L’obligation d’assurer la sécurité des données

Les entreprises disposent de multiples fichiers comprenant des données privées des salariés ou des clients.
La loi du 6 janvier 1978 dite « Loi informatique et libertés » a doté la CNIL (Commission Nationale de l’Informatique et des Libertés) de nombreux pouvoirs concernant les nouvelles technologies et les données privées. C’est elle qui peut contraindre ou condamner les entreprises disposant d’un fichier contraire aux dispositions légales.
Hormis l’obligation légale d’assurer la sécurité des données, il s’agit davantage d’une obligation morale de confiance pour les clients et les employés de ne pas voir leurs données personnelles étalées sur la place publique.

I. La loi informatique et libertés

Article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Les entreprises privées comme publiques détenant des données à caractère personnel (DCP) sont tenues d’une obligation d’assurer la sécurité des données.
L’article 34 de la loi susnommée dispose ainsi qu’elles sont tenues de prendre toutes précautions utiles pour préserver la sécurité des données, et notamment empêcher que des tiers non autorisés y aient accès.

L’accès aux données est en effet réservé uniquement aux personnes désignées – hors le cas des tiers détenant une autorisation spéciale d’accès aux données, tels que les services des impôts, police, justice…

La CNIL a publié plusieurs guides thématiques sur le sujet.
Un guide de 2012 (« Gérer les risques sur les libertés et la vie privée ») permet aux entreprises d’observer les risques pesant sur les données à caractère privé, afin de percevoir l’impact de l’atteinte des données privées sur la vie privée des gens (risque d’usurpation d’identité possible ou non).

Un guide de 2010 (« La sécurité des données personnelles ») permet quant à lui de résoudre en amont les potentiels risques pesant sur ces données à caractère privé.
La CNIL préconise ainsi par exemple la remise d’un identifiant unique pour chaque utilisateur, avec un mot de passe changeant tous les 3 mois – mot de passe comprenant des majuscules, des chiffres…
De même, les postes de travail devraient être sécurisés, comme la limitation du nombre de tentatives d’accès à un compte, ou encore l’installation d’un pare-feu.
Enfin, lorsqu’il est fait appel à des sociétés tierces gérant le système d’information, la CNIL recommande d’avoir recours au chiffrement des données, qu’il s’agisse de stocker des informations ou de les transmettre.


Décision CNIL n°2013-139 du 30 mai 2013
.
La société PS Consulting avait, en l’espèce, installé un dispositif de vidéosurveillance.
Un salarié avait été placé sous surveillance constante sans justification de la part de l’entreprise.
La société a été condamnée par la CNIL pour manquement à l’obligation de proportionnalité du dispositif, et pour manquement à l’obligation d’informer les salariés de cette vidéosurveillance.
Le régime de la vidéosurveillance est en effet fortement contrôlé par la CNIL et les tribunaux, qui n’hésitent pas à condamner les sociétés y ayant recours, ne respectant pas les exigences légales et licenciant sur ces fondements.

La CNIL, tandis qu’elle examinait la légalité du dispositif de vidéosurveillance, a tenu à évoquer la question de l’obligation de sécurisation des données.
Elle relève que les mots de passe utilisés au sein de la société pour permettre l’accès aux ordinateurs et aux données à caractère personnel étaient pour la plupart composés de 5 caractères seulement.
De surcroît, pour certains salariés, le mot de passe correspondait à leur prénom ou nom de famille, et avait été inchangé depuis 2011.

La CNIL estime ainsi que ces éléments ne permettent pas d’assurer une sécurité suffisante aux données à caractère personnel en raison de « la brièveté des mots de passe, leur déductibilité, leur simplicité et l’absence de renouvellement » qui font encourir un risque certain aux données.
Enfin, la société n’a pas procédé à la mise en place d’une politique de sécurité et n’a pas réalisé certaines opérations simples de sécurisation de ses outils informatiques, alors que la CNIL le lui avait enjoint par mise en demeure.
Elle condamne donc la société pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel à une amende pécuniaire de 10.000€.


II. L’avenir de la législation concernant l’obligation de sécurisation des données à caractère personnel

Un projet de règlement européen sur la protection des données personnelles, aussi appelé « Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) », a été divulgué le 25 janvier 2012.

Toujours en cours de discussion depuis que les ministres de la justice des États membres de l’UE ont rejeté le projet le 6 juin 2013, le projet prévoit des protections similaires concernant les données à caractère personnel. (*)

Son article 30 disposait par exemple que le responsable du traitement doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir (…) un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données ».
Le responsable du traitement doit prendre les mesures nécessaires pour « protéger les données à caractère personnel (…) et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l’accès non autorisés, ou l’altération de données à caractère personnel ».

Préalablement, une analyse d’impact sera nécessaire pour établir le niveau requis de sécurisation des données (article 33 du projet).
Ce serait un délégué à la protection des données qui remplacerait le Correspondant informatique et libertés (CIL) dans le secteur public et dans le secteur privé pour les grandes entreprises qui veillerait à ce que le traitement de données ne soit pas contraire aux dispositions légales.
Enfin, une obligation de notification des violations de données par les entreprises dans les 24h à la CNIL est également prévue par le projet.

Ainsi, le projet de règlement européen ne semble pas modifier réellement l’obligation de sécurisation des données, seul le fondement juridique serait modifié en pratique. 

Publicités
Cet article, publié dans Droit des nouvelles technologies, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s