Tout savoir sur la loi informatique et libertés

Adresse : http://www.bestofmicro.com/entreprise/actualite/test/244-1-loi-informatique-liberte.html
Publiée le : 14 novembre 2007 à 17:50 par La rédaction

Des obligations à respecter quel que soit le statut de l'entreprise

loi informatique liberté entrepriseMême si les simplifications en matière de déclarations sont nombreuses, les obligations des dirigeants en la matière sont renforcées et les sanctions sont sévères. Le point avec Thierry Gaufryau, spécialiste en Informatique et Libertés pour le Cabinet Le Correspondant.

Les principales obligations

Tout traitement automatisé de données à caractère personnel doit faire l’objet, avant sa mise en œuvre :

Les finalités du traitement doivent être parfaitement définies, ainsi que les données recueillies, les destinataires de ces données, la durée de conservation de ces données.

Les personnes auprès desquelles sont recueillies les données doivent être informées de ces traitements (et de leurs caractéristiques), ainsi que de l’existence et des modalités d’exercice de leurs droits d’accès, de rectification, de suppression des données les concernant. Ces déclarations et/ou demandes d’autorisation doivent être effectuées auprès de la CNIL avant leur mise en service.

Toutefois, si vous n’avez pas effectué ces démarches auparavant, rien ne vous empêche de vous en occuper le plus rapidement possible. Il n’est jamais trop tard !

Des sanctions dissuasives

Suite à la parution de la loi, les sanctions possibles ont été étendues. Outre les sanctions financières que peut infliger la CNIL (bien peu fréquentes, par manque de moyens de contrôle), nous trouvons des sanctions pénales bien plus lourdes (jusqu’à 5 ans de prison et 300.000 € d’amende pour les manquements à la Loi). Le défaut d’information des personnes est également puni d’une contravention de 5° classe (pouvant aller jusqu’à 1.500 € d’amende). Mais il y a plus important « toute preuve issue d’un traitement de données non déclaré est irrecevable devant un tribunal ». Un bon avocat sait se servir de ces failles !

1. Mise en place des procédures CNIL

Auditer au préalable

Un audit préalable de la structure et des traitements de données doit être envisagé avant toute mise en action des procédures de déclaration ou d’autorisation. Celui-ci permettra tout d’abord de catégoriser les traitements (déclarations normales, conformité à une norme simplifiée, autorisations, dispenses). Il faudra ensuite définir la qualité des données recueillies : données« sans risque » ou données « sensibles» (origine raciale, données génétique sou de santé, appartenance religieuse, infractions, numéro de sécurité sociale….). Vous devrez définir la durée de conservation des données traitées (une durée « raisonnable doit être envisagée au-delà des obligations légales).

Il faudra enfin savoir si des données sont retransmises vers des pays ne disposant pas d’une protection suffisante.

Effectuer les formalités

Une fois l’audit effectué, il vous faudra procéder aux formalités d’usage. Celles-ci peuvent se faire en ligne sur le site de la CNILCommission Nationale de l’Informatique et des Libertés. Autorité administrative chargée de garantir la protection des informations relatives à la vie ... (conformité à une norme simplifiée, déclaration normale), d’autres nécessitent le téléchargement d’un formulaire spécifique à adresser à la CNIL (demandes d’autorisations, par exemple).

Une fois ces formalités accomplies, et après avoir informé les personnes de leurs droits, le responsable des traitements peut mettre ceux-ci en œuvre. Il est impératif de garder toujours à l’esprit que les traitements de données ne concernent pas uniquement les sites web, mais également toute l’activité interne de l’entreprise.

2. Les obligations légales

Mettre à jour, informer, former

Vous devez penser à mettre à jour vos déclarations normales et/ou autorisations dès que leurs caractéristiques changent : finalités, données recueillies, destinataires des données, durée de conservation. Également, les personnes auprès desquelles sont recueillies les données doivent être informées de leurs droits. Pensez aussi à informer vos salariés (panneaux d’affichage, intranet, note de service). Vous devez également renseigner vos sous-traitants ainsi que les tiers avec lesquels vous avez des relations commerciales de votre politique de protection des données. Enfin, il est utile de former certains de vos salariés aux conséquences des manquements à leurs obligations en matière de protection des données. En particulier, le détournement de finalité et la transmission de données à des tiers non autorisés sont les infractions les plus constatées aujourd’hui.

