Les obligations des entreprises en matière de protection de données

Toutes les entreprises sont-elles concernées par cette loi « informatique et libertés » ?

Oui car toutes les entreprises gèrent des données à caractère personnel. A commencer par les services RH qui détiennent de nombreuses informations sur les collaborateurs, les services commerciaux avec les fichiers "clients", l'informatique avec les logs de connexion aux applications...

Qu’entend-on d’ailleurs par données personnelles ?

Ce sont toutes les données qui permettent d’identifier, directement ou indirectement, une personne physique : nom, prénom, numéro de téléphone, photo, données biométriques, adresse IP, numéro de compte bancaire, etc.

Quelles sont les obligations des entreprises en matière de protection de données personnelles ? Quelles démarches effectuer ?

En tant que responsable des traitements, l'entreprise doit veiller à ce que ces derniers soient déclarés auprès de la CNIL – Commission Nationale de l’Informatique et des Libertés - ou portés au registre du Correspondant Informatique et Libertés (CIL), si l'entreprise en a désigné un. Les formulaires de déclaration sont disponibles sur le site de la CNIL.

Tout traitement de données à caractère personnel doit respecter ces règles :

• La finalité du traitement doit être déterminée et légitime (l'objectif doit être clair)
• La nature des données traitées : pertinentes par rapport à la finalité, pas de collecte de données sensibles comme l’origine ethnique, les opinions politiques, la religion, la santé, etc. sauf exception
• La conservation des données : durée limitée au temps nécessaire pour réaliser l’objectif.
• Les destinataires des données : ils doivent être légitimes et clairement identifiés.
• La sécurisation des données : le responsable de traitement doit veiller au respect de la sécurité, de l’intégrité et de la confidentialité des données collectées, y compris lorsqu'il fait appel à un sous-traitant. Attention au stockage de données hors Europe ou dans le Cloud : tous les pays ne sont pas considérés comme "conformes" au sens de la loi Informatique et Libertés et les entreprises américaines ne peuvent plus se prévaloir du Safe Harbor, invalidé depuis octobre 2015 (voir dossiers de la CNIL à ce sujet).
• Le respect des droits des personnes : l'entreprise doit informer les personnes de l'utilisation qui sera faite de leurs données au moment de leur collecte, permettre à ces personnes d'accéder à leurs données, de les faire rectifier ou de s'opposer à leur utilisation.

Pour les campagnes d'e-mailing par exemple, n’oubliez pas d’offrir aux destinataires la possibilité de se désabonner de votre liste de diffusion.

Ces dispositions seront renforcées en 2018 lors de l'application du règlement européen à la protection des données à caractère personnel.

Pouvez-vous nous en dire plus sur le nouveau règlement européen relatif à la protection de données ?

Ce nouveau règlement européen renforce les droits des personnes physiques (droit à l'oubli numérique, à la portabilité des données, à une information plus complète lors de la collecte de données, droit d'opposition…) et les obligations des personnes qui effectuent le traitement des données, qu'elles soient "responsables" ou sous-traitants (principe d'accountability, pour être en mesure de démontrer que le traitement est conforme au règlement, co-responsabilité, analyse d'impact du traitement sur la vie privée des personnes, obligations de sécurité renforcées, avec notification des violations de données auprès de la CNIL et des personnes concernées s'i y a un risque pour leur vie privée ...). Les pouvoirs publics et les entreprises qui effectuent des traitements de données présentant des risques devront désigner un délégué à la protection des données (DPO) : le CIL en France.

Si un consommateur souhaite exercer son droit d’accès, comment réagir ?

Il y a une procédure à mettre en place en interne afin de pouvoir répondre dans un délai de 2 mois au consommateur. Cette réponse doit être claire et complète sur l’ensemble des données à caractère personnel collectée par l'entreprise.

Que risque une entreprise qui ne remplit pas ses obligations ?

La CNIL peut effectuer des contrôles en ligne : seront vérifiées la présence d’un bandeau d’information sur les cookies, la conformité des mentions légales, des mentions d'information sur les formulaires collectant des données… Des contrôles peuvent être faits sur place également en cas de plainte. L’entreprise peut ainsi être mise en demeure pour manquement à ses obligations, et la CNIL peut rendre publique sa décision… impactant ainsi l'image de marque de l’entreprise ! Si l'entreprise n'entreprend pas les actions correctrices, elle pourra recevoir un avertissement (sanction),  voire une amende. A partir de 2018, cette dernière pourra représenter jusqu’à 4% du CA mondial de l’entreprise... La responsabilité pénale du chef d’entreprise peut également être engagée.

L’entreprise est-elle obligée de désigner un CIL ?

L'entreprise qui désigne un CIL s'engage dans une démarche d'autorégulation et de mise en conformité. Selon l’importance de la donnée personnelle dans le métier de l’entreprise, la mission du CIL peut être soit confiée à un collaborateur en plus de sa mission habituelle (services informatiques, juridiques ou qualité), soit délégué à une personne à part entière au sein de l’entreprise, soit mutualisée avec d’autres structures. Quelle que soit sa responsabilité hiérarchique dans la société pour ses autres missions, ses interventions en tant que CIL se font directement sous la responsabilité du dirigeant, pour une application directe de sa politique.

Dans la Drôme, 129 entreprises et organismes ont désigné un CIL (ils sont 16 000 environ en France).

Quel est le rôle du CIL ?

Il informe et conseille le responsable des traitements sur les obligations qui lui incombent en vertu de la règlementation, il contrôle la conformité des traitements mis en œuvre. Il a un rôle de sensibilisation primordial auprès des collaborateurs et accompagne les équipes opérationnelles en amont et dans la réalisation des projets impliquant un traitement de données (Gestion de la Relation Clients, Gestion de la Formation, transfert de données dans le cadre de partenariats, vente de produits dématérialisés…). Il travaille en interaction avec les services informatique, juridique, qualité, marketing… Le CIL peut s’appuyer sur les réseaux de correspondants existants : AFCDP (regroupe des CIL de tous horizons), le réseau SUPCIL (regroupe les CIL de l’enseignement supérieur et des écoles de commerce), le Club CIL Apronet (regroupe les CIL des collectivités territoriales et les RSSI), ainsi que le service des correspondants de la CNIL.