Après avoir entendu Mme Sylvie ROBERT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Conformément à l'article L. 811-1 du code de commerce, les administrateurs judiciaires sont les mandataires, personnes physiques ou morales, chargés par décision de justice d'administrer les biens d'autrui ou d'exercer des fonctions d'assistance ou de surveillance dans la gestion de ces biens. Aux termes de l'article L. 812-1 dudit code, les mandataires judiciaires sont les mandataires, personnes physiques ou morales, chargés par décision de justice de représenter les créanciers et de procéder à la liquidation d'une entreprise dans les conditions définies par le titre II du livre VI du code de commerce.
Ces professionnels sont inscrits sur une liste nationale. Toutefois, en application des articles L. 811-2 et L. 812-2 du code de commerce, des personnes n'étant pas inscrites sur ladite liste peuvent être désignées, par décision motivée du juge, comme faisant fonction d'administrateur judiciaire ou de mandataire judiciaire.
Dans le cadre de leurs activités d'administration ou de représentation ès-qualités de personnes morales ou physiques, les administrateurs judiciaires, les mandataires judiciaires ou les personnes désignées hors liste (ci-après « les professionnels ») sont amenés à mettre en œuvre des traitements de données à caractère personnel.
En application de l'article 24-I de la loi du 6 janvier 1978 modifiée, la Commission est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en œuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
La commission estime que les traitements mis en œuvre par les administrateurs judiciaires et les mandataires judiciaires, dans le cadre de leur mandat, sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Décide :

Champ d'application.
Les professionnels peuvent être amenés à traiter des données à caractère personnel relevant de deux catégories de traitements :

- les traitements mis en œuvre par les personnes physiques ou morales administrées ou représentées par les professionnels, aux fins et dans les conditions définies par ces personnes et dont celles-ci sont dès lors responsables de traitement au sens de l'article 3-I de la loi du 6 janvier 1978 modifiée ;
- les traitements directement mis en œuvre par les professionnels, au sein de leurs études, en tant que responsables de traitement, pour leurs besoins propres aux fins d'exercice de leurs missions civiles et commerciales, ; les données concernées peuvent alors être traitées au format papier ou sous forme automatisée, étant précisé que les logiciels de traitement automatisé de tenue de la comptabilité spéciale doivent être agréés conformément à l'article 4.8.4 de l'annexe 8-2 de l'article L. 814-1 du code de commerce.

La présente norme simplifiée vise à couvrir les seuls traitements automatisés de cette seconde catégorie.
Elle ne couvre pas la mise en œuvre, par le Conseil national des administrateurs judiciaires et des mandataires judiciaires (le « CNAJMJ »), organe représentant ces professionnels, du portail électronique offrant des services de communication électronique sécurisée en lien avec les activités de ces professionnels en matière de procédures collectives, régi par les dispositions des articles L. 814-2, L. 814-13 et R. 814-58-4 et suivants du code de commerce.

Finalités des traitements.
Seuls peuvent faire l'objet d'un engagement de conformité à la présente décision les traitements mis en œuvre par les professionnels dans le cadre de leurs missions civiles ou commerciales d'administration ou de représentation ès-qualités de personnes physiques ou morales, décidées par le juge.
Ces traitements visent à permettre, en premier lieu, la gestion et le suivi de la représentation juridique, de l'assistance, de la surveillance et du contrôle des personnes placées, par l'autorité judiciaire, sous la responsabilité des administrateurs judiciaires ou mandataires judiciaires.
En second lieu, ces traitements ont pour objet la reddition de compte auprès de toute autorité habilitée à en connaître, en particulier l'autorité judiciaire.

