CAA Juris Europae

Le système informatique de votre entreprise est protégé contre les virus….

….mais vous,

êtes-vous protégé contre votre système?

Saviez-vous que vous êtes exposé au risque d’une peine d’emprisonnement de 5 ans et à une amende de 300.000€ ?

Pour vous protéger, lisez ce qui suit….

Le problème…

Toute entreprise tient des fichiers de données à caractère personnel, sans qu’il n’y ait plus lieu aujourd’hui à distinguer entre les fichiers papiers ou informatisés (par ex: fichiers des salariés, des clients ou des fournisseurs, service consommateurs etc..).

La loi du 7 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui a institué la COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS a été considérablement modifiée par une loi du 24 janvier 2004 dont l’application a été précisée par un décret du 20 octobre 2005.

Pèsent désormais sur les entreprises, et donc leurs Dirigeants, des obligations renforcées relatives:

* aux conditions de collecte des données
* aux conditions de leur traitement et de leur conservation
* à la nature des informations collectées
* à la finalité des fichiers
* à la sécurité des données
* à l’information et au droit d’accès des personnes concernées
* à la déclaration des fichiers et traitements à la CNIL, respectivement à leur demande de mise en œuvre dans certains cas.

Il s’agit là d’obligations contraignantes pour l’entreprise qui est généralement mal préparée pour les accomplir et ne dispose que rarement des compétences internes pour les remplir efficacement.

Le non respect de ces obligations est cependant passible de lourdes sanctions pénales, la CNIL étant habilitée par la loi à effectuer tout contrôle dans les entreprises.

La réforme introduite par la loi de 2004 permet au Chef d’entreprise d’éviter tout ou partie de ses obligations déclaratives, à condition de désigner un Correspondant à la protection des données.

Notre Cabinet, référencé à cette fin auprès de la CNIL, peut être désigné par votre entreprise pour remplir cette fonction avec la compétence et l’indépendance nécessaires, tout en bénéficiant du secret professionnel attaché à la profession d’avocat.

Nous établissons en début de mission en liaison avec le responsable de leur traitement, un état des fichiers en place que nous tenons à la disposition de la CNIL.

Dans le cadre d’une mission de Correspondant informatique, nous sommes amenés à faire des recommandations au responsable du traitement et devons être obligatoirement consultés avant la mise en œuvre de nouveaux fichiers de données à caractère personnel.

Nous recevons les réclamations ou requêtes des personnes concernées par le traitement des données, vous conseillons sur les réponses à y apporter et veillons au respect par l’entreprise du droit d’accès et d’opposition.
Nous établissons un bilan annuel de nos activités, suggestions et interventions, dans le cadre des recommandations de la CNIL.

La désignation d’un Correspondant informatique a pour effet d’exonérer les responsables de traitements de l’accomplissement de tout ou partie des formalités déclaratives préalables leur incombant. Seuls les traitements expressément soumis à autorisation ou avis préalable de la CNIL devront dés lors être déclarés, le cas échéant avec l’assistance et les conseils du Correspondant informatique.

Les textes de référence….


Loi n° 78-17 du 6 janvier 1976 modifiée par la loi de 24 janvier 2004

Art. 2: La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions visées à l’article 5.
Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. (….)
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Art. 3 I. Le responsable d’un traitement de données à caractère personnel est, sauf dispositions expresses prévues par les dispositions législatives ou règlementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

Art. 11: La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. (….) Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi.

Art. 22 .I: A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL...

III: Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 22 et 24, sauf lorsqu’un transfert de données à destination d’un Etat non membre de la Communauté européenne est envisagé.

Article 226-16 du Code pénal (al 1)

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.