L’article 2 de la loi informatique et libertés définit le fichier de données à caractère personnel comme « tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
La notion de fichier n’est pas sans importance dans la mesure où pour qu’un traitement de données à caractère personnel soit soumis aux dispositions de la loi informatique et libertés il doit donner lieu à la constitution d’un fichier.
La directive du 95/46/CE du 24 octobre 1995, désormais abrogée, prévoyait dans son considérant 27 que la protection des données à caractère personnel ne devrait couvrir que les fichiers et ne s’appliquerait donc pas aux dossiers non structurés.
En particulier, le contenu d’un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel.
Dans un arrêt du 20 octobre 2010, la Conseil d’état a, par exemple, considéré que « les données à caractère personnel contenues dans son dossier individuel, lequel constitue un fichier au sens des dispositions précitées de l’article 2 de la loi du 6 janvier 1978, au seul motif qu’elles les avaient déjà communiquées à son avocat dans le cadre de la procédure de licenciement qu’elle avait engagée à son encontre ; que cette circonstance n’étant pas de nature à la dispenser de l’obligation de communiquer ces données lorsque la demande lui en fut faite sur le fondement des dispositions précitées de l’article 39, la CNIL a pu légalement relever ce manquement à ces dispositions et mettre la société requérante en demeure de communiquer l’intégralité des données personnelles du demandeur qu’elle détenait puis, constatant qu’elle n’y avait pas déféré, décider de lui infliger une sanction » (CE, 20 oct. 2010, n° 327916, Sté Centrapel).
No comment yet, add your voice below!