Sécuriser son portefeuille de données personnelles
Exploiter des informations personnelles impose de respecter des règles strictes contrôlées par la Cnil. Sous peine de lourdes sanctions.
Je m'abonneSommaire du dossier
-
Fichiers clients et bases de données
- Vocabulaire de la base de données et de la gestion de fichiers clients
- Constituer une base de données
- Qualifier et enrichir sa base de données
- Analyser les données
- Les spécificités du B to B
- Gérer sa BDD
- Les métiers de la gestion de fichiers et BDD
- Juridique
- Bibliographie
Corinna Hovnanian, avocat associé
Antoine Le Brun, avocat Fidal, Département Concurrence Distribution Technologies de l'Information.
Toute entreprise qui collecte ou reçoit des données personnelles, qu'il s'agisse d'informations sur ses clients, ses fournisseurs ou ses salariés, doit se soumettre aux obligations de la loi du 6 janvier 1978, dite «Loi informatique et libertés», modifiée par la loi du 6 août 2004, et à son décret d'application du 20 octobre 2005, récemment modifié par le décret du 25 mars 2007. Le non-respect des dispositions est sanctionné pénalement et la Commission nationale informatique et libertés (Cnil) peut prononcer des sanctions pécuniaires.
Une donnée personnelle est une information relative à une personne physique identifiée ou qui peut être identifiée par référence à un numéro d identification ou a un ou plusieurs éléments qui lui sont propres (nom, e-mail, numéro de téléphone...). Les collectes de données personnelles (relations financières, horaires, habitudes de travail ou de consommation...) étant quotidiennes, les obligations de la loi trouvent dès lors fréquemment à s'appliquer. Le domaine d'application est très large et couvre notamment la prospection commerciale directe effectuée par mailing électronique, par voie postale ou encore par «phoning».
La Loi informatique et libertés interdit de recueillir et de traiter certaines données sensibles (origine raciale, opinions politiques, philosophiques ou religieuses, appartenance syndicale, santé et vie sexuelle), sauf exceptions. Ce texte pose aussi un principe de transparence et de consentement de la personne concernée. Une autorisation préalable de la Cnil n'est exigée que dans quelques cas exceptionnels.
Pour assurer ce principe, la loi impose à la personne qui collecte des données de décrire son projet de traitement dans une déclaration à la Cnil, et de respecter cette description. Il faut également informer la personne concernée du traitement, de ses droits d'accès, de rectification et d'opposition. Toute collecte déloyale est punissable. Des obligations accessoires complètent ce dispositif, telles que l'obligation d'assurer la confidentialité et la sécurité des données, notamment en cas de sous-traitement.
«Il est indispensable d'analyser la nature des traitements qui sont mis en oeuvre.»
Comment déclarer?
Deux types de déclarations sont prévus par la loi. La première, appelée «déclaration simplifiée», comporte l'engagement de se conformer à une description établie par la Cnil dans une «norme simplifiée». Ce régime s'applique aux catégories les plus courantes de traitements de données à caractère personnel, dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés. Cette méthode ne peut être utilisée que si le traitement mis en oeuvre est parfaitement conforme à la description présentée dans la norme simplifiée.
Lorsqu'un projet de traitement ne correspond pas en tous points à une norme simplifiée, l'entreprise doit compléter un formulaire de déclaration ordinaire. Cette dernière s'applique pour les traitements qui peuvent porter atteinte à la vie privée. Rappelons que les traitements doivent être déclarés préalablement à leur mise en oeuvre. L'exploitation d'un traitement de données personnelles non déclaré peut être sanctionnée par une amende de 300000 euros, voire par une peine d'emprisonnement de cinq ans maximum.
La personne physique qui crée un traitement devra le déclarer personnellement auprès de la Cnil. S'il s'agit d'une personne morale, c'est le responsable de la mise en oeuvre du traitement qui s'en chargera, par exemple le gérant pour une société à responsabilité limitée.
Enfin, certains traitements sont dispensés de toute formalité déclarative en vertu d'une décision expresse de la Cnil ou en cas de désignation d'un correspondant Informatique et Libertés dans l'entreprise.
Compte tenu de ces exigences et sanctions applicables, analyser la nature des traitements est essentiel:
- identifier les données personnelles traitées par l'entreprise, les traitements et cessions de fichiers,
- réfléchir à l'opportunité de désigner un correspondant Informatique et libertés,
- mettre en place des procédures de réponse aux demandes d'accès et de rectification ainsi que des procédures de validation de tout document qui collecte des données personnelles.