Données traitées.
Conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité précisément poursuivie par le responsable de traitement. Le professionnel doit ainsi être en mesure de justifier du caractère nécessaire des catégories de données à caractère personnel effectivement collectées, notamment au regard des missions qui lui sont confiées par l'autorité judiciaire.
En premier lieu, la commission relève que, dans le cadre de leurs missions de représentation ou d'administration, les professionnels peuvent être amenés à agir pénalement à l'encontre du dirigeant ou des salariés de la personne morale administrée ou représentée ou à défendre les intérêts de cette dernière dans le cadre d'une procédure judiciaire. Dès lors, ces professionnels, auxiliaires de justice au sens des articles 9-2° et 25-I-3° de la loi du 6 janvier 1978 modifiée, sont susceptibles de traiter des données relatives aux infractions, condamnations ou mesures de sûreté, sans autorisation préalable de la commission.
En deuxième lieu, les administrateurs judiciaires et mandataires judiciaires peuvent, à l'instar des employeurs qu'ils représentent ou qu'ils administrent, être chargés de la gestion des salariés, notamment en cas de procédure collective. Les traitements de données à caractère personnel mis en œuvre par ces professionnels peuvent dès lors comporter le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (ci-après numéro de sécurité sociale). La commission considère que le traitement du numéro de sécurité sociale par ces professionnels à des fins de gestion de la paie s'assimile au traitement mis en œuvre par les employeurs représentés ou administrés, autorisé par les dispositions du décret n° 91-1404 du 27 décembre 1991 susvisé.
En troisième lieu, la commission relève que, pour mener à bien leurs missions et établir les rapports d'activité destinés à l'autorité judiciaire, les administrateurs judiciaires et mandataires judiciaires traitent des documents relatifs aux personnes morales ou physiques représentées ou administrées pouvant comporter des données à caractère personnel.
Ainsi, pour atteindre les finalités mentionnées à l'article 2 de la présente norme, un responsable de traitement peut collecter et traiter les données suivantes, y compris sous la forme de pièces justificatives :

1. Dans le cadre d'une procédure collective ou d'un mandat ad hoc, au sens de l'article L. 611-3 du code de commerce :

a) Données relatives au débiteur soumis à la procédure collective ou au bénéficiaire du mandat ad hoc, lorsque ceux-ci sont des personnes physiques :

- identité ;
- situation matrimoniale ;
- nationalité ;
- coordonnées personnelles et professionnelles ;
- activité exercée à la date du jugement qui a ouvert la procédure ;
- extrait d'immatriculation aux registres et répertoires mentionnés aux articles L. 526-7 et R. 631-8 du code de commerce ;
- numéro d'identification, tel que, par exemple, le numéro d'immatriculation au registre des commerces et des sociétés, à l'exception du numéro de sécurité sociale ;
- coordonnées bancaires ;
- situation financière (situation des comptes, montant du chiffre d'affaires, derniers bilans d'exercice, situation de trésorerie, compte de résultat prévisionnel),
- dernières déclarations sociales et fiscales ;
- état chiffré des créances et des dettes ;
- état actif et passif des sûretés ainsi que celui des engagements hors bilan ;
- inventaire sommaire des biens du débiteur ou, si un patrimoine a été affecté à l'activité en difficulté, inventaire des biens affectés à l'exercice de cette activité ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

b) Données relatives aux associés de la personne morale faisant l'objet d'une procédure collective :

- identité ;
- coordonnées personnelles et professionnelles ;
- montant du capital social et sa répartition ;
- registres des procès-verbaux d'assemblée générale et des conseils d'administration.

c) Données relatives aux salariés du débiteur soumis à la procédure collective :

