La loi " Informatique et Libertés " du 6 janvier 1978 est encore bien souvent négligée par les PME. Sous l'influence de textes communautaires, l'autorité chargée de veiller au respect de cette loi, la Commission Nationale Informatiques et Libertés (CNIL), s'est vue attribuer de véritables pouvoirs de sanctions (loi du 9 août 2004).

Parallèlement, les tribunaux n'hésitent plus à condamner les entreprises qui n'auraient pas déclaré un fichier clientèle. De façon plus surprenante, un licenciement a déjà été jugé abusif car fondé sur le refus d'un salarié de pointer ses entrées et sorties au moyen d'un badge électronique non préalablement déclaré à la CNIL…

Face à ces enjeux, il devient fondamental pour toute entreprise de s'assurer qu'elle est en conformité avec la loi " Informatique et Libertés ". Cette démarche est un facteur de paix sociale au sein de l'entreprise. Vis-à-vis du consommateur, respecter la loi est un facteur clé de transparence donc de confiance.

L'audit juridique est une technique qui aboutit à la remise par l'auditeur d'un rapport. Celui-ci identifie les points générateurs de risques et, à travers des recommandations pratiques, propose de les convertir en valeur ajoutée. Voici quelques exemples des questions examinées lors de l'audit d'une entreprise.

La nature des données recueillies dans l'entreprise : la loi distingue les données personnelles anodines (âge, sexe, adresse) des données sensibles (numéro de sécu, numéro de carte bleu, informations médicales, bioéthiques, syndicales, politiques…). Il faut recenser les données collectées et s'assurer qu'elles sont bien nécessaires à votre activité.

Les méthodes de collecte des données : la loi indique que la méthode de collecte doit être loyale. Il s'agit de s'assurer aussi bien auprès des salariés que des clients qu'ils ont connaissance que des données personnelles peuvent être recueillies, qu'ils y ont accès et peuvent les rectifier.

L'utilisation réelle des données : il faut préciser pour chaque catégorie de données à quoi elles servent, s'il est effectué des recoupements entre fichiers. Un élément crucial est aussi de déterminer pour chaque catégorie de données, leur durée de conservation.

La sécurisation des données : il faut identifier qui dans l'entreprise a accès aux données. Il faut s'assurer qu'il existe au sein de l'entreprise des moyens techniques permettant d'éviter que des personnes non autorisées puissent consulter, voire modifier les données. Le cas échéant, il faut songer à mettre en place des protections techniques.

La détermination d'un responsable " Informatique et Libertés " au sein de l'entreprise : la CNIL doit avoir un interlocuteur auprès duquel elle peut venir demander des comptes. A défaut de délégation, le chef d'entreprise est directement concerné. L'audit doit poser la question de la nomination d'un " correspondant à la protection des données à caractère personnel ". Depuis la loi de 2004, une entreprise peut choisir de confier à une personne en interne ou à un tiers, le soin du contrôle du respect de la loi " Informatique et Libertés ". Cette forme d'autocontrôle dispense, dans la plupart des cas, des obligations de déclaration des fichiers à la CNIL. Vis-à-vis des salariés comme des clients, c'est un message fort de responsabilisation et de transparence.

Sur la base de cet audit, les pratiques contraires à la loi peuvent être corrigées. Quand elles sont nécessaires, les formalités de déclaration auprès de la CNIL sont alors très faciles. L'image de l'entreprise est valorisée.

Par Maître Bernard LAMON, avocat à la cour, 
Spécialiste en droit de l'informatique et des télécommunications

Par Eric LE QUELLNEC, avocat à la cour

Cabinet BOUESSEL DU BOURG, CRESSARD, ERMENEUX, LAMON, LE GOFF
Site : www.avoquai.com

Liste des thèmes          Liste des articles "Droit et Internet"

Retour haut de page