LOGO CNIL

La CNIL, obligations et droits des entreprises

Un article sur la CNIL s’impose suite aux questions que se posent aujourd’hui les entreprises concernant le traitement des données à caractère personnel. Les instituts d’études, les centres d’appels en général et les sociétés de terrains en particulier sont les premiers concernés par ce sujet.

Le fonctionnement de la CNIL et les démarches à effectuer pour être en règle avec la loi restent flous pour la majorité. Nous allons donc essayer de répondre à ces deux questions : « Qu’est-ce que la CNIL ? » et « Que doivent faire les entreprises pour être en conformités avec la loi ? ».

Qu’est-ce que la CNIL ?

Définition de la CNIL

La commission nationale informatique et liberté, est une autorité administrative indépendante française. Elle a été crée en 1978 par la loi « Informatique et liberté » et renforcée par la loi de 2004. Cette loi sera remplacée en Mai 2018 par une nouvelle loi européenne, la loi RGPD : « le règlement général sur la protection des données ».

Pourquoi la CNIL a été créé ?

La CNIL permet d’un côté aux particuliers d’exercer leurs droits concernant leurs données personnelles et d’un autre côté, elle permet aux entreprises d’être conformes à la loi « Informatique et liberté », en déclarants leurs fichiers auprès d’elle pour avoir son autorisation.

Le rôle de la CNIL est de veiller à la protection des données personnelles, contenues dans les fichiers et traitements informatiques ou papiers aussi bien publics que privés.

Mais son rôle n’est pas seulement d’informer, de conseiller et de protéger, mais aussi de procéder à des contrôles et d’émettre des sanctions si nécessaires.

Plus important encore, elle a un rôle d’anticipation, grâce à une surveillance des nouvelles technologies qui peuvent avoir un impact sur la vie privée et en mettant en place des nouvelles techniques de protection de celle-ci.

Quelles sont les sanctions que peut infliger la CNIL ?

Un traitement de données personnelles qui n’a pas été déclaré auprès de la CNIL avant sa réalisation est un traitement illégal.

Toute dérogation encourra une amende entre 2% et 4% du chiffre d’affaire global de l’entreprise. La CNIL pourra déclarer une sanction d’un montant maximal de 150.000 euro et en cas de récidive jusqu’à 300.000 euro et 5 ans d’emprisonnement, et établir une injonction de cesser le traitement, ainsi que le retrait d’une autorisation déjà accordée.

Ceci concerne aussi les salariés, car la mise en place dans l’entreprise de moyens permettant de contrôler l’activité des salariés doit être préalablement déclarée auprès de la CNIL.

Quels sont les droits garantis par la CNIL ?

La CNIL garanti un ensemble de droits que sont :

  • le droit d’information et le droit d’accès aux données personnelles (ceci dans les deux mois qui suivent la demande).
  • le droit de rectification et de suppression de ces données (un droit à l’oubli encore plus renforcé pour les mineurs, ainsi que la possibilité de prévoir la gestion des données après le décès de la personne concernée).
  • Et enfin, le droit d’opposition et d’interrogation.

Quels sont les objectifs de la CNIL ?

Les objectifs de la CNIL sont :

  • le renforcement des droits des personnes.
  • la responsabilisation des administrateurs de données (responsables des entreprises et des sous-traitants).
  • la crédibilisation du contrôle, grâce à une meilleure collaboration entre les autorités de protection de données, qui pourront ainsi prendre des décisions communes lorsque les traitements de données sont transnationaux et établir des sanctions renforcées.

Que doivent faire les entreprises pour être en conformité avec la loi ?

Quelles sont les obligations qu’impose la CNIL ?

La loi impose certaines obligations aux utilisateurs de données personnelles, comme :

L’obligation de désigner un DPO :

C’est-à-dire qu’il faut définir préalablement le but bien précis du traitement, et aussi respecter cette finalité.

