ACCUEIL MISSIONS PLAN D'ACCÈS CONTACT ISANET PAYE ISANET COMPTA UK SITE IN ENGLISH



Membre de

PRAXITY

> Mention légale



BOIS GUILLAUME
ROUEN
DIEPPE
EU
PONT L'EVEQUE
LIVAROT
YVETOT
CANY BARVILLE







    ARCHIVES >  GESTION

 
Gérez vos fichiers dans les règles de l’art !
Comme beaucoup d’autres structures (associations, administrations…), les entreprises utilisent très souvent des fichiers informatiques contenant des données à caractère personnel et procèdent à des opérations sur ces fichiers. Des fichiers qui renferment, par définition, des informations permettant d’identifier les personnes concernées et dont l’usage ou l’exploitation sont susceptibles de porter atteinte à leur vie privée et à leurs libertés. Aussi, pour être en règle avec la célèbre loi « informatique et libertés », les entreprises doivent-elles remplir un certain nombre d’obligations et adopter quelques bonnes pratiques.
Déclarer ses fichiers

Quels fichiers déclarer ?

Les entreprises qui détiennent et gèrent des fichiers dans lesquels figurent des informations personnelles sont tenues, en principe, de les déclarer à la Commission nationale de l’informatique et des libertés (Cnil).

Précision : pour la loi, les informations « à caractère personnel » sont celles « qui sont relatives à une personne identifiée ou pouvant être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (nom, prénoms, date de naissance, photo, numéro de téléphone, adresse courriel, numéro d’immatriculation, etc.). Une définition large qui a donc vocation à s’appliquer à un grand nombre de données…

Étant précisé que l’obligation de déclaration ne concerne que les fichiers permettant d’identifier des personnes physiques. Les fichiers contenant exclusivement des données relatives à des personnes morales (sociétés, associations…) n’ont pas à être déclarés à la Cnil.

Déclaration ou autorisation

Selon le contenu des fichiers et la finalité des traitements dont ils font l’objet, la déclaration à produire peut relever de plusieurs procédures.

- La procédure simplifiée concerne les fichiers qui ne portent pas atteinte à la vie privée et aux libertés individuelles. La Cnil a ainsi établi et publié des normes qui précisent les finalités des traitements pouvant faire l’objet d’une déclaration simplifiée, les données à caractère personnel traitées, la catégorie de personnes concernées, les destinataires auxquels ces données sont communiquées et la durée de conservation de celles-ci.

Les dirigeants d’entreprise peuvent être rassurés : pour les cas les plus courants, ils n’ont à remplir qu’une déclaration simplifiée. Tel est, en effet, le cas des traitements des fichiers clients et prospects de l’entreprise, des fichiers de gestion des horaires des salariés, de la restauration d’entreprise, ou encore des fichiers courants des ressources humaines (gestion des carrières, formation professionnelle des salariés…).

- Pour les traitements qui ne sont pas expressément visés par une norme simplifiée, une déclaration ordinaire s’impose, dans laquelle un certain nombre d’informations complémentaires doivent être données. Il en est ainsi, par exemple, d’un traitement de recrutement des salariés (base de données de CV ou de candidats) ou d’un traitement permettant un contrôle de l’activité professionnelle des salariés.

Attention : simplifiée ou ordinaire, la déclaration doit être souscrite avant la mise en œuvre du traitement. Un retard dans l’accomplissement des formalités est susceptible d’être sanctionné au même titre qu’un défaut de déclaration.

- Les traitements les plus sensibles – ceux qui intègrent des données telles que l’origine raciale, les opinions politiques ou religieuses, l’appartenance à un syndicat, la santé, la vie sexuelle, des données génétiques ou biométriques, faisant état de condamnations en justice, etc. – requièrent, quant à eux, une autorisation préalable de la Cnil. C’est le cas par exemple lorsqu’une entreprise décide de ficher ses clients mauvais payeurs dans une « liste noire » ou lorsqu’elle entend créer un fichier permettant le fonctionnement d’un dispositif d’accès aux locaux par reconnaissance de l’empreinte digitale des salariés.

