Archive

Posts Tagged ‘CNIL’

Vidéosurveillance au travail : oui mais pas n’importe comment

4 décembre, 2015 Commentaires fermés

Le Conseil d’État a rendu il y a quelques jours un arrêt à propos de l’installation de caméras de surveillance, par un employeur, sur un lieu de travail.

Si l’installation de caméras de surveillance sur un lieu de travail n’est pas en principe interdit, cette installation ne doit pas être faite n’importe comment.

C’est ce que rappelle le Conseil d’État dans son arrêt du 18 novembre 2015 (N° 371196), confirmant une décision de la CNIL intervenue en mai 2013.

Les faits rapportés dans l’arrêt montre que l’employeur avait installé un système de vidéosurveillance.  L’une des « caméra[s] permettait de voir le poste d’une salariée et […] la n° 3 était orientée en direction d’une salle où travaillaient six personnes ; qu’à la suite de deux lettres de rappel adressées les 6 et 23 juillet 2012, le deuxième contrôle de la Commission lui a permis de constater le 15 octobre 2012, soit au-delà de l’échéance fixée par la mise en demeure du 13 avril 2012, que, si les orientations des deux caméras avaient été modifiées, la n° 3 était dirigée désormais vers le poste d’un autre salarié ; que ce n’est que lors du troisième et dernier contrôle, le 11 décembre 2012, qu’il est apparu qu’aucun salarié n’était plus sous la surveillance constante de caméras« .

L’installation de caméras de surveillance pose 3 questions juridiques :

  • la pertinence du recours à ce procédé ;
  • l’information des personnes concernées ;
  • la sécurisation des données personnelles.

Lire la suite…

Publicités
Catégories :Juridique Étiquettes : , ,

Sécurisez les données personnelles de vos clients !

23 novembre, 2015 3 commentaires

Traditionnellement, l’élément principal du fonds de commerce d’une entreprise est sa clientèle. Ce point de vue est d’autant plus important dans le commerce en ligne.

Les données, des clients en particulier, sont devenues le nerf de la guerre pour les commerçants en ligne.

Outre le risque de perte de données, cruciales, le manque de sécurisation des données personnelles présente pour vous un risque de contentieux.

La sécurisation du stockage des données personnelles

sécurisez vos données clientsLe stockage des données personnelles de vos clients doit être fait de manière sécurisée. En d’autres termes, les données personnelles que vous possèdez sur vos clients doivent être cryptées.

Un stockage en clair des données personnelles n’est pas conforme à l’article 34 de la loi de 1978 qui prévoit que le responsable du traitement des données en assure « la sécurité […], notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Ainsi, si vos données clients sont stockées en clair, elles peuvent être déformées que ce soit volontairement ou involontairement. De plus, des tiers, non autorisés peuvent y avoir accès sans votre  autorisation.

Les tiers évoqués par le texte peuvent également être des salariés votre entreprise ou des sous-traitants. Ainsi, tous les salariés d’une entreprise ne sont pas censés avoir accès aux données clients.

Ne sont susceptibles d’avoir accès à ces données que les salariés en ayant besoin pour accomplir leurs tâches. Ainsi, par exemple, les salariés du service RH n’ont pas besoin des données clients et donc ne devraient pas y avoir accès.

Il faut dès lors mettre en place une politique de gestion des mots de passe d’accès aux données à protéger.

Quel risque en cas de défaut de sécurisation des données personnelles ?

Le fait de ne pas respecter les dispositions de l’article 34 de la loi de 1978 est une infraction prévue par le code pénal, l’article 226-17 en l’occurrence. La peine maximale encourue ? Cinq ans d’emprisonnement et de 300 000 euros d’amende !

En plus de l’action pénale, vous risquez une procédure diligentée par la CNIL, sur plainte d’un client notamment.Votre entreprise peut alors être condamnée à une sanction pécuniaire.

Vous pensez que ce risque n’est hypothétique et ne concerne que les petites entreprises ? Une grande enseigne a récemment été épinglée par la CNIL [PDF] pour avoir conserver les données de ses clients sans protection suffisante, après reçu une mise en demeure n’ayant pas été entièrement satisfaite.

Bilan ? Une sanction pécuniaire de 50 000 euros et la publication de cette condamnation.

Je pense néanmoins que les risques les plus important dans le défaut de sécurisation n’est pas juridique.

Les deux risques majeurs sont :

  • le risque est la perte irréversible de données mais également
  • l’impact négatif sur l’image de l’entreprise.

Une telle négligence pourrait ternir durablement l’image d’une entreprise aux yeux de ses clients et prospects.

 

L’adresse IP est-elle une donnée personnelle ?

8 janvier, 2008 1 commentaire

Faut-il voir les adresses IP comme des données personnelles ? La question, loin d’être anodine s’est posée au moment où les sociétés d’auteurs ont souhaité relever les adresses IP des internautes pratiquant des téléchargements de fichiers protégés par le droit d’auteur.

La CNIL s’est prononcée favorablement dès la fin 2004. Elle a également rendu 3 décisions le 18 octobre 2005 réaffirmant sa position : les adresses IP sont des données personnelles.

Dans la mesure où les adresses IP sont des données personnelles, les dispositions de la loi du 6 janvier 1978 modifiée sont donc applicables. Il est dès lors nécessaire, aux termes de l’art. 25 de la loi du 6 janvier 1978 modifiée de demander l’autorisation à la CNIL de recueillir ces données. C’est une autorisation et non une simple déclaration qui est nécessaire. Dans le cas présent, le recueil vise en effet des données relatives à des infractions : la procédure est dès lors plus contraignante.

Lire la suite…