- identité ;
- situation matrimoniale ;
- nationalité ;
- coordonnées personnelles et professionnelles ;
- numéro de sécurité sociale, dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 précité et les délibérations susvisées de la commission en date du 9 décembre 2004 ;
- situation sociale des salariés (contrats de travail, créances salariales, ancienneté) ;
- bulletins de paie ;
- coordonnées bancaires ;
- fonction, pour les représentants du comité d'entreprise ou des délégués du personnel habilités à être entendus par le tribunal ayant ordonné la mesure ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

d) Données relatives aux créanciers :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires.
- informations relatives aux déclarations de créances :
- montant de la créance due au jour du jugement d'ouverture avec indication des sommes à échoir et de la date de leurs échéances ;
- informations sur la nature du privilège ou de la sûreté dont la créance est éventuellement assortie ;
- éléments de nature à prouver l'existence et le montant de la créance si elle ne résulte pas d'un titre ou, à défaut, une évaluation de la créance si son montant n'a pas encore été fixé,
- modalités de calcul des intérêts dont le cours n'est pas arrêté ;
- indication de la juridiction saisie si la créance fait l'objet d'un litige.

e) Données relatives aux contractants :

- identité ;
- coordonnées professionnelles ;
- coordonnées bancaires.

2 Dans le cadre de l'administration provisoire d'une copropriété :

a) Informations relatives à la copropriété pouvant contenir des données à caractère personnel :

- règlements de copropriété et modificatifs éventuels ;
- numéro de digicode de l'immeuble ;
- registres des procès-verbaux des assemblées générales ;
- contrats relatifs à l'entretien de l'immeuble ;
- carnet d'entretien faisant état de la date et de la nature des interventions pour l'entretien de la copropriété ;
- dossiers de mutations de la nature de l'affectation de l'immeuble ;
- diagnostics sur l'état de l'immeuble ;
- dossiers de travaux ;
- dossiers de procédures contentieuses ;
- situation de trésorerie à la fin du mandat ;
- grands livres comptables ;
- état des dépenses ;
- appels de fonds sur les dix dernières années.
- données relatives aux déclarations de créance :
- montant de la créance due au jour du jugement d'ouverture avec indication des sommes à échoir et de la date de leurs échéances ;
- informations sur la nature du privilège ou de la sûreté dont la créance est éventuellement assortie ;
- éléments de nature à prouver l'existence et le montant de la créance si elle ne résulte pas d'un titre (à défaut, une évaluation de la créance si son montant n'a pas encore été fixé) ;
- modalités de calcul des intérêts dont le cours n'est pas arrêté ;
- indication de la juridiction saisie si la créance fait l'objet d'un litige.

b) Données relatives aux copropriétaires :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires ;
- numéros de lots et répartition ;
- le cas échéant, numéro d'identification attribué par le syndic, à l'exclusion du numéro de sécurité sociale ;
- état des dettes et créances (détail du fonds de roulement par copropriétaire, appels de fond, paiement) ;
- diagnostics relatifs aux lots privatifs ;
- contrats d'assurances et dossiers de sinistres ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

c) Données relatives aux salariés de la copropriété :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires ;
- numéro de sécurité sociale, dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 précité et les délibérations susvisées de la commission en date du 9 décembre 2004 ;
- situation sociale (contrats de travail, créances salariales, ancienneté) ;
- bulletins de paie ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

d) Données relatives aux contractants :

- identité ;
- coordonnées professionnelles ;
- coordonnées bancaires ;
- carnet d'entretien faisant état de la date et de la nature des interventions pour l'entretien de la copropriété.

3. Dans le cadre de l'administration provisoire d'une société civile :

a) Informations relatives à la société, pouvant contenir des données à caractère personnel :

- originaux des statuts d'origine et des modifications ;
- actes de cession de parts sociales ;
- procès-verbaux des assemblées générales ;
- titres de propriété ;
- contrats d'assurance des actifs ;
- situation locative ;
- bilans ;
- situation financière ;
- déclarations fiscales ;
- relevés bancaires ;
- dossiers de prêt ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

b) Données relatives aux associés :

- identité ;
- coordonnées personnelles et professionnelles ;
- répartition du capital entre associés ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

c) Dans le cadre de l'administration d'une société civile immobilière (SCI), données relatives aux locataires :

