Trouver votre expert comptable

Déclarer la collecte de données personnelles, c’est obligatoire !

Publié le jeudi 23 février 2017 à 11h24
Par Anne-Claire Ordas, Accroche-press' pour France Défi
Experts & Décideurs Vie de l’entreprise Juridique Déclarer la collecte de données personnelles, c’est obligatoire !

La collecte de données personnelles sur Internet est une pratique courante mais non sans règle. La Cnil (commission national de l’informatique et des libertés) encadre ces usages et impose de s’y conformer. un fonctionnement qui sera néanmoins amené à évoluer prochainement.

Les exigences de la Cnil ? Ce chef d’entreprise du nord de la France s’en serait bien passé, lui qui, en 2009, a voulu licencier une salariée indélicate. Motif : elle usait abusivement de sa messagerie électronique à titre personnel –plus de 120 échangés en deux mois. Mal en a pris à l’employeur. Il n’avait pas déclaré au préalable son dispositif de contrôle individuel des flux de mails auprès de la Commission nationale de l’informatique et des libertés. Le moyen de la preuve ayant été jugé « illicite », le licenciement est devenu « sans cause réelle et sérieuse ».

La déclaration de la collecte des données personnelles : une obligation de longue date

L’obligation de déclaration de l’utilisation de données personnelles auprès de la Cnil ne date pourtant pas d’hier. Elle est inscrite dans la Loi informatique et liberté de 1978, renforcée en 2004 par la Loi de la confiance dans l’économie numérique (LCEN). Le non-respect des textes peut être sévèrement puni, les sanctions allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amendes.

« Toutes les entreprises sont a priori soumises à ces lois, explique Michel Guillout, responsable informatique du cabinet d’expertise comptable CIGECO, membre du groupement France Défi. En fait cela dépend du type de données recueillies et de ce qui en est fait ». Nom, adresse de courrier électronique, photo, numéro de Sécurité sociale : si les informations se retrouvent simplement stockées, une clause de confidentialité peut suffire. Les services supports de l’entreprise, tels que la comptabilité, le service de la paie ou les ressources humaines sont dispensés de déclaration à la Cnil. En revanche, à partir du moment où l’entreprise utilise les données, comme lorsqu’un supermarché produit une carte de fidélité pour ses clients par exemple, il faut le déclarer via un formulaire sur le site de la Commission. En cas de doute, pour l’entrepreneur, il suffit de se connecter sur cnil.fr et de répondre à quelques questions pour vérifier si, oui ou non, il est concerné. A noter : même en cas de recours à un sous-traitant, le donneur d’ordre reste responsable du traitement des données.

Définir les objectifs de la collecte des données personnelles

« Dans sa déclaration, explique Michel Guillout, on définit notamment les objectifs de la collecte de données personnelles et la durée de conservation des informations. L’entreprise doit garantir un droit d’accès et de modification. Elle doit également préciser comment elle sécurise les informations recueillies. » A partir de ces points et dans un délai de quatre semaines environ, la Cnil accorde ou non le droit d’utiliser les fichiers. Ne sont pas admis pour la collecte les critères ethniques, religieux ou physique. « La Cnil évalue la cohérence des informations recueillies avec l’activité de l’entreprise », précise Michel Guillout.

Pour l’instant, note le responsable informatique, la loi ne s’applique que si l’entreprise, mais également les moyens de traitement des données sont domiciliés sur le territoire français…Les entreprises étrangères, même établies hors de l’Union européenne, seront néanmoins bientôt toutes soumises à la même règle avec l’entrée en vigueur du règlement européen du 27 avril 2016 prévu pour mai 2018. En France, la Cnil, à partir de cette date, ne sera plus destinataire des formalités préalables mais aura en revanche toujours pour mission de contrôler la bonne mise en œuvre du règlement.

Pour en savoir plus

La Cnil explique sur son site les obligations en matière de protection des données