La protection des données à caractère personnel en entreprise



Vendredi 2 Mai 2014

Par un petit film racontant la mésaventure d'un salarié, Aéroports de Paris rappelle combien il est important de bien maîtriser la protection des données à caractère personnelle dans un monde où la transmission de l'information est instantanée.


Le simple envoi d'une fiche client en dehors des procédures instaurées par l'entreprise peut avoir des conséquences désastreuses. Tel est le message de cette courte vidéo très efficace retraçant le cheminement d'une fiche client depuis la base de données interne jusqu'à son utilisation frauduleuse, et aux conséquences judiciaires pour l'entreprise.


Une règlementation stricte

Dans le cadre de l'entreprise, toutes les données à caractère personnel collectées font l'objet d'une réglementation stricte régie par la Loi Informatique et Liberté. Outre le fait que leur communication à des tiers externes (ou à des personnes en interne mais non autorisées) est strictement interdite, leur collecte et leur stockage doivent faire l'objet d'une déclaration et d'une autorisation auprès de la CNIL. Le fichage des personnes n'est pas libre, loin de là !

Avertir les personnes fichées

L'autorisation de collecte des données n'affranchit pas l'entreprise de prévenir toute personne concernée sur la nature des données conservées, que ce soit les salariés, les clients ou les fournisseurs. L'entreprise doit communiquer sur l'identité de la personne qui collecte, sur la finalité du traitement, c'est à dire la raison pour laquelle les données sont collectées,  ainsi que sur les droits d'accès, de rectification et d'opposition.

Peines d'emprisonnement et amendes

Le non-respect de l'obligation de sécuriser les données collectées peut entraîner jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende, tout comme la communication des informations à une personne non autorisée ou encore le détournement de la finalité de la conservation des données. La divulgation par négligence ou imprudence peut également entraîner 3 ans de prison (et jusqu'à 100 000 euros d'amende), ainsi que la non-déclaration à la CNIL.
 
A noter que le futur règlement européen sur les données personnelles prévoit une obligation de notification de la CNIL sous 24heures en cas de violation de données et la désignation d’un délégué à la protection des données. Autre nouveauté, les personnes concernées devront également être averties individuellement. Le non-respect de l’obligation de notification serait puni d’une amende d’un million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. Ce texte remplacera la loi Informatique et Liberté et donnera donc de nouveaux pouvoirs pour la CNIL.

Notez