Le fait qu'elle soit informatisée ne change rien à l'affaire
Que nenni ! Ça change tout, au contraire...
Le maître d'oeuvre répond pour sa propre responsabilité, le maître d'ouvrage pour la sienne...
L'EN a déclaré sa base, pas la vôtre : il n'y a pas de logique descendante...
Pour rappel : aucune donnée nominative référant à des données sensibles (n° SS et/ou données médicales et/ou etc.) n'est autorisée sur aucun ordinateur perso ou public ou mis à disposition sauf à être déclarée et autorisée par la CNIL, l'usager ayant par ailleurs été informé de son droit à consultation et modification.
Voir ici, pour être pédago (mais trop général) :
http://www.jeunes.cnil.fr/fileadmin/doc ... edago3.pdf
Plus complet :
http://www.cnil.fr/vos-responsabilites/vos-obligations/
Pour rappel : Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende. art. 226-17 du code pénal - vous êtes responsable de traitement informatique, puisque vous vous instaurez tel en utilisant votre ordi perso ou mis à disposition par le CG ou l'IA.
Ou encore : Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal
On continue : Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive. art. 131-13 du code pénal - Décret n° 2005-1309 du 20 octobre 2005
Et, pour finir : Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l'autorisation de la CNIL. Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende. art. 226-16 du code pénal