Protection des données : responsabilités et obligations

Pour Maître Marcel Moritz, avocat pour le cabinet LLC et maître de conférence à l’université de Lille 2, il existe trois types de données différenciées dans l’univers juridique, les données à caractère personnel qui englobent tout ce qui concerne l’identité d’un utilisateur (ID, nom, e-mail ), les données sensibles comme le numéro de sécurité sociale, les opinions politiques et autres, et les données d’entreprise comme le plan de tel ou tel projet.

Les données à caractère personnel entrent dans la cadre de la loi de 78 et la responsabilité de leur protection est assurée par l’entité qui les traite. Ainsi, l’entreprise a l’obligation d’assurer l’intégrité d’une donnée. En règle générale, l’entreprise a l’obligation de sécuriser ses données proportionnellement aux enjeux qu’elles représentent et de déclarer ses fichiers à la CNIL même si dans la réalité, dans le cas où ces mesures ne sont pas effectives, les sanctions ne sont que peu appliquées et au final, ne nuisent que sur l’e-réputation préoccupant davantage les entreprises.

La jurisprudence de 2013 a cependant changé la donne. Selon Maître Moritz, les entreprises vont devoir faire des efforts sur la protection des données. En effet, la Cour de Cassation a statué sur le principe d’incessibilité des données non déclarées, ce qui signifie que ces données seraient non-conformes à la loi de 78 et donc, lors d’un audit, ne feraient pas partie du patrimoine. Un point essentiel pour les entreprises de l’IT, les richesses étant calculées en fonction de leurs données dans les actifs non-matériels.

En 2014, une nouvelle jurisprudence a fait évoluer la situation juridique de la protection des données. Maître  Moritz précise ainsi que, lors d’un procès, des données non-conformes à la législation de 78 ont été présentées devant la cour pour un contentieux. La cour a statué, ces données ne constituaient pas de preuve, ce qui place les entreprises dans l’obligation de protéger leurs données pour pouvoir les utiliser en cas de litige.

Dans certains secteurs, la législation est encore plus renforcée notamment au sein des télécoms qui possèdent des listings de données personnelles (numéros de téléphone, adresses, etc.), dans le domaine médical où les sanctions sont renforcées en raison des données sensibles liées aux patients ainsi que les opérateurs d’importance vitale (OIV) qui sont indispensables à la survie de la nation en terme économique, soit environ 200 entreprises vitrines de la France.

De nouvelles législations devraient voir le jour courant 2015-2019 à l’échelle européenne pour renforcer l’obligation de déclaration des données. Pour les OIV, la sécurité devrait faire l’objet d’un renforcement significatif avec la mise en place d’audits et de vérification, cette loi sanctionnera les négligences en matière de protection des données.

Mettre des mesures de sécurité pour les entreprises comme la sécurité périmétrique, la gestion des accès, la protection et le chiffrement des données est indispensable. Du côté juridique, un conseil et non des moindres, les entreprises devraient déclarer leurs données à la CNIL, contractualiser et sensibiliser leurs employés, diligenter des audits juridiques régulièrement, enfin assurer les dommages immatériels. Le juriste a tenu à préciser que ces quelques mesures aussi bien techniques que juridiques sont « non seulement du bon sens et une responsabilité, mais aussi un excellent moyen d’apporter de la valeur à l’entreprise ».