Non-respect de la loi en matière de données personnelles : la facture peut rapidement s'alourdir…
Publié par Carine Guicheteau le | Mis à jour le
La collecte et le traitement des données personnelles sont strictement encadrés par la loi. Consentement des personnes, durée de conservation et sécurisation des informations sont notamment surveillés. Si vous contrevenez à la loi, vous encourez des amendes et même des peines d'emprisonnement…
Dans le cadre de votre activité, vous collectez un certain nombre de données clients, prospects… Cette collecte est strictement encadrée par la loi informatique et libertés du 6 janvier 1978, modifiée par celle du 6 août 2004. En attendant l'harmonisation au niveau européen, quel est ce cadre juridique en France ?
“L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques”, tel est l'article 1er de la loi précédemment citée. De ce principe de base découlent des obligations que vous devez respecter, sous peine d'amende et même d'emprisonnement. Panorama des sanctions !
1) Vous devez déclarer la création de fichier auprès de la Cnil
La création de tout fichier de traitement automatisé d'informations nominatives doit être déclarée préalablement à la Commission nationale de l’informatique et des libertés, alias la Cnil. Cette formalité est gratuite. Il existe un certain nombre de dispenses d'autorisation, comme pour les fichiers de fournisseurs, une dispense qui ne vaut pas pour d'autres obligations (information des personnes, durée de conservation, sécurité des données…). Autre cas de dispense : si vous avez désigné un correspondant informatique & libertés (CIL) au sein de votre entreprise.
“Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 € d'amende”, précise l'article 226-16 du Code pénal.
2) Vous devez obtenir le consentement de la personne pour collecter ses données
Dans la plupart des cas, vous ne pouvez collecter des informations personnelles sans en informer les principaux intéressés. Il existe des cas où ce consentement n'est pas nécessaire. "C'est le cas dans pour tout traitement des données qui poursuivent un intérêt légitime, comme le fichier des impôts. Ou encore le dossier du personnel pour une entreprise", souligne Christophe Champoussin, co-respondant informatique et libertés chez Anaxia Conseil, qui accompagne les sociétés dans leurs problématiques de gestion des données à caractère personnel.
À cet effet, vous devez leur indiquer votre identité, la finalité du traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l'existence de leurs droits et les transmissions envisagées. Vous devez notamment leur donner un droit d'accès et de rectification.
Si tel n'est pas le cas, vous encourez une amende de 1 500 euros par infraction constatée et de 3 000 euros en cas de récidive. Il s'agit ici de l'article 131-13 du Code pénal.
Si la personne s'est opposée à ce que vous collectiez des informations la concernant et que vous outrepassez son opposition, vous tombez sous le coup de l'article 226-18-1 du Code pénal qui prévoit que “procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.”
Un consentement express (c'est-à-dire écrit) est par ailleurs obligatoire dans le cas de collectes d'informations dites sensibles, comme les origines raciales ou ethniques, les opinions politiques ou religieuses, l'appartenance syndicale, l'orientation sexuelle ou encore les questions liées à la santé.
“Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement express de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende”, précise l'article 226-19 du Code pénal.
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende, selon l'article 226-18 du Code pénal.
3) Vous devez respecter la finalité pour laquelle vous avez obtenu l'autorisation de la Cnil
Lors de votre demande d'autorisation de constitution de fichier, vous avez indiqué la finalité de cette collecte de données. Si vous exploitez ces informations dans un autre cadre, vous êtes en tort.
“Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende”, selon l'article 226-21 du Code pénal.
4) Vous ne pouvez conserver indéfiniment ces données
Là encore, lors de votre déclaration de fichier à la Cnil, vous vous êtes engagé à conserver les données collectées selon une durée limitée. "Chaque donnée personnelle a une date de péremption, aime à rappeler Christophe Champoussin. La loi précise que les données doivent être conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Et c'est bien là que réside toute la difficulté... Quand est-ce qu'un client est considéré comme plus client ? À partir de quand dois-je le supprimer de la base de données clients ? C'est à étudier au cas par cas."
“Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi”, précise l'article 226-20 du Code pénal.
5) Vous devez sécuriser ces données
Assez logiquement, vous avez l'obligation de sécuriser ces données tant en interne que pour l'externe. Pour ce faire, vous pouvez notamment mettre en œuvre des logins et mots de passe pour accéder aux fichiers et des logiciels type pare-feu.
Là encore, les sanctions sont de cinq ans d'emprisonnement et de 300 000 € d'amende, en vertu de l'article 226-17 du Code pénal.
Par ailleurs, seules les personnes habilitées peuvent consulter ces données. Lors de la déclaration du fichier à la Cnil, vous devez préciser le responsable du traitement des données. Si ces données étaient amenées à être divulguées, vous tombez sous le coup de l'article 226-22 du Code pénal, qui stipule : “Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 € d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.”
La Cnil commence par vous adresser un avertissement, qui peut être public, ensuite vient la mise en demeure, puis la sanction pécuniaire, l’injonction de cesser le traitement ou le retrait d’autorisation, l’interruption du traitement, le verrouillage de certaines données, l’information du Premier ministre, la saisine du juge des référés et la publicité des sanctions.