Accueil
Envoyer
Imprimer
Partager
L’actualité de ces derniers mois - où l’on a vu plusieurs grands noms épinglés pour leurs mauvaises pratiques dans la gestion des données concernant leurs clients ou leurs salariés - s’ajoutant à des contrôles de la CNIL plus soutenus, ont relancé l’intérêt pour la gestion des données à caractère personnel et les obligations de la Loi Informatique et Libertés du 06 janvier 1978 modifiée par celle du 06 août 2004.
En menant ce sondage par Internet, LEGAL SUITE et le Village de la justice ont voulu savoir si les entreprises maîtrisaient la gestion de ces données « sensibles ». La conformité juridique à la Loi Informatique et Libertés est-elle devenue un risque juridique majeur au même titre que les risques commerciaux et financiers ? Une problématique désormais centrale pour les entreprises françaises.
56 % des sondés ne maîtrisent pas ou mal la gestion des données personnelles
Plus de 43% des participants au sondage pensent n’être « pas vraiment » ou « pas du tout » informés sur la Loi Informatique et Libertés. Seul un sur cinq estime l’être « tout à fait ». Bien que cette loi soit en vigueur depuis 1978, manifestement ravivée par la loi de 2004, la sensibilisation des entreprises en France est récente, la CNIL ne multipliant ses interventions que depuis l’année 2006-2007. En 2008, les mentalités évoluent, la CNIL confirmant son statut d’organisme de contrôle mais aussi de sanction. Rappelons que les risques encourus pour atteinte aux libertés individuelles sont conséquents. Le chef d’entreprise ou ses responsables délégués encourent jusqu’à 300 000 € d’amendes, jusqu’à cinq ans de prison et une amende au pénal pouvant atteindre 1,5 M€. Sans compter les éventuels demandes de dommages et intérêts. Avec un effet démultiplicateur puisque les sanctions s’appliquent pour chaque fichier non déclaré ou non recensé dans le registre CIL interne de l’entreprise.
Une majorité des personnes interrogées (60%) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel. Seuls 7,7% ont déclaré ne l’être pas du tout. En matière de connaissance de la notion « Informatique et libertés », les Français se classent en tête au niveau européen. En revanche, 56% avouent ne pas maîtriser la gestion de ce type de données « sensibles ». Cela montre que les entreprises, bien qu’informées des obligations légales vis-à-vis de la CNIL, ne gèrent pas de manière rigoureuse l’ensemble de leurs déclarations et traitements soumis à la loi. D’autant plus que, comme le précise Christiane Féral-Schuhl, avocate associée du Cabinet FERAL-SCHUHL / SAINTE-MARIE, « trop souvent, les notions de données à caractère personnel et de traitement de données à caractère personnel sont mal appréhendées. Il importe, en effet, de rappeler que sont concernées toutes les données permettant d’identifier directement ou indirectement des personnes physiques, telles qu’un numéro de téléphone, un numéro de plaque d’immatriculation ou encore l’adresse IP. C’est dire l’étendue des données et traitements concernés. ».
Qui assure la gestion de ces données personnelles ?
En matière de droit Informatique et Libertés, le service juridique est majoritairement consulté (31,8 %), suivi du département Informatique (24,6 %), de la DRH (15,9 %) et du service CIL (14%). La culture « Informatique et Libertés » est assez hétérogène au sein des entreprises. Presque la moitié des personnes interrogées (46%) ne sait pas si les entreprises ont de plus en plus recours à l’expertise d’un CIL, ces Correspondants locaux Informatique & Libertés (salarié ou collaborateur externe mandaté par l’entreprise) définis par la Loi de 2004. Leur rôle est d’assurer de manière indépendante le respect des obligations légales dans ce domaine. Nous assistons cependant, depuis 2 ans, à une croissance exponentielle des nominations de CIL au sein des entreprises selon le rapport de la CNIL et de l’AFCDP (Association Française des Correspondants aux Données Personnelles, www.afcdp.net). Mais les juristes d’entreprises ne sont pas automatiquement nommés à cette fonction, puisque 92% des sondés, dont 80% sont juristes, déclarent ne pas l’être. Selon Merav Griguer, avocate responsable de l’équipe dédiée à la protection des données au sein du Cabinet FERAL-SCHUHL / SAINTE-MARIE, « la mise en place d’un CIL constitue l’un des critères de bonne gestion des données à caractère personnel ». Elle rappelle cependant que « son institution ne permet pas de solutionner l’ensemble des problématiques « CNIL ». En effet, le CIL n’exonère pas de requérir l’autorisation de la CNIL pour mettre en œuvre des opérations impliquant un transfert de données à caractère personnel hors Union européenne (externalisation, plateforme de partage d’informations, etc.) ».
