Allez au contenu, Allez à la navigation

Champ du contrôle de la commission nationale de l'informatique et des libertés

15e législature

Question écrite n° 06101 de M. Jean Louis Masson (Moselle - NI)

publiée dans le JO Sénat du 12/07/2018 - page 3430

M. Jean Louis Masson attire l'attention de M. le secrétaire d'État, auprès du Premier ministre, chargé du numérique sur le fait que la commission nationale de l'informatique et des libertés (CNIL) a théoriquement pour mission de contrôler la constitution de fichiers numérisés concernant des personnes sans que celles-ci aient donné leur accord. Or dans une lettre du 2 juillet 2018, la CNIL indique qu'elle refuse de s'occuper de ce qu'elle appelle « les particuliers » même dans le cas où ledit particulier a constitué un fichier avec l'adresse électronique personnelle de milliers de personnalités qu'il inonde chaque jour de centaines de courriels intempestifs. Il lui demande si la position de la CNIL est fondée ou si elle essaye indûment d'esquiver ses responsabilités.

Transmise au Secrétariat d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique



Réponse du Secrétariat d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique

publiée dans le JO Sénat du 20/02/2020 - page 896

Le règlement (UE) N°2016/679 du 27 avril 2016 établit le régime général de protection des données à caractère personnel en Europe. Son article 2 en précise le champ d'application matériel, en disposant que le règlement ne s'applique pas au traitement de données à caractère personnel effectué « par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ». Le considérant n° 18 du règlement apporte des éclairages supplémentaires, en explicitant que cette règlementation n'a pas vocation à s'appliquer pour des « activités strictement personnelles ou domestiques, sans lien avec une activité professionnelle ou commerciale » et donne l'exemple de « listings de correspondances, de carnets d'adresses ». La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a mis le droit français en conformité avec les principes posés par le règlement européen. L'article 2 de la loi « informatique et libertés », telle que modifiée par la révision de 2018, prévoit ainsi expressément que la loi ne s'applique pas aux « traitements de données à caractère personnel mis en œuvre par des personnes physiques pour l'exercice d'activités strictement personnelles ou domestiques ». L'appréciation du caractère « strictement personnel ou domestique » d'une activité et sa frontière avec une activité « professionnelle » dépend de plusieurs facteurs. À titre d'exemple, le code général des impôts indique qu'une personne physique accomplissant « à titre habituel et dans un but lucratif des opérations à caractère industriel, commercial ou artisanal » peut relever de la catégorie professionnelle.