Dispense de déclaration

Certains traitements de données très courants, qui ne soulèvent aucune difficulté particulière, sont totalement dispensés de déclaration. Les traitements informatisés de la comptabilité de l’entreprise, de la paie du personnel (rémunérations, tenue des registres obligatoires, déclarations sociales) et de la gestion des fournisseurs peuvent ainsi être mis en œuvre sans aucune formalité à accomplir auprès de la Cnil.

Attention là encore, la dispense de déclaration est subordonnée au respect des conditions posées par la Cnil. Ainsi, par exemple, les fichiers paie sont dispensés de déclaration sous réserve que les traitements de ces données aient pour seules finalités celles indiquées par la Cnil (calcul et paiement des rémunérations…), que les données collectées soient uniquement celles énumérées par la Cnil (identité, situation familiale et matrimoniale, nombre d’enfants à charge…) et que leurs destinataires soient seulement ceux définis pas la Cnil (service chargé de l’administration et de la paie du personnel, organismes gérant les différents systèmes d’assurances sociales…).

Comment déclarer ?

Les entreprises peuvent déclarer leurs fichiers à la Cnil par courrier ou, plus simplement, par Internet sur le site www.cnil.fr. Plusieurs types de formulaires peuvent ainsi être remplis selon qu’il s’agit d’une déclaration normale ou simplifiée. Et quelques jours après la déclaration, l’entreprise reçoit un récépissé qui lui permet alors de mettre en œuvre le traitement projeté en toute légalité.

Les demandes d’autorisation nécessitent, quant à elles, un examen plus approfondi par la Cnil. Pouvant également être transmises en ligne, elles doivent faire l’objet d’un dossier complet comprenant un certain nombre d’informations très précises. La réponse de la Cnil intervenant, cette fois, dans un délai de deux mois environ.

À noter que toutes ces formalités sont gratuites.

Notre conseil : remplir correctement une déclaration, et a fortiori une demande d’autorisation, n’est pas simple. Aussi, est-il vivement conseillé de prendre contact avec la Cnil, qui vous informera de la nature et de l’étendue des éventuelles obligations à remplir à son égard et qui vous guidera dans l’accomplissement des formalités. Bien entendu, nous sommes à votre disposition pour vous assister dans vos démarches auprès de la Cnil.

Informer les personnes fichées

Les personnes qui sont concernées par un fichier disposent de droits. Du droit de demander à prendre connaissance des informations les concernant contenues dans le fichier considéré (on parle de « droit d’accès »), du droit de faire procéder à la correction de ces informations (« droit de rectification »), et enfin, du droit de s’opposer, à condition toutefois de faire valoir une raison légitime, à ce que les données personnelles les concernant fassent l’objet d’un traitement et soient, par exemple, utilisées à des fins de prospection commerciale (« droit d’opposition »). Ces droits pouvant être exercés à tout moment.

L’entreprise qui détient des fichiers de données à caractère personnel et procède à des traitements est donc tenue, dès leur collecte, d’informer les personnes concernées qu’elles disposent de ces droits. En pratique, une mention en ce sens doit être inscrite dans ses divers formulaires de collecte de données (bons de commande, formulaire de contact…) et sur son site Internet.

Garantir la sécurité des fichiers

L’entreprise est aussi garante de la confidentialité et de la sécurité des données à caractère personnel contenues dans ses fichiers. Aussi doit-elle impérativement s’assurer que ces informations ne soient pas divulguées à des personnes qui ne sont pas habilitées à les consulter. Un certain nombre de mesures doivent donc être prises à cette fin. L’entreprise doit notamment sécuriser l’accès aux locaux dans lesquels peuvent se trouver des fichiers de données sensibles et mettre ces derniers sous clé. Elle doit également veiller à ce que l’accès et l’utilisation de ces fichiers ne soient possibles qu’aux personnes habilitées et dotées de mots de passe qu’il sera prudent de changer régulièrement.

À noter : le transfert de ces fichiers sensibles vers un pays extérieur à l’Union européenne est en principe interdit.

Respecter la finalité des fichiers

Il convient aussi impérativement de respecter la finalité des traitements ainsi déclarés ou autorisés. En effet, un fichier doit avoir un objectif précis et les informations qu’il contient doivent être cohérentes et utilisées par rapport à cet objectif. Quant à la durée de conservation des données, elle ne doit pas excéder le temps de réalisation de cet objectif.

