatives aux infractions, condamnations pénales ou mesures de sûreté peuvent être recueillies dans le cadre de procédures contentieuses (L. 78, art. 9, 2° et 25-I-3°). Les professionnels sont susceptibles de les collecter sans autorisation préalable (Délib. CNIL, art. 3).
La déclaration simplifiée ne s’applique pas aux traitements dont les personnes physiques ou morales représentées ou administrées sont responsables et que les administrateurs et mandataires judiciaires continuent de mettre en œuvre pour la bonne exécution de leurs missions (Délib. CNIL, art. 1er).
Par ailleurs, la mise en œuvre par le CNAJMJ du portail électronique (C. com., art. L. 814-2, L.814-13 et R. 814-58-4) est également exclu de la déclaration simplifiée (Délib. CNIL, art. 1er).
La déclaration simplifiée risque toutefois d’être de courte durée. En effet, la loi n° 78-17 du 6 janvier 1978 « Informatique et libertés » sera prochainement révisée (projet de loi relatif à la protection des données personnelles, 13 déc. 2017, JUSC1732261L) pour être mise en conformité avec le nouveau règlement européen 2016/679/UE du Parlement et du Conseil du 27 avril 2016 relatif à la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD ».
Le RGPD applicable à compter du 25 mai 2018, entraîne un important changement puisque les formalités préalables à la mise en œuvre des traitements, déclaration et autorisation auprès de la CNIL (L. 78, art. 22 à 31) seront supprimées (projet de loi, 13 déc. 2017, art. 9, III) pour être remplacées par les mesures d’accountability, de privacy by design et by default prévues par le RGPD.
Un régime d’autorisation sera toutefois maintenu sur les traitements effectués pour le compte de l’Etat, pour le compte de personnes morales de droit public ou privé comportant le numéro d’identification des personnes physiques au Répertoire national (NIR).
Par ailleurs, le projet de loi clarifie le périmètre des données relatives aux infractions qui font déjà l’objet d’un traitement spécifique dans la loi n° 78-17 du 6 janvier 1978. Il s’agit exclusivement des infractions pénales, condamnations et mesures de sécurité connexes (projet de loi, 13 déc. 2017, art. 70-24). En outre, le projet de loi élargit à de nouvelles personnes la possibilité de traiter ces données et, en particulier, aux « personnes morales de droit privé collaborant au service public de la justice » dont un décret devra définir les catégories.
La réforme fera place à une responsabilisation accrue sanctionnée de manière aggravée (RGPD, art. 83 et 84). Le responsable du traitement devra s’assurer et être en mesure de démontrer que le traitement des données est effectué conformément aux dispositions de la loi du 6 janvier 1978 modifiée et du RGPD (RGPD, art. 34). Il devra également protéger les données dès la conception du traitement et ce, « par défaut » (RGPD, art. 25). Le RGPD prévoit, en particulier, de nouvelles obligations de tenue d’un registre d’activité des traitements et de conduite d’une analyse d’impact qui seront à la charge du responsable de traitement (Pour plus de détails, v. Broché « Protection des données personnelles »).