library_books Articles menu_book Ouvrages event Événements collections_bookmark Collections info A propos search login
tune Recherche avancée
article Articles book Ouvrages event Événements collections_bookmark Collections info À propos favorite Nous soutenir
tune Recherche avancée login
Pratique d'entreprise et conformité à la loi « informatique et libertés »
01 Mai 2009
Par Guillaume Desgens-Pasanau
Collections liées
folder Lettres Présaje folder Révolution Numérique: Enjeux et Perspectives
Non catégorisé
Quelles sont les implications de la loi informatique et libertés pour les entreprises, en particulier les modifications apportées par la réforme de 2004? Guillaume Desgens-Pasanau répond, mettant en lumière l'importance de la conformité pour les dirigeants d'entreprise, les risques encourus en cas de non-conformité et les étapes clés pour mettre en place une action de conformité.

La loi de réforme du 6 août 2004 a profondément modifié le cadre juridique applicable aux bases de données mises en œuvre au sein des entreprises, lorsque celles-ci comportent des données à caractère personnel. Pour mémoire, la loi informatique et libertés pose certains principes de protection des personnes physiques, lorsque des informations qui les concernent sont enregistrées dans des fichiers.

Dans ce contexte, il appartient aujourd'hui à tout dirigeant d'entreprise de prendre la mesure de cette réforme et d'engager, lorsque cela s'avère nécessaire, une large action de mise en conformité à la réglementation. Et ce, pour deux raisons :

  • le champ d'application de la loi informatique et libertés est aujourd'hui tellement large qu'il embrasse l'ensemble des activités de l'entreprise. Qu'il s'agisse de bases de données relatives à la clientèle, aux prospects ou aux salariés, du simple fichier de gestion à la prospection commerciale en passant par la lutte contre la fraude. Toutes ces bases, pour être régulièrement mises en œuvre, doivent être conformes à la loi du 6 août 2004.

  • les risques encourus par le dirigeant en cas de non conformité sont désormais particulièrement conséquents : outre le fait que celui-ci est susceptible d'engager sa responsabilité pénale, il peut également encourir des sanctions administratives, amendes ou interdiction d'utiliser un fichier, prononcées directement par la CNIL, autorité indépendante de contrôle en la matière. Au delà, le risque de non conformité peut se traduire par un risque d'image et de préjudice commercial, lorsque, par exemple, des clients apprennent dans la presse que leur entreprise n'a pas respecté certaines règles élémentaires de confidentialité ou de respect de la vie privée.

Dans son rapport annuel pour 2008, à paraître le 13 mai 2009, la CNIL fait état de la politique volontariste qu'elle a mise en œuvre depuis 2004 en matière de perquisitions sur place. Elle dresse également un bilan des nombreuses mises en demeure ou sanctions qu'elle a prononcées en 2008 à l'encontre d'entreprises ou d'administrations.

Au delà, il convient de relever que la réglementation informatique et libertés, aujourd'hui harmonisée au niveau européen, est d'une particulière complexité. Celle-ci définit à la fois les droits dont bénéficient les personnes fichées, ainsi que les obligations, de procédure ou de fond, à la charge du maitre du fichier, c'est-à-dire du dirigeant.

A titre d'exemple, on peut mentionner les nouveaux régimes de déclarations, autorisations et autres dispenses prévus dans la loi qui a crée, en réalité, sept régimes distincts. A cette floraison de régimes s'ajoute de multiples exceptions qu'il convient d'analyser avec soin.

Autre exemple, toute entreprise doit aujourd'hui définir des durées de conservation à l'issue desquelles les données nominatives enregistrées dans des bases de données doivent être supprimées. Cette obligation légale, associée aux différentes obligations de conservation d'information figurant dans d'autres textes, doit conduire chaque entreprise à réaliser une étude permettant de définir des règles précises et spécifiques d'archivage électronique de données.

Ceci étant dit, on peut schématiser, en trois étapes, la mise en œuvre d'une action de conformité à la loi informatique et libertés :

  1. réaliser un audit afin de déterminer la cartographie des risques informatique et libertés propres à chaque entreprise ;
  2. définir une série d'actions correctives, sur les plans informatique mais aussi organisationnel ou strictement juridique (par exemple, rédaction des mentions légales obligatoires devant figurer sur les formulaires de collecte de données) ;
  3. engager un plan de sensibilisation des équipes opérationnelles et intégrer la dimension informatique et libertés dans le montage de tout projet informatique.

Tout ceci implique désormais que chaque dirigeant trouve, en interne (en désignant par exemple un correspondant informatique et libertés) ou auprès d'un professionnel du droit, les ressources permettant de garantir la conformité de ses activités à la loi informatique et libertés.