TourMaG.com, le média spécialiste du tourisme francophone

logo La Travel Tech  




Label Gouvernance CNIL : quel impact pour les entreprises ?

Tribune : Informatiques et libertés


La Commission nationale de l’informatique et des libertés (CNIL) a publié le 13 janvier dernier son quatrième label. La loi Informatique et Libertés dans sa révision article 11, dote la CNIL d’un nouveau pouvoir celui de distinguer les entreprises, par la qualité de leur service sous forme de labels. Le label Gouvernance Informatique et Libertés est avant tout un référentiel permettant d’identifier clairement les règles et les bonnes pratiques en matière de traitement des données à caractère personnel. Il permet de surcroît d’identifier les structures engagées dans la démarche auprès des utilisateurs. Ce label s’impose comme un indicateur de confiance.


Rédigé par Arnaud Robert, AC2R le Mardi 16 Juin 2015

Quels sont les organismes qui peuvent prétendre à la labellisation ?

Tous les organismes, privés et public sans distinction de taille ou de secteur d’activité, à condition d’avoir désigné un Correspondant Informatique et Libertés (CIL) en interne ou externe.

Néanmoins, seuls les organismes ayant désigné le CIL pour des missions étendues (les CILS exerçants leur mission pour l’ensemble des traitements et non pour les seuls traitements qui devaient faire l’objet d’une déclaration*) pourront prétendre au label.

Le label sera délivré par la commission dans les 2 mois qui suivent le dépôt après vérification de la complétude du dossier. Le dépôt du dossier peut se faire en ligne sur le site de la CNIL ou bien par courrier.

La labellisation est une démarche qualité à part entière.

Au même titre que l’ISO, AFAC ou encore AFNOR, on est dans le prolongement de la désignation d’un Correspondant Informatique et Libertés (CIL).

Tous les secteurs de l’entreprise seront impactés plus ou moins fortement par l’évolution des procédures liées à la labellisation.

Les ressources humaines; dans la gestion du personnel, les opérations de recrutement, la gestion des moyens mis à la disposition des salariés (véhicule, téléphone, ordinateur) de la géolocalisation, de la vidéosurveillance des badgeuses ou pointeuses etc.

Pour le secteur commercial, marketing, la gestion client, la publicité ciblée, les newsletters, mais également les nouveaux moyens de rester en contact avec les clients comme les applications pour smartphones et la géolocalisation par exemple.

Il semblerait que la CNIL ait décidé d’en passer par la labellisation pour pallier aux lenteurs européennes pour le vote définitif du projet de règlement européen en matière de protection des données à caractère personnel.

Le groupement des CNIL européennes (G29 dont la France assure la Présidence) doit faite face aux pressions de certains états beaucoup plus libéraux dans le domaine, le projet est pour le moment toujours en négociation au parlement et ce depuis 2012 !

Elle représente un investissement

©capture écran du site de la CNIL
©capture écran du site de la CNIL
La commission a su concevoir le label qui repose sur, le droit français (loi de 78 modifiée en 2004) et les textes validés du projet européen. C’est sans nul doute une façon de préparer les entreprises aux changements.

Bien que la démarche soit intéressante pour les grandes entreprises, elle a peu de chance de s’imposer dans les PME ou TPE. En effet, très peu d’entre elles sont informées des obligations en la matière.

Les moyens limités dont disposent les entreprises sont plus souvent utilisés pour des investissements avec un retour financier garanti et rapide.

La conformité informatique et Libertés est un coût, comme toute les démarches qualité elle représente un investissement,
formation du personnel, budget spécifique, réorganisation, etc

Pourtant les risques sont quasi identiques, que l’on soit une petite entreprise ou une multinationale avec les moyens en moins !

Comme les grandes entreprises, les TPE collectent des informations sur son personnel dans le cadre de la gestion RH, des informations concernant ses clients et disposent de commerciaux avec des véhicules de fonction.

Les tribunaux des prud’hommes, les cours d’appel ont de plus en plus à se prononcer sur des licenciements contestés par les salariés pour des
motifs liés à l’obtention de preuves acquises de façon déloyales.

Certain secteurs comme celui de l’aide à la personne peut poser réflexion. Des données relatives à la santé des personnes
sont parfois traitées. Les données dites “sensibles” exposent ces entreprises à des contraintes particulières.

Elles sont de fait très exposées aux contrôles et aux sanctions, pour des raisons liées aux types de données qu’elles traitent.

L’utilisation des nouvelles technologies crispation entre l’entreprise et les salariés

Arnaud Robert, AC2R
Arnaud Robert, AC2R
On sait que l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps du travail.

Néanmoins, tout enregistrement, quels qu’en soient les motifs, d’images ou de paroles, à l’insu des salariés constitue un mode de preuve illicite (Soc. 20 novembre 1991 n° 88-43120).

Cette jurisprudence s’appuie sur l’article L1222-4 du Code du travail selon lequel “aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance”.

Selon l’article L2323-32 al. 3 du même Code, le Comité d’entreprise doit être informé et consulté, préalablement à la décision de mise en oeuvre dans l’entreprise, de moyens ou des techniques permettant un contrôle de l’activité des salariés.

De plus, la finalité du dispositif doit être respectée.

Profitons-en pour rappeler qu’un traitement de données personnelles n’ayant pas fait l’objet des formalités déclaratives auprès de la CNIL préalablement à sa mise en oeuvre est un traitement réputé comme illégal.

Bien plus encore, ce manquement est un délit sanctionné de cinq ans d’emprisonnement et de 300 000 euros d’amende au titre de l’article 226-16 du Code pénal. Le détournement de finalité est puni des mêmes sanctions au titre de l’article 226-21 du même Code pénal.

Le projet de règlement européen tel qu’il est en train de s’écrire, imposera aux entreprises des règles encore plus strictes, des sanctions démultipliées et sans doute une obligation de désigner un Data Protection Officer (DPO) la version 2.0 du Correspondant Informatique et Libertés à la mode européenne.

En attendant, les petites entreprises qui, contrairement aux grosses structures, n’ont pas forcément les moyens de désigner un CIL (interne ou externe) et par définition prétendre au Label ont toutefois la possibilité de se faire accompagner dans une démarche d’aide à la conformité.

Certains acteurs commercialisent des packs comprenant : les formalités déclaratives auprès de la CNIL pour les traitements les plus courants, la mise en conformité des traitements déclarés ainsi que leur site internet, la rédaction des mentions légales et une assistance par messagerie électronique pendant une année.

Ce type de prestation est une bonne alternative pour les petites entreprises afin de limiter les risques et de leur donner la possibilité de débuter une démarche qualité pour un investissement limité.

Lu 2983 fois

Notez

Nouveau commentaire :

Tous les commentaires discourtois, injurieux ou diffamatoires seront aussitôt supprimés par le modérateur.
Signaler un abus





































TourMaG.com
  • Instagram
  • Twitter
  • Facebook
  • YouTube
  • LinkedIn
  • GooglePlay
  • appstore
  • Google News
  • Bing Actus
  • Actus sur WhatsApp
 
Site certifié ACPM, le tiers de confiance - la valeur des médias