Références réglementaires

La loi Informatique et Libertés

Les fichiers et traitements soumis à la loi

Avant de rappeler les principales réglementations en vigueur susceptibles d’intervenir en parallèle de la loi Informatique et Libertés, il est important de définir quelques notions incontournables :

Est considéré comme un traitement de données à caractère personnel, tout fichier qui contient une donnée permettant d’identifier directement ou indirectement une personne.

Un fichier est donc à caractère personnel s’il contient des noms, des adresses ou toutes autres données identifiantes, comme par exemple le numéro de téléphone, le numéro de plaque d’immatriculation, le numéro de compte bancaire, le matricule interne, le numéro de poste, l’adresse IP, le numéro de sécurité sociale … L’identification de la personne peut être directe dans le fichier ou par croisement avec un autre fichier détenu par l’entreprise ou un tiers.

Les obligations réglementaires

Formalités : les déclarations et demandes d’autorisation à la CNIL, à la préfecture ont-elles été effectuées ?

Information des personnes : la société a-t-elle averti ses clients, ses salariés, ses candidats, ses visiteurs et le CE de la présence de chacun des traitements ? La collectivité a-t-elle informé les citoyens de la collecte de données personnelles et de l’usage qui en est fait ?

Respect des finalités : y a-t-il une cohérence entre les finalités déclarées, les autorisations obtenues par les personnes (opt-in) et l’utilisation réelle des données ?

Durée de conservation des données : les fichiers sont-ils nettoyés régulièrement afin de ne pas dépasser la durée légale de conservation ?

Confidentialité : des accords de confidentialité ont-ils été signés avec les prestataires ? Les droits d’accès des fichiers sont-ils suffisamment restrictifs pour respecter la confidentialité des données ?

Sécurité : les accès au PC vidéo, à la salle d’interpellation, au service des ressources humaines, à la salle serveurs sont-ils sécurisés et limités au seul personnel autorisé ? Le réseau de l’entreprise ou de la collectivité est-il techniquement sécurisé ? Les sessions de chaque utilisateur sont-elles configurées pour demander systématiquement un login et d’un mot de passe ?

  1. Loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 : référence en matière de protection des données, elle définit les modalités de collecte et de traitement des données personnelles.


  2. Directive européenne 95/46/CE du 24 octobre 1995 : c’est le texte de référence au niveau européen concernant la protection des données personnelles.


  3. Convention 108 du Conseil de l’Europe du 28 janvier 1981 : elle constitue le socle de la réglementation sur la protection des données et visait initialement à aider les différents Etats européens à mettre en place leur propre loi à l’échelle nationale.


La CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative française indépendante. Son rôle est avant tout d’inciter les différents acteurs (entreprises et administrations) à protéger les données à caractère personnel qu’ils sont amenés à traiter afin de ne porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle présente la particularité d’avoir un triple pouvoir de législateur, de contrôle et de sanction.


Des risques de sanction réels

En cas de manquement, de non-accomplissement des formalités ou d’absence de conformité des fichiers, les organismes, qu’ils soient privés ou publics s’exposent à des sanctions pouvant aller jusqu’à 300 000 euros d’amende et 5 ans de prison (art. 226-16 à 226-24 du code pénal et art. 47 de la loi Informatique et Libertés).

Ces risques sont bien réels et les plaintes ainsi que les contrôles sont de plus en plus nombreux, notamment en raison de l’intensification de l’utilisation de données personnelles pour le marketing, de l’installation d’outils de contrôle, mais aussi de l’ouverture et de l’interconnexion des systèmes d’information.

Les mises en demeure et condamnations sont fréquentes et concernent tous les acteurs, les PME, les grandes entreprises comme les collectivités. Voici un aperçu des dernières sanctions prononcées par la CNIL :

  1. Avertissement à l’encontre d’une société de service pour avoir saisi et conservé des commentaires abusifs sur son personnel, ses candidats et ses clients.

  2. Condamnation à 100 000 euros pour une société cotée suite à la collecte de données personnelles à l’insu des intéressés.

  3. Mise en demeure d’établissements scolaires pour l’installation abusive de caméras de vidéosurveillance.

  4. Interruption du dispositif de vidéosurveillance d’une PME pour avoir enregistré en continu et sans information préalable l’activité de l’un de ses salariés.

  5. Suspension d’un système de contrôle d’accès biométrique à empreintes digitales d’une PME pour mise en exploitation sans information du personnel.

  6. Condamnation d’une PME pour avoir licencié un salarié suite à l’installation d’un système de géolocalisation, sans déclaration à la CNIL et ne pouvant donc pas être utilisé pour un licenciement.


Les autres lois en jeu

Pour se conformer à la loi Informatique et Libertés, les entreprises doivent vérifier que chacun de leurs traitements de données personnelles réponde aux obligations de cette loi.

Or, pour certains de leurs fichiers elles doivent aussi prendre en compte d’autres réglementations en vigueur, dont celle propre à leur activité, que ce soit pour leur matériel de sécurité (Loppsi 2), pour leurs fichiers clients (code du commerce), pour les ressources humaines (code du travail) ou pour la comptabilité et la finance (livre des procédures fiscales), pour ne citer qu’eux.

Voici une liste non exhaustive des différentes lois auxquelles peuvent être soumises les entreprises et les collectivités lors de la mise en conformité de leurs traitements :

  1. Directive européenne 95/46/CE du 24 octobre 1995 : c’est le texte de référence au niveau européen concernant la protection des données personnelles.

  2. Convention 108 du Conseil de l’Europe du 28 janvier 1981 : elle constitue le socle de la réglementation sur la protection des données et visait initialement à aider les différents Etats européens à mettre en place leur propre loi à l’échelle nationale.

  3. Loppsi 2 (Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure) du 14 mars 2011 : elle vise à renforcer la sécurité intérieure du pays à travers diverses mesures, dont certaines ayant attrait à la protection des données personnelles. Les systèmes de vidéosurveillance font ainsi l’objet d’une surveillance d’autant plus accrue de la part de la CNIL.

  4. Arrêté du 03 août 2007 : il spécifie les nouvelles normes techniques relatives aux équipements de vidéosurveillance. Elles sont applicables depuis 2009.

  5. Code du travail : il réglemente le secteur des ressources humaines.

  6. Code pénal du 1er mars 1994 : il définit les crimes et délits contre les biens, les personnes et la nation et les sanctions applicables.

  7. Code des postes et des communications électroniques : il détermine les dispositions législatives et réglementaires relatives au service postal et aux communications électroniques, y compris la téléphonie et l’accès à Internet.

  8. Livre des procédures fiscales : associé au Code général des impôts, il précise toute la réglementation propre à la fiscalité française.

  9. LCEN (Loi pour la Confiance dans l’Economie Numérique) du 21 juin 2004 : elle transpose en droit français les directives européennes du 8 juin 2000 et du 12 juillet 2002 respectivement sur le commerce électronique et sur la protection de la vie privée dans le secteur des communications électroniques et cadre donc le droit relatif à l’Internet. Elle codifie notamment le e-commerce et la publicité électronique en introduisant la notion d’opt-in.

  10. Loi « Kouchner » du 4 mars 2002 : centrée sur le droit des malades et la qualité du système de santé, elle précise comment doivent être collectées et traitées les données de santé.

  11. ISO27001 d’octobre 2005 : norme internationale sur les systèmes de gestion de la sécurité de l’information. Elle définit les spécificités techniques auxquelles doivent répondre les systèmes d’information afin de garantir un haut niveau de sécurité, essentiel à la protection des données personnelles traitées par l’entreprise ou l’administration.