Gare aux sanctions encourues en cas de non-respect des règles !

Les entreprises qui procèdent ou font procéder, y compris par négligence, à des traitements de données à caractère personnel sans avoir respecté les formalités obligatoires préalables à leur mise en œuvre encourent deux types de sanctions :

- des sanctions administratives, telles qu’un avertissement, une amende ou encore une injonction de cesser le traitement litigieux, prononcées par la Cnil après une procédure contradictoire au cours de laquelle l’entreprise aura eu la faculté d’apporter des explications et été invitée à se mettre en conformité avec la loi ;

- des sanctions pénales, qui peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende, infligées par les tribunaux (mais rarement prononcées en pratique). Ces sanctions pénales sont également encourues en cas de violation de l’obligation de garantir la sécurité et la confidentialité des données ou de non-respect de la durée de conservation des informations ou de la finalité d’un traitement.

Désignez un correspondant informatique et libertés !

Une entreprise a tout intérêt à désigner en interne un « correspondant à la protection des données à caractère personnel », plus communément appelé « correspondant informatique et libertés » (Cil). En effet, ce Cil est chargé de veiller au bon respect dans l’entreprise des obligations imposées par la loi informatique et libertés. Et l’existence d’un Cil dispense l’entreprise des formalités de déclarations préalables obligatoires.

Cette fonction peut être assurée par n’importe quel salarié de l’entreprise dès lors qu’il possède un minimum de compétences juridiques et techniques. Pour des raisons d’indépendance et d’objectivité, il ne peut s’agir ni d’un dirigeant ni d’un associé de la société.

La nomination d’un Cil doit être portée à la connaissance des représentants du personnel et être notifiée à la Cnil.

Article du 13/12/2011 - © Copyright Les Echos Publishing - 2013

haut de page




Archives...
 GESTION

Combien vaut votre entreprise ?
13/10/2017
Recouvrer une créance grâce à la procédure d’injonction de payer
22/09/2017
Quel statut pour le conjoint de l’exploitant agricole ?
15/05/2017
Enregistrer un nom de domaine, mode d’emploi
03/02/2017
10 décisions à prendre avant la fin de l’année
02/12/2016
Optimisez le pilotage de votre entreprise !
16/09/2016
Comment motiver votre équipe commerciale ?
15/07/2016
Le statut du conjoint du chef d’entreprise
25/12/2015
Le crowdfunding, nouveau système de financement de l’entreprise
10/07/2015
Les conditions générales de vente
05/06/2015
La déclaration sociale nominative : préparez-vous dès maintenant !
27/03/2015
Adoptez une gestion éco-responsable dans votre entreprise !
26/03/2014
Factures 2014 : êtes-vous au point ?
29/01/2014
Développement de l’entreprise : comment financer un projet innovant ?
15/01/2014
La responsabilité sociale et environnementale : un enjeu majeur pour les entreprises
25/11/2013
Tentez votre chance à l’export !
10/07/2013
Préparez-vous à la migration SEPA !
05/06/2013
À qui verser les dividendes ?
03/04/2013
Comment fixer ses prix sans commettre d’impairs ?
27/02/2013
Assurance chômage des dirigeants 2013
15/02/2013
Protégez vos innovations !
14/11/2012
Exercer une activité professionnelle à domicile
01/08/2012
Prévenir les difficultés de l’entreprise
28/06/2012
Déclarer ses créances impayées à une procédure collective
28/06/2012
Les documents commerciaux de l’entreprise
17/04/2012
Création d’un site internet : soyez irréprochable !
17/04/2012
Gérez vos fichiers dans les règles de l’art !
13/12/2011
Comment optimiser votre financement ?
09/11/2011
Mettre en place des ventes liées ou des ventes avec prime
05/09/2011
Les assurances de l’entreprise
05/07/2011
Les covenants bancaires ou clauses imposant à l’emprunteur de respecter des ratios financiers
02/05/2011
Conservation des documents de l’entreprise : quels délais ?
15/12/2010




© 2009-2017 - Les Echos Publishing - mentions légales