L’obligation de définir une durée limitée de conservation des données :

C’est la finalité d’un traitement qui va nous permettre de déterminer sa durée de conservation. Quelques exemples pour le démontrer :

  • dans le cas d’un dispositif de vidéosurveillance, la conservation des images ne peut dépasser 1 mois.
  • dans le cas de données relatives à la gestion de la paie ou le contrôle des horaires des salariés, les données peuvent être conservées jusqu’à 5 ans.
  • lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
  • les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans, doivent être supprimées
  • enfin, les données figurant dans un dossier médical doivent être conservées 10 ans.

L’obligation de désigner un DPO :

Le projet de règlement européen imposera aux entreprises l’obligation de désigner un DPO, un Data Protection Officer qui prendra en quelque sorte la place du CIL, le Correspondant Informatique et Libertés.

L’obligation de prescrire des études d’évaluation des risques pour les traitements sensibles (PIA – privacy impact assessment) :

l’évaluation d’impact est une obligation formelle du nouveau règlement, c’est-à-dire que les entreprises devront d’abord analyser les risques d’atteinte à la vie privée des personnes concernées avant de procéder au traitement de leurs données. La CNIL a mis à disposition des entreprises un logiciel PIA (Privacy Impact Assessment) qui vise à faciliter cette procédure, et ceci concerne la collecte de données sensibles, la collecte de données personnelles à grande échelle, le croisement de données, la surveillance systématique, l’implication de personnes vulnérables (patients, seniors, enfants…), l’usage de nouvelles technologies etc…

L’obligation de notification en cas de faille de sécurité et mise en place d’un registre de violation des données :

Dans le cas d’une violation de données personnelles, si une société est victime d’une faille de sécurité ou d’un piratage, elle devra notifier à l’ensemble de ses clients ainsi qu’à la CNIL l’existence de cette faille et les problèmes qui lui sont liés.  Cette notification devrait se faire dans un délai de 72 heures à partir du moment où une faille est détectée.

L’obligation de minimiser les données récoltées :

Ce que les américains appellent Privacy by Design, c’est-à-dire que le respect de la vie privée doit s’appliquer dès la conception d’un système, dans le but de renforcer les contraintes de minimisation des données conservées.

Des obligations de sécurité :

Les obligations de sécurité seront encore plus renforcées, Cela signifie, qu’il faudrait analyser les besoins de sécurité de chaque traitement et mettre en place les mesures de sécurité qui lui sont appropriées. Il faut aussi envisager des garanties contractuelles, si un prestataire tiers externe aura accès à ces données.

Des obligations dépassant les frontières de l’union européenne ou le principe d’extraterritorialité :

Toutes les obligations du RGPD seront applicables aux entreprises qui ne sont pas Présentes au sein de l’union européenne, mais qui traitent des données à caractère personnel de citoyens de l’UE.

En résumé, le message lancé aujourd’hui par le RGPD aux entreprises est qu’il est à l’avenir capital de traiter les données personnelles avec plus de précaution et de précision.

Vers une démarche qualité :

Malgré toutes ces obligations et toutes ces sanctions, « Isabelle Falque Pierrotin », la présidente de la CNIL, a déclaré dans une interview que :

« La CNIL cherche à nouer un dialogue positif avec les entreprises, dans le but de sortir la CNIL de ce halo d’autorité lointaine et de lui faire mieux comprendre les besoins des entreprises et les réponses qu’elle peut leur apporter. Les entreprises de leur côté, doivent aider à faire évoluer les réflexions de la CNIL, vu qu’elles sont les premières utilisatrices des données personnelles. Elles doivent donc réaliser, que la protection des données pourra être un avantage concurrentiel, bien sûr vis-à-vis de leurs clients, car on sent que les clients sont de plus en plus soucieux de leurs données personnelles, mais aussi vis-à-vis de leurs salariés. C’est une occasion pour les entreprises, de gagner en authenticité et en relation avec leurs employés, avec une protection adéquate des données personnels. »

Il faut aussi noter, que depuis janvier 2015, la CNIL est dotée du pouvoir de distinguer les entreprises par la qualité de leur services, en leur attribuant des labels. Mais la conformité informatique et libertés à un prix, comme toute les démarches qualité, car elle demande un investissement, une formation du personnel, ainsi qu’une réorganisation. Alors la CNIL peut-elle être considérée comme une démarche qualité ou comme un acte d’autorité ?