TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

Protection des données à caractère personnel… Dirigeants, ce que vous devez savoir

L’exploitation des données à caractère personnel est un sujet aussi complexe que sensible. Il devient impératif pour les entreprises de prendre toute la mesure de la loi Informatique et Libertés, et des risques encourus. En 2013, plus de 6000 plaintes ont été déposées à l’encontre des entreprises et des collectivités publiques. Et ce n’est qu’un début, d’autant que les plaintes sont maintenant déposables en ligne. Marc Lienhardt, Correspondant Informatique et Libertés (CIL), fait le point avec nous sur ce que les dirigeants doivent savoir. Il a d’ailleurs récemment mis en place une Lettre d’Information ACTU DCP qui présente régulièrement ce qu’il faut retenir de l’actualité de la protection des données à caractère personnel. Pour être destinataire de la Lettre d’Information publiée par Marc Lienhardt, merci d’en faire la demande par mail à contact@cnil-conseil.fr

Saviez-vous que…?

« Pour toute information qui permet d’identifier une personne directement – prénom, nom… – ou indirectement – plaque d’immatriculation, numéro de sécurité sociale … – , une vérification de conformité, une autorisation ou des formalités auprès de la CNIL sont obligatoires ! » nous explique Marc Lienhardt. C’est la loi Informatique et Libertés qui l’impose à toute organisation, qu’elle soit publique, privée, même associative. Cette loi a pour but de protéger tous les français face au nombre croissant de traitements de données à caractère personnel. Elle définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle s’applique dès lors qu’il existe un traitement automatisé, ou manuel, contenant des informations personnelles relatives à des personnes physiques. Pour Marc Lienhardt, « les contours de la loi Informatique et Libertés sont encore mal connus ; pourtant les risques encourus sont importants. »

Quels sont les risques en cas de manquement à la loi ?

Ils peuvent prendre différentes formes et concernent toutes les entreprises, quelle que soit leur taille :

  • Sanctions financières L’entreprise risque une amende si son manquement à la loi est avéré ; si les règles de confidentialité et de sécurité établies ne sont pas suffisantes ; si l’exploitation des données à caractère personnel recueillies n’est pas justifiée. Et ces manquements à la loi concernent aussi bien les TPE que les PME, ETI ou grandes entreprises !
  • Risques Prud’homaux En cas de licenciements d’un salarié, si les informations appuyant ou venant justifier le licenciement n’ont pas été recueillies dans le cadre légal -par exemple via un système de contrôle d’accès, un GPS, une carte de paiement qui n’auraient pas été déclarées comme outil de contrôle -, elles ne seront pas recevables.
  • Problématiques d’investissement Prenons l’exemple de la vidéosurveillance. Si une entreprise décide de mettre en place un tel dispositif, il est de son devoir de le déclarer préalablement auprès de la CNIL au risque d’être contraint de le désinstaller. « L’investissement devient alors nul, voire coûteux. »  explique Marc Lienhardt ajoutant que « la CNIL peut également juger que le dispositif est démesuré au regard de son utilité ou de la taille de l’entreprise, et demander sa suppression ou son allégement. »
  • Impact sur l’image Il faut savoir que la CNIL peut publier ses sanctions publiquement depuis mars 2011. Pour exemple, elle a récemment annoncé avoir sanctionné une enseigne de la Grande Distribution sur Bourg-en-Bresse en lui demandant de retirer une partie de son système de vidéosurveillance, jugeant celui-ci démesuré. « Sans compter que les relations sociales au sein de l’entreprise peuvent aussi être impactées lorsque les plaintes viennent des salariés. »
  • Risque patrimonial Toute entreprise, petite ou grande, détient un patrimoine d’informations à caractère personnel. « Prenons le cas d’un rachat d’entreprise : si le repreneur s’aperçoit que le patrimoine informationnel constitué par l’ancien dirigeant n’est pas conforme à la loi et qu’il ne peut donc pas l’utiliser comme prévu, les garanties liées à la cession de l’entreprise peuvent être mises en jeu. »

Comment respecter la loi ?

« Il faut avant tout la comprendre pour pouvoir l’appliquer ; cela nécessite une formation initiale ainsi qu’une veille juridique et technique permanente. C’est là que j’interviens. » explique M. Lienhardt. Dans tous les cas, l’entreprise doit : > soit déclarer les traitements des données en sa possession auprès de la CNIL > soit nommer un Correspondant Informatique et Libertés ou CIL, qui sera rattaché à la Direction Générale de l’entreprise et sera le guide de celle-ci au regard de ses obligations. Le CIL peut être externe à l’entreprise ou en faire partie, mais il doit pouvoir travailler en totale indépendance. Il permet notamment :

  • d’alléger les formalités en termes de déclaration,
  • d’assurer la meilleure efficacité possible dans la mise en œuvre de systèmes de traitement des données personnelles,
  • de s’assurer que l’informatique de l’organisation se développe sans danger pour les droits des prospects, clients et salariés,
  • de faire valoir un engagement éthique et citoyen,
  • de contribuer à l’amélioration du climat social,
  • de contribuer à la réalisation ou à la mise à jour de la charte informatique (d’autant plus important face à l’explosion du BYOD et du télétravail).

Pas d’exception !

Le 3 janvier dernier, la CNIL a prononcé une sanction pécuniaire de 150 000 € à l’encontre de Google car elle estime que « les règles de confidentialité mises en œuvre depuis le 1er mars 2012 ne sont pas conformes à la loi Informatique et Libertés». Mais il ne faut pas croire que la CNIL ne s’intéresse qu’aux grosses entreprises, « la plus petite entreprise sanctionnée à ce jour ne comprenait que 8 salariés… » Un projet européen est également en cours d’élaboration. Il prévoit la nomination obligatoire d’un CIL pour les entreprises de plus de 250 salariés et toutes les collectivités publiques. Il prévoit également un alourdissement des sanctions qui pourraient aller jusqu’à 2% du chiffre d’affaires mondial. Ce projet devrait être bouclé d’ici fin 2014/2015.

En savoir plus sur Marc Lienhardt Marc Lienhardt a travaillé pendant plus de 30 ans dans le secteur informatique. Il a créé en 1992 sa propre entreprise spécialisée dans la mise en œuvre et la gestion des réseaux locaux et étendus d’entreprises et d’administrations, entreprise (5 agences sur un grand quart Nord Est de la France) cédée en 2010. Il a ensuite suivi au sein de la CNIL le cursus de formation de Correspondant Informatique et Liberté, et met désormais toute son expérience au service des entreprises en tant que CIL externe. Son objectif : faire prendre conscience aux organisations les multiples risques qu’elles encourent lorsqu’elles ne sont pas en conformité avec la loi Informatique et Libertés.