95% ne connaissent pas d’outils spécialisés dans les déclarations CNIL
Un tiers des sondés déclare qu’un système d’information centralisé, complet et fiable, représente un moyen nécessaire à la bonne gestion des risques en matière de données personnelles. L’autre moyen plébiscité (à 52%) est la sensibilisation avec du contrôle interne. En revanche, la grande majorité des entreprises interrogées (95%) ne sait pas qu’il existe aujourd’hui des solutions informatiques dédiées pour faire l’inventaire et piloter dynamiquement ces données sensibles, remplir facilement les formalités CNIL, être alerté et suivre les droits des tiers (droits d’information, d’accès, d’opposition ou de rectification).
Cela met en évidence un écart important entre la prise de conscience et la maîtrise des moyens à mettre en œuvre.
Le besoin d’une gestion des données à caractère personnel provient en majorité des grandes entreprises et des PME. Plus la taille de l’entreprise est grande, plus la nécessité d’une bonne gestion des risques en matière d’informatique et libertés devient une nécessité.
Assurer la convergence de deux mondes opposés
Cette enquête révèle le manque d’information et de méthodologie dans les entreprises pour tout ce qui touche aux données à caractère personnel. Bruno Grégoire Sainte Marie, avocat associé du Cabinet FERAL-SCHUHL / SAINTE-MARIE, indique que « les entreprises sont désormais guidées par leur besoin d’être irréprochables sur un sujet à risque pour leur image comme celui des données personnelles ». Il ajoute que « la mise en conformité « CNIL » passe par un travail transversal au sein de l’établissement pour lequel nous avons développé une méthodologie et un savoir-faire spécifiques ». La nouveauté est que les responsables dans les entreprises, un peu dépassés par les événements, font preuve de bonne volonté. Conscients de leurs lacunes, ils cherchent tous les moyens leur permettant d’être en conformité avec la loi de 2004. « Ces mots "Informatique" d'une part, et "Libertés" de l'autre sonnent comme la convergence de deux mondes opposés : celui du droit, millénaire, et celui du numérique où nous sommes entrés il y a quelques décennies seulement, analyse Patrick Deleau, Président fondateur de LEGAL SUITE. Ce rapprochement vise à trouver avec ce thème des données personnelles le point d'équilibre entre logique économique d'entreprise et respect éthique des libertés individuelles. Tout semble, avec cette Loi, commencer par la contrainte pesant sur les technologies de l'information. Or, ce sont bien les nouvelles technologies qui vont, en définitive, servir aussi bien le respect de la règle du droit des personnes que la sécurité de l'entreprise. »
A propos du VILLAGE DE LA JUSTICE
Premier site des professions du droit depuis 1997, le Village de la justice rassemble avocats, juristes, notaires, huissiers, experts et conseils, étudiants en droit… et les professionnels concernés par le droit tels que RH, experts comptables, etc. Il répond au quotidien de cette communauté professionnelle : recruter, s’informer, se former, trouver un prestataire, un conseil, de l’aide. Le Village de la justice est édité par Legiteam, également éditeur de presse (Lawinfirm) et d’événements. www.village-justice.com et www.legiteam.fr
À propos de LEGAL SUITE
LEGAL SUITE compte à ce jour plus de 200 références tous secteurs confondus, plus de 350 projets et 12.500 utilisateurs à travers le monde. Après l’installation de LEGAL SUITE au Canada début 2006, LEGAL SUITE Belgium a vu le jour au printemps 2007, à Bruxelles.
