Merav Griguer, avocate au sein du cabinet Féral-Schuhl / Sainte-Marie, est spécialisée dans les domaines des technologies de l'information et a publié aux éditions Eyrolles l'ouvrage «Le guide de la communication sans risque», avec Vincent Ducrey. Elle a accepté de répondre aux questions de FED Legal.
Quel est l'état actuel de la protection des données personnelles au sein de l'entreprise?
Merav Griguer : Tous les départements de l'entreprise, tels que les ressources humaines, le marketing ou encore les services clients, sont de plus en plus sensibilisés à ces sujets et particulièrement depuis 2006, date à laquelle les pouvoirs de sanction de la CNIL ont été renforcés (jusqu'à 1,5 millions d'euros d'amende pour une personne morale et 5 ans d'emprisonnement) ; elle dispose notamment à cet effet d'un large pouvoir de contrôle.
Les contrôles classiques peuvent prendre la forme de vérifications de la conformité de certains dossiers – tels que fichiers clients et prospects – à la loi Informatique et Liberté, au sein même des locaux de la société.
La CNIL s'attache tout particulièrement à s'assurer que les individus concernés peuvent avoir accès, rectifier ou s'opposer au traitement de leurs données personnelles ou encore que la protection de ces données est bien garantie dans le cadre de transferts de données hors de l'Union Européenne. En effet, dès lors que des données sont hébergées dans un pays non membre de l'UE et qu'elles n'ont pas fait l'objet d'une décision d'adéquation de la Commission Européenne, le niveau de protection est considéré comme insuffisant. Dans ce cas, il convient d'appliquer le régime dérogatoire strict au principe d'interdiction qui suppose en pratique un délai d'attente de 2 mois, versus pas de délai d'attente pour la déclaration en ligne d'un même traitement dont les données seraient hébergées au sein de l'UE (le récépissé de la CNIL étant adressé sans délai si la déclaration est conforme).
En résumé, la loi est stricte mais praticable : il faut informer les personnes dont les données vont être collectées et traitées et être transparent avec la CNIL dans sa déclaration, en veillant à ne pas être anxiogène !
Comment les directions juridiques traitent-elles ces problématiques en interne ?
Merav Griguer : D'expérience, il existe en réalité quatre types d'interlocuteurs pouvant répondre des questions de protection des données personnelles : les directions juridiques dans 50% des cas, les services « compliance » et déontologie (20%), les directions informatiques (30%), témoignant d'une capacité de raisonnement juridique, et les responsables de services tels que les ressources humaines ou le marketing (dans moins d'1% des cas).
L'essentiel est d'avoir un superviseur ou correspondant informatique et libertés (CIL) unique, identifié, indépendant et disposant de relais au sein de l'entreprise. Afin d'éviter tout conflit hiérarchique, il est recommandé de ne pas le rattacher directement à la Direction Juridique et de le dédier à 100% à cette fonction.
Le règlement européen de 2012, qui devrait entrer en vigueur en 2015, rendra obligatoire l'existence d'un CIL à toutes les entreprises de plus de 250 salariés et celles qui traitent de données à risque. Ce dernier critère sera précisé par chaque Etat, mais l'on peut déjà supposer que les données concernées seront celles visées par l'article 8 de la loi informatique et libertés, c'est à dire celles liées à l'origine ethnique, à la sexualité ou encore à la santé.
Dans quelle mesure les données personnelles sont-elles protégées sur les réseaux sociaux ?
Merav Griguer : Le principal problème qui se pose dans le cadre des réseaux sociaux (comme Facebook) ou des microblogging (tels que Twitter) est l'abus dans l'exercice de la liberté d'expression : diffamation, injure, dénigrement d'une société ou d'un prestataire. Les réseaux
sociaux constituent non seulement l'exutoire des employés mais également des consommateurs et plus généralement de l'opinion publique. Néanmoins, il ne s'agit pas d'une zone de non droit. Le dirigeant d'une société a ainsi été condamné à une amende de 10 000 € pour s'être plaint des services d'un prestataire sur un réseau social.
Une des questions qui revient est de savoir où se situe la frontière entre la vie privée et la vie publique. Si l'information est accessible au public, elle pourra être exploitée par l'employeur pour justifier une sanction disciplinaire pouvant aller jusqu'au licenciement.
La Cour de Cassation a de plus élargi le critère : un propos lié à l'activité professionnelle ne relève pas de la sphère privée en dépit d'un accès limité à un certain nombre de personnes.
La question se transpose également concernant les syndicats : la liberté d'expression au sein de l'entreprise peut-elle s'appliquer sur un microblogging, accessible au public ? Les limites sont encore floues et des précisions doivent encore être apportées par les tribunaux.
Contrairement aux idées reçues, une donnée personnelle accessible sur internet n'est pas de facto une donnée qui peut être librement utilisée. Avant chaque collecte ou traitement de données à caractère personnel, il convient de s'assurer que la personne concernée est bien informée et consent à l'utilisation de ses données pour les objectifs et les destinations envisagés.
Propos recueillis par Audrey Déléris, consultante.