Le correspondant informatique et libertés

Afin de simplifier les formalités déclaratives des entreprises, la Loi Informatique et Libertés permet à celles-ci la nomination d’un correspondant informatique et libertés, ou CIL. Celui-ci, dans le cas de TPE ou PME, peut être interne à l’entreprise ou externe à celle-ci. Le CIL aura pour principale mission (il ne reçoit aucun ordre pour celle-ci) de dédouaner la structure de ses obligations déclaratives envers la CNILCommission Nationale de l’Informatique et des Libertés. Autorité administrative chargée de garantir la protection des informations relatives à la vie .... Il sera chargé notamment de créer et tenir à jour le registre des traitements de données soumis à déclaration, d’informer les personnes de leurs droits, de diffuser la culture informatique et libertés... Jusqu’à présent, environ 1600 sociétés françaises ont procédé à la nomination d’un CIL, pour environ 700 CIL déclarés (certaines sociétés ont nommé les mêmes CIL externes). Un dossier complet sera réalisé sur cette fonction peu connue, et pourtant très répandue chez certains de nos voisins Européens.

3. Quels avantages et quelles contraintes ?

Les plus

Respecter vos obligations : les déclarations de traitements de données et/ou demandes d’autorisation résultent d’une obligation légale. Même si vous n’avez jamais déclaré, il n’est jamais trop tard pour le faire.

Eviter les sanctions : ces sanctions pénales sont lourdes, et les plaintes peuvent provenir de sources multiples : clients, salariés, concurrents...

Rassurer son environnement : votre politique de protection des données et de transparence rassurera toutes les composantes de votre structure : salariés, clients, fournisseurs...

Augmenter sa crédibilité, gagner des parts de marché : une étude marketing réalisée par Stéphane Degor a montré qu’une politique de protection des données permettait d’augmenter son potentiel prospects-clients-vente de 20% Faites donc de votre politique de protection des données un élément marketing.

Les moins

Solution interne : elle ne vous coûtera que du temps et beaucoup de volonté. Solution externe : d’une centaine à plusieurs centaines d’euros. Ce coût dépend :

  • de la complexité de votre dossier et du nombre de traitements à déclarer.
  • de la structure choisie pour effectuer le travail. N’hésitez pas à faire établir un devis.

4. Les règles d'or de la mise en oeuvre

Ces deux procédures concernent les traitements déjà mis en œuvre mais non conformes car non déclarés, ainsi que les traitements de données à venir.

Traitements non déclarés au préalable, et mis en œuvre :

  • 1. Évaluer les besoins : recenser TOUS les traitements de données présents dans la structure (pré-audit).
  • 2. Choisir une solution adaptée à votre budget :
    - Faire les déclarations et demandes d’autorisations en interne ;
    - Faire appel à un prestataire externe ;
    - Nommer un CIL interne ou externe (dans le cas de nombreuses déclarations).
  • 3. Procéder à l’audit : cet audit doit être le plus complet possible, pour permettre de catégoriser les traitements et éviter les redondances.
  • 4. Procéder aux déclarations et/ou demandes d’autorisation.
  • 5. Informer les personnes des caractéristiques des traitements de leurs données et de leurs droits.
  • 6. Procéder régulièrement aux mises à jour.

Traitements non mis en œuvre :

5. Témoignage

Gaëtan Monti , Gérant de Micrologiciel, entreprise de création de sites Internet et e-commerce à Montfermeil (93)

"Sur le net, la conformité CNIL est une nécessité"

« En tant qu’acteur du Net (MicrologicielMicrologiciel. Logiciel qui est présent sur une puce d’un composant matériel (carte mère, périphérique, téléphone, appareil photo, etc.) et qui en org... est spécialisé dans la création de sites vitrines et de sites e-commerce pour TPE-PME), nous sommes forcément sensibles à la notion de collecte et de traitement des données recueillies par voie électronique. Nous sommes même doublement concernés, puisque nous gérons à la fois nos données clients et prospects, mais aussi celles recueillies par nos clients via leurs sites Internet. C’est pourquoi nous avons opté pour la formation d’un correspondant CNILCommission Nationale de l’Informatique et des Libertés. Autorité administrative chargée de garantir la protection des informations relatives à la vie ... au sein de l’entreprise, tant pour sensibiliser l’ensemble de nos collaborateurs, que pour informer nos clients qui, comme beaucoup d’entreprises, méconnaissent la législation en la matière. Nous venons d’ailleurs d’intégrer un module « conformité » sur l’ensemble des sites hébergés sur notre plate-forme, afin que l’activité Internet de tous nos clients soit en conformité avec la CNIL. »

Tom's Guide - http://www.tomsguide.com