Pour en savoir plus : www.legal-suite.com
À propos de CIO
Service en ligne associé au magazine CIO, CIO Online est dédié à 100 % aux dirigeants de systèmes d'information et à eux seuls. Opérationnel et concret, il constitue un outil indispensable pour mieux anticiper l'apport des technologies de l'information au fonctionnement de l'entreprise, pour optimiser les projets, pour gérer efficacement leur carrière professionnelle et leur insertion dans une communauté puissante.
www.cio-online.com
En menant ce sondage par Internet, LEGAL SUITE et le Village de la justice ont voulu savoir si les entreprises maîtrisaient la gestion de ces données « sensibles ». La conformité juridique à la Loi Informatique et Libertés est-elle devenue un risque juridique majeur au même titre que les risques commerciaux et financiers ? Une problématique désormais centrale pour les entreprises françaises.
56 % des sondés ne maîtrisent pas ou mal la gestion des données personnelles
Plus de 43% des participants au sondage pensent n’être « pas vraiment » ou « pas du tout » informés sur la Loi Informatique et Libertés. Seul un sur cinq estime l’être « tout à fait ». Bien que cette loi soit en vigueur depuis 1978, manifestement ravivée par la loi de 2004, la sensibilisation des entreprises en France est récente, la CNIL ne multipliant ses interventions que depuis l’année 2006-2007. En 2008, les mentalités évoluent, la CNIL confirmant son statut d’organisme de contrôle mais aussi de sanction. Rappelons que les risques encourus pour atteinte aux libertés individuelles sont conséquents. Le chef d’entreprise ou ses responsables délégués encourent jusqu’à 300 000 € d’amendes, jusqu’à cinq ans de prison et une amende au pénal pouvant atteindre 1,5 M€. Sans compter les éventuels demandes de dommages et intérêts. Avec un effet démultiplicateur puisque les sanctions s’appliquent pour chaque fichier non déclaré ou non recensé dans le registre CIL interne de l’entreprise.
Une majorité des personnes interrogées (60%) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel. Seuls 7,7% ont déclaré ne l’être pas du tout. En matière de connaissance de la notion « Informatique et libertés », les Français se classent en tête au niveau européen. En revanche, 56% avouent ne pas maîtriser la gestion de ce type de données « sensibles ». Cela montre que les entreprises, bien qu’informées des obligations légales vis-à-vis de la CNIL, ne gèrent pas de manière rigoureuse l’ensemble de leurs déclarations et traitements soumis à la loi. D’autant plus que, comme le précise Christiane Féral-Schuhl, avocate associée du Cabinet FERAL-SCHUHL / SAINTE-MARIE, « trop souvent, les notions de données à caractère personnel et de traitement de données à caractère personnel sont mal appréhendées. Il importe, en effet, de rappeler que sont concernées toutes les données permettant d’identifier directement ou indirectement des personnes physiques, telles qu’un numéro de téléphone, un numéro de plaque d’immatriculation ou encore l’adresse IP. C’est dire l’étendue des données et traitements concernés. ».
Qui assure la gestion de ces données personnelles ?
En matière de droit Informatique et Libertés, le service juridique est majoritairement consulté (31,8 %), suivi du département Informatique (24,6 %), de la DRH (15,9 %) et du service CIL (14%). La culture « Informatique et Libertés » est assez hétérogène au sein des entreprises. Presque la moitié des personnes interrogées (46%) ne sait pas si les entreprises ont de plus en plus recours à l’expertise d’un CIL, ces Correspondants locaux Informatique & Libertés (salarié ou collaborateur externe mandaté par l’entreprise) définis par la Loi de 2004. Leur rôle est d’assurer de manière indépendante le respect des obligations légales dans ce domaine. Nous assistons cependant, depuis 2 ans, à une croissance exponentielle des nominations de CIL au sein des entreprises selon le rapport de la CNIL et de l’AFCDP (Association Française des Correspondants aux Données Personnelles, www.afcdp.net). Mais les juristes d’entreprises ne sont pas automatiquement nommés à cette fonction, puisque 92% des sondés, dont 80% sont juristes, déclarent ne pas l’être. Selon Merav Griguer, avocate responsable de l’équipe dédiée à la protection des données au sein du Cabinet FERAL-SCHUHL / SAINTE-MARIE, « la mise en place d’un CIL constitue l’un des critères de bonne gestion des données à caractère personnel ». Elle rappelle cependant que « son institution ne permet pas de solutionner l’ensemble des problématiques « CNIL ». En effet, le CIL n’exonère pas de requérir l’autorisation de la CNIL pour mettre en œuvre des opérations impliquant un transfert de données à caractère personnel hors Union européenne (externalisation, plateforme de partage d’informations, etc.) ».
