Données personnelles : une dictature de la transparence sans les moyens de l’assurer ?

Le point sur les actions menées par la Commission Nationale de l'Informatique et des Libertés pour faire face aux menaces quotidiennes touchant les données personnelles et la vie privée des individus.

Le 13 mai 2009, la Commission Nationale de l'Informatique et des Libertés (Cnil) dresse son bilan de l'année 2008, 30 ans après sa création, et relayée depuis 1995 par l'Union européenne, au sein du G27. C'est l'occasion de faire le point sur les actions menées par la Cnil pour faire face aux menaces quotidiennes touchant les données personnelles et la vie privée des individus.

Au cours des dernières années, la Cnil a fait un usage plus important des pouvoirs de contrôle et de sanction qui lui ont été attribués par la loi du 6 janvier 1978, complétée par la loi du 6 août 2004. La presse a, elle, relayé les décisions ainsi prises et les sanctions prononcées. En deux ans, deux fois plus de litiges ont été traités par la CNIL (4.224 plaintes ont été déposées en 2008), selon ce même rapport. Il en résulte que les entreprises ont aujourd'hui généralement conscience que la plupart de leurs projets incluent la collecte et le traitement de données personnelles et que la mise en œuvre de ces projets doit s'inscrire dans le respect de la réglementation applicable en la matière.

Un cadre réglementaire strict et précis
Pour autant, les règles et pratiques à mettre en œuvre sont encore trop méconnues. Clients, prospects, adhérents, abonnés, collaborateurs... Les entreprises ou grandes organisations sont amenées à manipuler de multiples informations à caractère personnel, sans toujours connaître leurs obligations, ni contrôler tous les traitements de ces données sensibles.

La loi est claire et encadre parfaitement la mise en œuvre des fichiers ou traitements de données à caractère personnel. Or, la déclaration n'est que la face émergée de l'iceberg. Beaucoup d'entreprises sous-estiment les difficultés pratiques du recensement et du stockage de ces données sensibles, d'autant que leur nature évolue avec les nouvelles technologies (géo localisation...), les comportements d'achat, la retraite, etc.

L'état se décharge-t-il sur les entreprises ?
Un Correspondant Informatique et Libertés (CIL) a été créé par la Loi de 2004 au sein des entreprises, sur lequel la CNIL se décharge en lui demandant de faire l'inventaire des données. Il ne faut pas oublier "d'épurer" régulièrement ses fichiers, et dans tous les cas de pouvoir justifier de la finalité du traitement. Le problème vient souvent de la dilution des responsabilités dans les grandes organisations, qu'elles soient publiques ou privées, et du nombre d'intermédiaires qui prennent des initiatives sans connaître leurs obligations.

Et même si les "CIL" et les experts "TDCP" existent depuis plus de quatre ans, ils manquent souvent de moyens pour faire face à leur obligation de tenue de registre et à la complexité croissante du traitement des données personnelles dans leur entreprise et rares sont ceux qui disposent d'un outil adapté, centralisé et opérationnel.

De vrais risques à maîtriser
Les risques encourus pour atteinte aux libertés individuelles sont conséquents. Le chef d'entreprise ou ses responsables délégués encourent jusqu'à 300 000 euros d'amendes et jusqu'à cinq ans de prison et 1,5 millions d'euros au pénal. Sans compter les éventuels demandes de dommages et intérêts. Avec un effet démultiplicateur puisque les sanctions s'appliquent pour chaque fichier non déclaré ou non recensé dans le registre CIL interne de l'entreprise.
 
Les entreprises françaises maîtrisent plutôt mal les enjeux et la gestion des données à caractère personnel. C'est ce qu'a révélé le sondage réalisé par Internet en avril et mai 2008 auprès de 300 responsables d'entreprise (directeurs juridiques, juristes surtout mais aussi avocats, RH, DSI, informaticiens, opérationnels...) par LEGAL SUITE, en partenariat avec le Village de la Justice et CIO-online.

En effet, 56 % des sondés ne maîtrisent pas ou mal la gestion des données personnelles. Plus de 43% des participants au sondage pensent n'être "pas vraiment" ou "pas du tout" informés sur la Loi Informatique et Libertés. Seul un sur cinq estime l'être "tout à fait".

Compte tenu du nombre important de traitements de données à caractère personnel mal connus au sein d'un établissement, il est essentiel d'établir un état des lieux exhaustif de ces traitements. A cet effet, il convient d'appliquer une méthodologie d'audit "Cnil" permettant d'investiguer et d'établir cet état des lieux, d'identifier les éventuels manquements à la Loi Informatique et Libertés  et aux normes de la Cnil, et enfin de déterminer des mesures correctives pragmatiques d'ordre juridique, technique et organisationnel.

Le succès d'une telle opération repose sur une approche transversale qui fait, en général, intervenir le service juridique, le DSI et les opérationnels (les chefs de service).

La méthodologie d'audit "Cnil", ajustable selon la dimension et les caractéristiques de l'établissement, s'applique tant pour mettre en conformité l'ensemble des traitements de données à caractère personnel, et donc la personne morale dans sa globalité, que pour mettre en conformité une opération isolée impliquant, par exemple, un transfert de données hors Union européenne (délocalisation, outsourcing, plate-forme de partage de données, data sharing, etc.).

Quelles sont concrètement les règles et pratiques à mettre en place ?
Les données personnelles faisant l'objet d'un traitement par l'entreprise sont, en général, les données des clients, des prospects et des fournisseurs ; bien entendu les données concernant les salariés mais aussi les autres données telles que : adresses IP, photographies / vidéosurveillance, etc.

Les démarches à effectuer pour procéder de manière licite au traitement de ces données sont de deux natures : tout d'abord, il s'agit d'informer les personnes concernées dans l'entreprise (sur les règles et modalités de traitement) puis de procéder aux démarches auprès de la CNIL : demander une autorisation préalable, faire une simple déclaration ou bien se dispenser de toute formalité préalable.

Il faut être très vigilant sur certains points, notamment en ce qui concerne le transfert (ou l'accès) des données à l'étranger, la fuite possible des informations très confidentielles, l'externalisation des données, etc.

En conclusion, "la CNIL est protectrice par nature et par vocation ; elle est rétrograde par la pauvreté des moyens qui lui sont alloués. C'est le propre d'une institution de plus de trente années d'existence (Loi du 6 janvier 1978) que de garder le recul nécessaire à la protection des Libertés Individuelles.

La curiosité de la civilisation numérique se réjouit d'être satisfaite instantanément au moindre de ses besoins ou envies grâce à des petits miracles permanents de technologie. Pour autant, nul citoyen du XXI ème siècle n'apprécie les détournements intrusifs permis par ces ingénieux miracles informatiques contre sa vie privée. C'est pour le protéger des ces abus qu'existent des Lois Informatique et Libertés et autre "Privacy Protection Policy" à travers le monde, dès lors qu'elles sont sincères dans les valeurs qu'elles défendent et à travers les moyens qu'elles se donnent."