Non-respect des données à caractère personnel, facteur d’e-réputation négative des entreprises

Aux confins du thème de la sécurité des données et de l’e-réputation (encore nommée web-réputation, cyber-réputation ou réputation numérique) des entreprises, se trouve tout un champ d’intervention que les entreprises auraient intérêt à contrôler sérieusement — ce que beaucoup ignorent complètement —, c’est celui du respect des données à caractère personnel, autrement dit du respect des prescriptions de la loi Informatique, fichier et libertés et des obligations déclaratives auprès de la CNIL.

Nous ne rappellerons pas une énième fois les règles à respecter, dont on trouvera sur ce site la synthèse (voir les liens ci-dessous). Mais il semble utile d’attirer l’attention des responsables d’entreprises, aussi bien les dirigeants (considérés juridiquement comme les « responsables des traitements de données à caractère personnel » au regard de l'article 3-I de la loi) que les responsables informatiques, sur le risque d’engager la réputation de leur entreprise, tout simplement par négligence juridique et/ou technique.

En effet, aucune entreprise — ni aucune collectivité publique d’ailleurs — n’est à l’abri des sanctions prévues par la loi.
Or parmi ces sanctions il en est de fort douces, en ce sens qu’aucune amende ni peine de prison n’est prononcée. L’arsenal prévu au code pénal (les délits des articles 226-16 à 24, mais aussi, on les oublie souvent, les contraventions des articles R.625-10 à 13) et dans la loi (article 51) n’est pas forcément mis en œuvre : en pratique, assez peu souvent.

En revanche, ces sanctions non pénales, instaurées depuis la réforme de 2004 et renforcées plus récemment, peuvent s'avérer infiniment plus douloureuses sur le plan de la réputation de l’entreprise ou de la collectivité publique.

Parmi les pouvoirs de la CNIL, il existe celui de rendres publiques ses décisions à l'encontre d'une entreprise récalcitrante.

Les procédures de contrôle de la CNIL et leurs suites

Spontanément ou sur plainte de personnes intéressées, la CNIL peut décider d'effectuer des contrôles. La procédure est soigneusement encadrée par les articles 11, 2°, f) et 44 de la loi, et par les articles 61 à 65 du décret du 20 octobre 2005.
Le contrôle dans les locaux d’une entreprise peut avoir lieu à tout moment entre 6h et 21h sans nécessaire préavis.
À l’issue de ce contrôle, la Commission peut émettre des avis et des recommandations dans un but pédagogique et amiable, invitant le ou les dirigeants de l’entreprise, qui sont juridiquement les responsables des traitements, à mettre ceux-ci en conformité avec la loi. 
Un second contrôle de la CNIL peut donc avoir lieu pour vérifier que l’entreprise à tenu compte de ces recommandations.

Lorsque la Commisssion constate qu’elle n’a pas été entendue et que la situation n’a pas évolué, sa formation contentieuse (dite aussi formation restreinte) lance une procédure contradictoire à l’issue de laquelle elle peut  prononcer (article 45) :

  • Un avertissement ;
  • Une mise en demeure ;
  • Assortie ou non d’une sanction « pécuniaire » ;
  • Une injonction de cesser le traitement ;
  • Ou encore le retrait de l’autorisation donnée par la CNIL lorsque celle-ci avait été nécessaire.

Toutes ces mesures peuvent être rendues publiques ou pas (article 46, al.2).
La CNIL, peut également décider que l’entreprise devra publier la décision la concernant dans la presse à ses frais (même article).

La Commission peut également décider de saisir le Procureur de la République compétent pour diligenter des poursuites pénales à l’encontre de l’entreprise pour entrave à la loi ou à l’action de la CNIL sur la base de l’arsenal pénal précité. Cette saisine peut aussi être rendue publique par la CNIL.

Risque juridique, risque médiatique, risque politique…

On voit donc que le non-respect des règles de la loi Informatique, fichiers et libertés — qui rappelons-le, est conçue pour protéger les libertés individuelles des citoyens — peut coûter très cher à une entreprise sur le plan :

  • Juridique (sanction pécuniaire de la CNIL ou sanction plus lourde en cas de poursuite pénale) ;
  • Médiatique, qui relève directement de la réputation de l’entreprise ;
  • « Politique » :
    • Au sens large pour une entreprise qui peut se trouver au cœur d’une crise médiatique qui lui nuit gravement ;
    • Au sens étroit pour une collectivité locale qui — par exemple en période électorale — se trouverait confrontée à une affaire de ce type qui pourrait profiter à l’opposition locale…

Vive la prévention juridique et informatique !