95% ne connaissent pas d’outils spécialisés dans les déclarations CNIL
Un tiers des sondés déclare qu’un système d’information centralisé, complet et fiable, représente un moyen nécessaire à la bonne gestion des risques en matière de données personnelles. L’autre moyen plébiscité (à 52%) est la sensibilisation avec du contrôle interne. En revanche, la grande majorité des entreprises interrogées (95%) ne sait pas qu’il existe aujourd’hui des solutions informatiques dédiées pour faire l’inventaire et piloter dynamiquement ces données sensibles, remplir facilement les formalités CNIL, être alerté et suivre les droits des tiers (droits d’information, d’accès, d’opposition ou de rectification).
Cela met en évidence un écart important entre la prise de conscience et la maîtrise des moyens à mettre en œuvre.
Le besoin d’une gestion des données à caractère personnel provient en majorité des grandes entreprises et des PME. Plus la taille de l’entreprise est grande, plus la nécessité d’une bonne gestion des risques en matière d’informatique et libertés devient une nécessité.
Assurer la convergence de deux mondes opposés
Cette enquête révèle le manque d’information et de méthodologie dans les entreprises pour tout ce qui touche aux données à caractère personnel. Bruno Grégoire Sainte Marie, avocat associé du Cabinet FERAL-SCHUHL / SAINTE-MARIE, indique que « les entreprises sont désormais guidées par leur besoin d’être irréprochables sur un sujet à risque pour leur image comme celui des données personnelles ». Il ajoute que « la mise en conformité « CNIL » passe par un travail transversal au sein de l’établissement pour lequel nous avons développé une méthodologie et un savoir-faire spécifiques ». La nouveauté est que les responsables dans les entreprises, un peu dépassés par les événements, font preuve de bonne volonté. Conscients de leurs lacunes, ils cherchent tous les moyens leur permettant d’être en conformité avec la loi de 2004. « Ces mots "Informatique" d'une part, et "Libertés" de l'autre sonnent comme la convergence de deux mondes opposés : celui du droit, millénaire, et celui du numérique où nous sommes entrés il y a quelques décennies seulement, analyse Patrick Deleau, Président fondateur de LEGAL SUITE. Ce rapprochement vise à trouver avec ce thème des données personnelles le point d'équilibre entre logique économique d'entreprise et respect éthique des libertés individuelles. Tout semble, avec cette Loi, commencer par la contrainte pesant sur les technologies de l'information. Or, ce sont bien les nouvelles technologies qui vont, en définitive, servir aussi bien le respect de la règle du droit des personnes que la sécurité de l'entreprise. »
A propos du VILLAGE DE LA JUSTICE
Premier site des professions du droit depuis 1997, le Village de la justice rassemble avocats, juristes, notaires, huissiers, experts et conseils, étudiants en droit… et les professionnels concernés par le droit tels que RH, experts comptables, etc. Il répond au quotidien de cette communauté professionnelle : recruter, s’informer, se former, trouver un prestataire, un conseil, de l’aide. Le Village de la justice est édité par Legiteam, également éditeur de presse (Lawinfirm) et d’événements. www.village-justice.com et www.legiteam.fr
À propos de LEGAL SUITE
LEGAL SUITE compte à ce jour plus de 200 références tous secteurs confondus, plus de 350 projets et 12.500 utilisateurs à travers le monde. Après l’installation de LEGAL SUITE au Canada début 2006, LEGAL SUITE Belgium a vu le jour au printemps 2007, à Bruxelles.
Pour en savoir plus : www.legal-suite.com
À propos de CIO
Service en ligne associé au magazine CIO, CIO Online est dédié à 100 % aux dirigeants de systèmes d'information et à eux seuls. Opérationnel et concret, il constitue un outil indispensable pour mieux anticiper l'apport des technologies de l'information au fonctionnement de l'entreprise, pour optimiser les projets, pour gérer efficacement leur carrière professionnelle et leur insertion dans une communauté puissante.
www.cio-online.com
