|
Parallèlement, les tribunaux
n'hésitent plus à condamner les entreprises qui
n'auraient pas déclaré un fichier clientèle. De façon
plus surprenante, un licenciement a déjà été jugé
abusif car fondé sur le refus d'un salarié de pointer
ses entrées et sorties au moyen d'un badge
électronique non préalablement déclaré à la CNIL…
Face à ces enjeux, il devient
fondamental pour toute entreprise de s'assurer qu'elle
est en conformité avec la loi " Informatique et
Libertés ". Cette démarche est un facteur de paix
sociale au sein de l'entreprise. Vis-à-vis du
consommateur, respecter la loi est un facteur clé de
transparence donc de confiance.
L'audit juridique est une technique
qui aboutit à la remise par l'auditeur d'un rapport.
Celui-ci identifie les points générateurs de risques
et, à travers des recommandations pratiques, propose
de les convertir en valeur ajoutée. Voici quelques
exemples des questions examinées lors de l'audit d'une
entreprise.
La
nature des données recueillies dans l'entreprise :
la loi distingue les données personnelles anodines
(âge, sexe, adresse) des données sensibles (numéro de
sécu, numéro de carte bleu, informations médicales,
bioéthiques, syndicales, politiques…). Il faut
recenser les données collectées et s'assurer qu'elles
sont bien nécessaires à votre activité.
Les
méthodes de collecte des données : la
loi indique que la méthode de collecte doit être
loyale. Il s'agit de s'assurer aussi bien auprès des
salariés que des clients qu'ils ont connaissance que
des données personnelles peuvent être recueillies,
qu'ils y ont accès et peuvent les rectifier.
L'utilisation réelle des données : il
faut préciser pour chaque catégorie de données à quoi
elles servent, s'il est effectué des recoupements
entre fichiers. Un élément crucial est aussi de
déterminer pour chaque catégorie de données, leur
durée de conservation.
La
sécurisation des données : il faut
identifier qui dans l'entreprise a accès aux données.
Il faut s'assurer qu'il existe au sein de l'entreprise
des moyens techniques permettant d'éviter que des
personnes non autorisées puissent consulter, voire
modifier les données. Le cas échéant, il faut songer à
mettre en place des protections techniques.
La
détermination d'un responsable " Informatique et
Libertés " au sein de l'entreprise : la
CNIL doit avoir un interlocuteur auprès duquel elle
peut venir demander des comptes. A défaut de
délégation, le chef d'entreprise est directement
concerné. L'audit doit poser la question de la
nomination d'un " correspondant à la protection des
données à caractère personnel ". Depuis la loi de
2004, une entreprise peut choisir de confier à une
personne en interne ou à un tiers, le soin du contrôle
du respect de la loi " Informatique et Libertés ".
Cette forme d'autocontrôle dispense, dans la plupart
des cas, des obligations de déclaration des fichiers à
la CNIL. Vis-à-vis des salariés comme des clients,
c'est un message fort de responsabilisation et de
transparence.
Sur la base de cet audit, les
pratiques contraires à la loi peuvent être corrigées.
Quand elles sont nécessaires, les formalités de
déclaration auprès de la CNIL sont alors très faciles.
L'image de l'entreprise est valorisée.
|
