Vous êtes professionnel ?
Partagez ces infos ! 
Conseils-Comparatifs Les mots clés les plus tapés
Trouvez un expert
Déclarer son site web et ses fichiers à la CNIL
La Loi Informatique et Libertés Implications et Applications pour ma PME La loi dite « Informatique et Libertés » (loi du 6 janvier 1978 modifiée par la loi du 6 août 2004) est encore trop peu respectée, principalement par manque de connaissance de son application et de ses implications concrètes.
Les PME sont tout autant concernées que les entreprises de taille plus importante. Essayons de voir de plus près de quoi il s’agit et comment se mettre en conformité.
La loi Informatique et Libertés impose aux responsables de traitements concernant des données à caractère personnel (toute information permettant d’identifier une personne) de respecter certaines formalités :
Le responsable de traitement est « la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens ». Pour une PME (et sauf délégation expresse), ce sera donc le PDG, le gérant… Il peut voir sa responsabilité - notamment pénale - engagée en cas de non-respect des dispositions de la loi (jusque 5 ans de prison et 300.000 € d’amende).
Les traitements concernés sont aussi bien relatifs aux données que nous appellerons « internes » (dossier professionnel, recrutement, contrôle de l’utilisation d’internet et de la messagerie, badges, vidéosurveillance, …) qu’aux données « externes » (clients et prospects principalement).
La plupart des sociétés, ne se sentant pas « menacées » ou concernées, n’effectuent pas ces démarches.
Or, il faut savoir que 25% des contrôles de la CNIL ont lieu suite à des plaintes (prospects, clients ou employés…).
Un exemple parlant :
la Cour de Cassation a jugé abusif un licenciement pour refus réitéré de « badger » en l’absence de déclaration du traitement et malgré l’information dans le règlement intérieur. Comment reprocher à un salarié de ne pas utiliser un système non déclaré , donc illégal ? On pourrait aussi citer des exemples de lecture abusive de mails ou de contrôles des accès à Internet.
Déclarer donc pour :
1er avantage : nommer un CIL dispense de la plupart des déclarations (mais pas de garantir la conformités des traitements !).
Mais au-delà de cela, le CIL a plusieurs missions :
Auteur :
Christophe CHAMPOUSSIN
Correspondant Informatique et Libertés
ANAXIA
De quoi s’agit-il ?
La loi Informatique et Libertés impose aux responsables de traitements concernant des données à caractère personnel (toute information permettant d’identifier une personne) de respecter certaines formalités :
- Déclarer les traitements et fichiers auprès de la CNIL (préalablement à leur mise en oeuvre) ; A savoir : Contrairement à une idée fausse, les fichiers professionnels sont tout autant concernés
- Informer les personnes auprès desquelles sont recueillies les informations personnelles (finalité, destinataire(s) des données…)
- Leur garantir un droit d'accès, modification et suppression des données les concernant
Le responsable de traitement est « la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens ». Pour une PME (et sauf délégation expresse), ce sera donc le PDG, le gérant… Il peut voir sa responsabilité - notamment pénale - engagée en cas de non-respect des dispositions de la loi (jusque 5 ans de prison et 300.000 € d’amende).
Les traitements concernés sont aussi bien relatifs aux données que nous appellerons « internes » (dossier professionnel, recrutement, contrôle de l’utilisation d’internet et de la messagerie, badges, vidéosurveillance, …) qu’aux données « externes » (clients et prospects principalement).
La plupart des sociétés, ne se sentant pas « menacées » ou concernées, n’effectuent pas ces démarches.
Or, il faut savoir que 25% des contrôles de la CNIL ont lieu suite à des plaintes (prospects, clients ou employés…).
Un exemple parlant :
la Cour de Cassation a jugé abusif un licenciement pour refus réitéré de « badger » en l’absence de déclaration du traitement et malgré l’information dans le règlement intérieur. Comment reprocher à un salarié de ne pas utiliser un système non déclaré , donc illégal ? On pourrait aussi citer des exemples de lecture abusive de mails ou de contrôles des accès à Internet.
Déclarer donc pour :
- Respecter la loi
- Se prémunir contre certains risques
- Communiquer sur sa transparence
Quels traitements ?
Les traitements concernent des personnes « internes » :- Gestion du personnel (entretiens d’évaluation, recrutement…)
- Contrôle de la productivité des collaborateurs
- Gestion des contrôles d’accès aux locaux, des horaires (badges)
- Gestion de la téléphonie (utilisation du téléphone au travail et et téléphonie entreprise)
- Vidéosurveillance
- Contrôle de l’utilisation d’Internet et de la messagerie électronique
- Clients
- Prospects
- Fournisseurs
- Sondages d’opinion, études statistiques (démarche qualité)
Comment procéder ?
Comme on peut le constater (et la liste n’est pas exhaustive), il y a de nombreux traitements à déclarer. Mais déclarer n’est qu’un aboutissement, il faut également que chaque traitement soit conforme à la loi, c’est-à-dire que les « règles du jeu » soient respectées.- 1. La première étape est de réaliser ou faire réaliser par un spécialiste une revue initiale de conformité
- 2. À l’issue de cette étape, il faut mettre chaque traitement en conformité avec l’ensemble des points de la loi
- 3. Pour terminer, effectuer toutes les déclarations nécessaires et les suivre (déclarer les modifications) tout au long de la vie du traitement
Le Correspondant Informatique et Libertés
Tout ceci étant relativement complexe, la modification de la loi en 2004 a introduit la possibilité de nommer un CIL (Correspondant Informatique et Libertés, ou plus exactement Correspondant à la Protection des Données à Caractère Personnel).1er avantage : nommer un CIL dispense de la plupart des déclarations (mais pas de garantir la conformités des traitements !).
Mais au-delà de cela, le CIL a plusieurs missions :
- Prendre en charge les démarches légales et réglementaires liées aux traitements informatiques des données à caractère personnel (tenue et mise à jour de la liste des traitements)
- Garantir que l’organisme observe la réglementation sur le respect de la vie privée et l’utilisation des données à caractère personnel
- Sensibiliser à la loi Informatique et Libertés
- Faciliter la mise en oeuvre de nouveaux services / produits dans le cadre légal
- Préparer et soumettre à la CNIL les traitements relevant du régime de l’autorisation
- Centraliser et traiter les demandes et réclamations ayant trait à la loi. En effet, la CNIL redirigera toute plainte ou réclamation vers le CIL qui devra alors traiter le problème et indiquer à la CNIL ce qui a été fait
Auteur :
Christophe CHAMPOUSSIN
Correspondant Informatique et Libertés
ANAXIA
S'informer Comparer Décider
S'informer Comparer Décider
Powered by Prestataires.com
Powered by Prestataires.com