- identité ;
- coordonnées personnelles ou professionnelles ;
- état actualisé du paiement des loyers ;
- coordonnées bancaires ;
- contrats d'assurance souscrits ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

d) Données relatives aux salariés de la société :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires ;
- numéro de sécurité sociale, dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 précité et les délibérations susvisées de la commission en date du 9 décembre 2004 ;
- situation sociale (contrats de travail, créances salariales, ancienneté) ;
- bulletins de paie ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

4. Dans le cadre d'une expropriation :

a) Données relatives au propriétaire exproprié :

- identité ;
- coordonnées.

b) Dans le cadre d'une expropriation pour laquelle le propriétaire exproprié est inconnu, données relatives au généalogiste mandaté aux fins de recherches du propriétaire :

- identité ;
- coordonnées ;
- coordonnées bancaires.

5 Dans le cadre de l'administration provisoire d'une indivision, de la gestion d'une succession ou de la désignation en qualité de séquestre :

a) Documents contenant des données à caractère personnel :

- actes d'état civil ;
- livret de famille ;
- documents d'identité ;
- carnets d'adresse ;
- acte de notoriété ou attestation dévolutive ;
- tableau généalogique ;
- contrats de prestations de services ;
- contrats d'assurances ;
- relevés de situations de caisses retraite/mutuelle ;
- liste des établissements bancaires communiqués par FICOBA ;
- résultat de la consultation du Fichier central des dispositions de dernières volontés (FCDDV) ;
- testament et procès-verbal d'ouverture de testament ;
- déclaration de succession ;
- fiche immeuble/état hypothécaire/titre de propriété ;
- acte de partage ;
- attestation immobilière ;
- convocations et procès-verbal d'assemblée générale ;
- carnet d'entretien d'immeuble ;
- règlements de copropriété et modificatifs ;
- estimations ;
- inventaire, continuation d'inventaire et clôture d'inventaire ;
- relevés de charges et appels de fonds ;
- factures diverses ;
- bordereaux de situation fiscale ;
- conventions d'obsèques ;
- titre de concession cimetière ;
- contrats d'assurance-vie ;
- relevés bancaires ;
- relevés d'arriérages divers ;
- relevés de pension de retraite ;
- relevés de mutuelle ;
- titres de copropriété ;
- correspondances du syndic d'immeuble ;
- cartes grises ;
- déclaration d'impôts ;
- avis d'imposition ;
- factures diverses.

b) Données relatives aux salariés du défunt :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires ;
- numéro de sécurité sociale, dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 précité et les délibérations susvisées de la Commission en date du 9 décembre 2004 ;
- situation sociale (contrats de travail, créances salariales, ancienneté) ;
- bulletins de paie ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

c) Données traitées dans le cadre de l'administration provisoire d'associations :

a. Informations relatives à l'association, pouvant contenir des données à caractère personnel :

- originaux des statuts d'origine et des modifications ;
- procès-verbaux des assemblées générales ;
- titres de propriété ;
- contrats d'assurance des actifs ;
- situation locative ;
- bilans ;
- situation financière ;
- déclarations fiscales ;
- relevés bancaires ;
- dossiers de prêt ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

b. Données relatives aux adhérents :

- identité ;
- coordonnées.

c. Données relatives aux membres du bureau ou du conseil d'administration :

- identité ;
- coordonnées ;
- fonctions ;
- mandats sociaux dont, le cas échéant, le mandat syndical ;
- parcours professionnel.

d. Données relatives aux salariés de l'association :

- identité ;
- coordonnées personnelles et professionnelles ;
- coordonnées bancaires ;
- situation sociale (contrats de travail, créances salariales, ancienneté) ;
- numéro de sécurité sociale, dans les conditions fixées par le décret n° 91-1404 du 27 décembre 1991 précité et les délibérations susvisées de la Commission en date du 9 décembre 2004 ;
- bulletins de paie ;
- le cas échéant, infractions pénales, condamnations, mesures de sûreté et dossiers de procédure dans le cadre de procédures contentieuses.

