L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de...
-
Point d'étape sur les actions répressives à l'encontre de Google en Europe
Publié le : 24/07/2013 24 juillet juil. 07 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa CNIL a récemment mis en demeure Google de se conformer à la loi Informatique et Libertés sous 3 mois.Protection de la vie privée des utilisateurs des serv...
-
Twitter : le nouveau cheval de bataille de Najat Vallaud-Belkacem
Publié le : 14/01/2013 14 janvier janv. 01 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxA la fin de l'année 2012, des propos racistes, xénophobes et antisémites se sont multipliés de manière incrémentale sur le site de micro-blogging Twitter. Na...
-
Le cloud computing : avantages et risques juridiques pour l’entreprise
Publié le : 26/12/2012 26 décembre déc. 12 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxSuivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’un mode de traitement des données d’un client, dont l’exploitation s’effectue pa...
-
Transposition du nouveau cadre réglementaire européen des communications électroniques
Publié le : 13/04/2012 13 avril avr. 04 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe décret portant transposition du nouveau cadre réglementaire européen des communications électroniques a été publié au Journal Officiel du 31 mars 2012.Com...
-
Entreprises: gestion des fichiers informatiques par le CIL
Publié le : 03/04/2012 03 avril avr. 04 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxDirigeant d'entreprise, vous utilisez, pour les besoins de votre activité, des fichiers informatiques répertoriant vos salariés, fournisseurs, sous traitants...
-
Droits d'auteur: la CJUE bloque le filtrage généralisé chez les hébergeurs
Publié le : 22/02/2012 22 février févr. 02 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxDans un arrêt du 16 février 2012, la Cour de Justice de l'Union Européenne a confirmé qu'on ne pouvait contraindre un hébergeur à surveiller et à filtrer les...