L’article 25 de la loi Informatique et Libertés dispose que les traitements répondant à une même finalité, portant sur les mêmes catégories de données et ayant les mêmes destinataires (ou catégories de destinataires) peuvent être autorisés par une décision unique de la CNIL.
Le 14 janvier 2016, la CNIL a adopté une nouvelle autorisation unique, relative aux traitements de données permettant la préparation, l’exercice et le suivi de leurs contentieux par des entités tant publiques que privées.
L’AU-046 permet aux responsables de traitement de signer un engagement de conformité pour un traitement impliquant, notamment, « le traitement de données relatives à des infractions ou condamnations pénales ou à des mesures de sûreté et mis en œuvre par une personne morale de droit privé ou de droit public, ou par une personne physique, aux fins de préparer, d’exercer et de suivre une action disciplinaire ou un recours en justice et, le cas échéant, de faire exécuter la décision rendue ».
Seules certaines données peuvent être collectées pour entrer dans le cadre de l’autorisation unique, et elles doivent être conservées pour une durée limitée, distincte selon que les données sont collectées et traitées dans le cadre d’un précontentieux ou d’un contentieux.
L’autorisation unique définit également les personnes au sein de l’organisme responsable du traitement qui peuvent avoir accès aux données et pose certaines conditions de sécurité à respecter.
Camille BURKHART