Durées de conservation des données.
Conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée, les données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
Les données à caractère personnel collectées pour les finalités visées à l'article 2 de la présente décision et les pièces justificatives y afférentes ne doivent ainsi pas être conservées, en base active, au-delà de la durée du mandat de représentation confié au professionnel par décision judiciaire.
A l'issue de cette durée de conservation, les données peuvent être conservées au sein d'une base d'archives intermédiaires, pendant dix ans au maximum et aux seules fins suivantes :

- probatoire, en cas de contentieux, les données pouvant être conservées tant que les délais d'exercice des voies de recours ordinaires et extraordinaires ne sont pas épuisés ;
- probatoire, en cas de contrôle, par des organismes habilités, du respect, par le responsable de traitement, de ses obligations.

Les données ainsi archivées ne peuvent être consultées que de manière ponctuelle et motivée, par les personnels individuellement et dûment habilités, dont les accès doivent faire l'objet d'une traçabilité.
A l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.

Destinataires des données et informations.
Seuls le responsable de traitement et, le cas échéant, les membres habilités de son personnel soumis à une obligation de confidentialité peuvent accéder directement aux traitements régis par la présente décision.
Sont ainsi concernés les administrateurs judiciaires, les mandataires judiciaires ou les personnes désignées hors liste pour ces fonctions, conformément aux articles L. 811-2 et L. 812-2 du code de commerce, ainsi que leurs collaborateurs habilités.
Seuls ces personnels sont habilités à transmettre tout ou partie des données contenues dans les traitements mis en œuvre. Le responsable de traitement doit ainsi, avant chaque transmission des données, opérer un tri parmi ces dernières. Il lui revient, en effet, de veiller à ce que seuls les destinataires dûment habilités se voient transmettre des données et que seules les données strictement nécessaires à l'exercice de leur mission leur soient transmises.
Peuvent ainsi, dans la limite de leurs attributions respectives, être destinataires des données traitées, quelle que soit la mission confiée au professionnel :

- les membres de la juridiction ayant ordonné la mesure ;
- le procureur de la République ;
- les instances de contrôle de l'activité des professionnels prévues par la réglementation en vigueur.

Peuvent également être destinataires des données traitées, dans la limite de leurs attributions respectives et pour les seules données qui leur sont nécessaires :

- Dans le cadre d'une procédure collective ou d'un mandat ad hoc, au sens de l'article L. 611-3 du code du commerce :
- les instances représentatives du personnel : les représentants ou délégués du personnel, les comités d'entreprises et le Comité d'hygiène et de sécurité des conditions de travail ;
- le représentant de l'Ordre pour les professions réglementées ;
- la direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRRECTE) ;
- les candidats repreneurs ;
- le CNAJMJ, aux fins de mise en œuvre du portail électronique régi par les articles L. 814-2, L. 814-13 et R. 814-58-4 et suivants du code de commerce.
- Dans le cadre d'une expropriation, de l'administration d'une indivision ou d'une succession :
- l'autorité judiciaire en charge du dossier d'expropriation ;
- l'autorité expropriante et l'entreprise qu'elle a désignée pour l'opération immobilière ;
- le généalogiste mandaté aux fins de recherches d'un propriétaire exproprié ;
- les indivisaires ;
- les notaires en charge de la succession ;
- les héritiers.
- Dans le cadre de l'administration d'une association :
- la préfecture compétente et le ministère de l'intérieur, dans le cadre de leurs pouvoirs de contrôle prévus par la réglementation en vigueur.
- Dans le cadre de l'administration provisoire d'une copropriété :
- le conseil syndical ;
- les copropriétaires.