En France hélas les services juridiques d’entreprises ou de collectivités publiques sont encore trop souvent considérés — et parfois ainsi nommés — comme des services de contentieux : c’est dire qu’on s’inquiète du droit uniquement lorsqu’il est trop tard et que le contentieux est noué…

Pourtant la prévention serait la meilleure garantie pour éviter ce type de risque qui est avant tout juridique mais pas uniquement.
La prévention s’étend nécessairement au plan informatique.
La loi institue en effet l’obligation de « préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (loi, article 34) et crée une forte sanction pénale pour avoir failli à cette obligation (article 226-17 code pénal).
Il convient donc d’être le plus vigilant possible et de s’assurer que les données traitées sont bien protégées, à l’aide des systèmes et mesures de protection techniques qui s’imposent.

Des exemples récents de sanctions médiatisées

Il est fréquent que la CNIL use de l'arme médiatique, qui — elle le sait bien — peut coûter bien plus qu’une simple sanction pécuniaire : que représente 20 000 € de sanction pécuniaire pour une banque ? Mais en revanche quelle publicité pour cette banque lorsque cette sanction et ses raisons sont rendues publiques par la CNIL !

Tout récemment quelques mesures non pécuniaires ont été rendues publiques, rejaillissant ainsi inévitablement sur l’image de l’entreprise :

10 juillet 2013 : Avertissement pour BNP PARIBAS en raison d'une radiation tardive du FICP :
www.cnil.fr/linstitution/actualite/article/article/avertissement-pour-bnp-paribas-en-raison-dune-radiation-tardive-du-ficp/
12 septembre 2013 : Mise en demeure d’un centre commercial E. LECLERC pour surveillance excessive des salariés (objet de notre actualité du 17 septembre) :
www.cnil.fr/linstitution/actualite/article/article/videosurveillance-mise-en-demeure-dun-centre-commercial-e-leclerc-pour-surveillance-excessiv/
16 septembre 2013 : Mise en demeure du PSG concernant une liste noire de supporters :
www.cnil.fr/linstitution/actualite/article/accessible/non/article/mise-en-demeure-du-psg-concernant-une-liste-noire-de-supporters/

En savoir plus

Voir sur Légifrance :

Loi du 6 janvier 1978 modifiée :

  • L'article 3 ;
  • L'article 11, 2°, f ;
  • L'article 34 (Chapitre V : Obligations incombant aux responsables de traitements et droits des personnes > Section 1 : Obligations incombant aux responsables de traitements, sur l'obligation de sécurité des données)
  • L’article 44 (Chapitre VI : Le contrôle de la mise en œuvre des traitements)
  • Les articles 45 et suivants (Chapitre VII : Sanctions prononcées par la formation restreinte de la Commission nationale de l'informatique et des libertés)

Décret du 20 octobre 2005 :

  • Articles 61 à 65 (Des pouvoirs de la commission > Chapitre 1er Contrôle et vérifications > Section 2 : Le contrôle sur place)

Sanctions pénales :

  • Délit d’entrave à la loi :
    Code pénal : Livre II : Des crimes et délits contre les personnes > Titre II : Des atteintes à la personne humaine > Chapitre VI : Des atteintes à la personnalité > Section 5 : Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques : articles 226-16 à 226-24
  • Contraventions :
    Code pénal, Partie réglementaire : Livre VI : Des contraventions > Titre II : Des contraventions contre les personnes > Chapitre V : Des contraventions de la cinquième classe contre les personnes > Section 6 : Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques : articles R.625-10 à 13.
  • Délit d’entrave à l’action de la Commission :
    Loi, Chapitre VIII Dispositions pénales, article 51

Sur le site de la CNIL :

Voir notre fiche synthétique sur Les Données à caractère personnel.

Voir nos prestations Au service de votre e-réputation
Action : Nettoyage du Net et Redressement d’image
Prévention : Communication positive et Suivi d’image


 

Didier FROCHOT