Droits des personnes.
Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées sont informées de manière claire et complète de l'identité du responsable du traitement, des finalités poursuivies par les traitements mis en œuvre, du caractère obligatoire ou facultatif de leurs réponses aux questions posées en cas d'utilisation de formulaires, de la durée de conservation des données, des destinataires des données ainsi que des droits dont elles disposent en application des articles 38 à 40 de ladite loi.
L'information des personnes concernées peut intervenir par le biais d'une mention figurant :

- sur les courriers papiers ou électroniques qui leur sont adressés ;
- au sein des conditions générales d'utilisation des espaces personnels pouvant être mis à leur disposition ;
- ou par tout autre moyen que le responsable de traitement jugerait plus adapté.

Les droits d'opposition pour motifs légitimes, d'accès et de rectification des données, prévus par les articles 38 à 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du responsable de traitement.

Politique de confidentialité, de sécurité et de traçabilité des actions.
Le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée de prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement pour les personnes concernées afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y ait accès.
A cet effet, le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par le traitement. Cette politique doit décrire les objectifs de sécurité et les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre. Elle doit être mise à jour régulièrement pour tenir compte des évolutions du contexte et doit également prévoir des moyens permettant à tous ceux devant l'appliquer de la connaître et de la mettre en œuvre.
Les accès aux traitements de données nécessitent une authentification des personnes accédant aux données, au moyen d'un identifiant et d'un mot de passe individuels respectant la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe mise à jour le 22 juin 2017, ou par tout autre moyen d'authentification de même fiabilité ou de fiabilité supérieure.
Les habilitations permettant d'accéder aux données doivent être précisément définies en fonction des besoins réels de chaque utilisateur. Ces habilitations doivent être périodiquement vérifiées et supprimées lorsque les utilisateurs n'ont plus besoin d'accéder aux données.
Les conditions d'administration du système d'information prévoient l'existence de systèmes automatiques de traçabilité (journaux, audits, etc.). Ces systèmes doivent intégrer une journalisation des connexions aux applications et aux postes de travail ainsi qu'une journalisation des opérations de consultation ou de modification des données, incluant un identifiant de la personne à l'origine de l'opération. Ces journaux doivent être conservés pendant six mois, sans préjudice de l'application d'obligations légales spécifiques.
Les opérations de destruction et suppression des données doivent être réalisées de manière sécurisée, soit en détruisant physiquement les supports papier ou informatiques, soit en utilisant des outils d'effacement sécurisés à l'état de l'art.
Les données conservées au format papier doivent faire l'objet de mesures de sécurité physique spécifiques.
Les échanges de données réalisés sur des réseaux publics, notamment tous les échanges réalisés par courriel, doivent être systématiquement chiffrés avec des outils à l'état de l'art afin d'en garantir la confidentialité et l'intégrité.
Les échanges de données réalisés au moyen de supports de stockage amovible, tels que des clés USB ou des disques durs portables, doivent être systématiquement chiffrés avec des outils à l'état de l'art afin d'en garantir la confidentialité et l'intégrité.
Afin de garantir leur effectivité, les opérations de suppression de données doivent être réalisées de façon automatique.

Formalités préalables.
La mise en œuvre des traitements mentionnés aux articles 1er et 2 est subordonnée à l'envoi préalable à la Commission nationale de l'informatique et des libertés, en application du dernier alinéa de l'article 24-I de la loi du 6 janvier 1978 susvisée, d'une déclaration faisant référence à la présente norme simplifiée. Cette déclaration dite de « conformité à une norme simplifiée » peut s'effectuer par téléprocédure sur le site internet de la CNIL.
Les traitements dont les finalités sont celles définies à l'article 2 mais qui ne sont pas conformes aux dispositions de la présente délibération doivent faire l'objet d'une déclaration normale, d'une inscription à la liste des traitements établie par le correspondant à la protection des données à caractère personnel (CIL), si l'organisme en dispose d'un, ou, le cas échéant, d'une demande d'autorisation.
La présente délibération sera publiée au Journal officiel de la République française.