L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
Confier à votre avocat le règlement d'un litige par voie amiable
Publié le : 21/10/2013 21 octobre oct. 10 2013Entreprises / Contentieux / Justice commercialeL’avocat dispose d’outils structurés pour mener à bien ce type de mission, à...
-
Arbitrage: La Cour de Cassation rappelle l’étendue des pouvoirs du Juge de l’annulation
Publié le : 21/10/2013 21 octobre oct. 10 2013Particuliers / Civil / Pénal / Procédure pénale / Procédure civileDans une décision rendue le 11 septembre 2013, la première Chambre Civile de...
-
Réglementation du cumul d’activités des fonctionnaires et agents publics non titulaires
Publié le : 18/10/2013 18 octobre oct. 10 2013Collectivités / Services publics / Fonction publique / Personnel administratifUn agent public peut –il créer une structure de droit privé ? Une entreprise...
-
Saisie entre les mains d’un tiers domicilié en Nouvelle-Calédonie
Publié le : 18/10/2013 18 octobre oct. 10 2013Entreprises / Contentieux / Voies d'exécutionLa loi du 9 juillet 1991 portant réforme des procédures civiles d’exécution n...
-
Réparation des dommages de construction hors garantie légale
Publié le : 18/10/2013 18 octobre oct. 10 2013Particuliers / Patrimoine / ConstructionJusqu’à un arrêt récent, obtenir la réparation des désordres affectant les ma...
-
Rapport pour la réparation du préjudice écologique
Publié le : 16/10/2013 16 octobre oct. 10 2013Collectivités / Environnement / EnvironnementLe 17 septembre 2013, le groupe de travail sur la réparation du préjudice éco...
-
Quelles constructions autorisées en zone agricole et en zone inconstructible ?
Publié le : 15/10/2013 15 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionDes précisions sur la notion de construction et installation nécessaire à l'e...
-
Le régime de l'action en paiement exercée contre les associés d'une société civile dissoute
Publié le : 15/10/2013 15 octobre oct. 10 2013Entreprises / Contentieux / Voies d'exécutionDans un arrêt rendu par sa troisième Chambre, le 11 juin 2013, la Cour de Cas...
-
Gestation pour le compte d’autrui et refus de la transcription d’actes de naissance «frauduleux»
Publié le : 15/10/2013 15 octobre oct. 10 2013Particuliers / Famille / Mariage / PACS / Concubinage / Vie civileDeux arrêts du 13 septembre 2013 pour interdire une transcription de naissanc...
-
Comment saisir l'organe délibérant pour une révision accélérée du plu ?
Publié le : 11/10/2013 11 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeDepuis le 1er janvier 2013, les collectivités territoriales ont à leur dispos...
-
Un certificat d'urbanisme peut bloquer l'instauration d'un droit de préemption
Publié le : 10/10/2013 10 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe certificat d'urbanisme garantit le maintien, pendant sa durée de validité,...
-
Fixation du montant de l’aide de l’État aux entreprises d’insertion
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Ressources humaines / Salaires et avantagesUn arrêté du 3 octobre 2013 fixe le montant et les modalités de versement de...
-
Le dépôt obligatoire des fonds en CARPA vu par la Cour de cassation
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Finances / Banque et financeDans un arrêt de la Chambre Criminelle de la Cour de Cassation en date du 23...
-
Implantation d'une prothèse défectueuse et responsabilité sans faute du service hospitalier
Publié le : 10/10/2013 10 octobre oct. 10 2013Particuliers / Santé / Responsabilité médicaleLe Conseil d’Etat a eu l’occasion de répondre à la délicate question de savoi...
-
Isolement acoustique des bâtiments d'habitation, illustration par des schémas
Publié le : 09/10/2013 09 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismePar un arrêté du 3 septembre 2013, le Ministère de l'égalité des territoires...
-
Nullité de la concession d'aménagement pour illégalité de l'opération d'aménagement
Publié le : 09/10/2013 09 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe Conseil d'Etat vient de décider que l'illégalité d'une opération d'aménage...
-
Retrait du permis de conduire en dehors du travail : pas de faute grave
Publié le : 09/10/2013 09 octobre oct. 10 2013Entreprises / Ressources humaines / Discipline et licenciementIl est de jurisprudence constante qu'un motif tiré de la vie personnelle du s...
-
Recours en matière d’urbanisme et contrôle de l’intérêt à agir
Publié le : 09/10/2013 09 octobre oct. 10 2013Particuliers / Patrimoine / ConstructionDès le 18 juillet 2013, le Gouvernement a adopté une ordonnance n°2013-638 re...
-
Condition d'indemnisation du régisseur en cas de dommages à l'ouvrage qu'il exploite
Publié le : 08/10/2013 08 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionLe Conseil d'Etat vient de préciser les conditions dans lesquelles le régisse...
-
Le CGPP a-t-il pour effet de déclasser le domaine public virtuel existant ?
Publié le : 08/10/2013 08 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionNon. L'entrée en vigueur du CGPPP n'a pas eu pour effet de déclasser les dépe...
-
Les activités de prestation de service - La détérioration ou la perte du cheval
Publié le : 08/10/2013 08 octobre oct. 10 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionLes relations contractuelles entre le (ou les) propriétaire(s) d’un cheval et...
-
Le propriétaire commerçant exproprié a-t-il droit au relogement ?
Publié le : 08/10/2013 08 octobre oct. 10 2013Particuliers / Patrimoine / ExpropriationNon. La Cour de Cassation vient de préciser que le droit au relogement des oc...
-
Les délais de paiement dans les relations entre les collectivités et les entreprises
Publié le : 07/10/2013 07 octobre oct. 10 2013Collectivités / Marchés publics / ExécutionL’on sait combien sont sensibles les questions relatives aux délais de paieme...
-
Réunion régionale Ile-de-France le 16 octobre
Publié le : 07/10/2013 07 octobre oct. 10 2013Actualités EUROJURISCette réunion est organisée et animée par:Patricia MINAULT, Avocat au Barreau...
-
Le décret du 1er octobre 2013 relatif au contentieux de l'urbanisme
Publié le : 04/10/2013 04 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe décret n°2013-879 du 1er octobre 2013 relatif au contentieux de l’urbanism...
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des...
-
Garantie effondrement avant réception et action directe du maître de l’ouvrage
Publié le : 04/10/2013 04 octobre oct. 10 2013Particuliers / Patrimoine / AssurancesLa garantie contre le risque d’effondrement en cours de chantier est une gara...
-
La complémentaire santé bientôt obligatoire pour tous les salariés
Publié le : 27/09/2013 27 septembre sept. 09 2013Entreprises / Ressources humaines / Salaires et avantagesLa loi du 14 juin 2013 de sécurisation de l’emploi, conformément à l’Accord n...
-
Logements: prime exceptionnelle d’aide à la rénovation thermique
Publié le : 27/09/2013 27 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementUn décret publié au Journal officiel du jeudi 19 septembre 2013 précise les c...
-
Les conditions d'indemnisation en cas d'éviction à l'attribution d'un contrat public
Publié le : 26/09/2013 26 septembre sept. 09 2013Collectivités / Marchés publics / Contestation et contentieuxPar une décision rendue le 10 juillet 2013, la Haute juridiction a précisé qu...
-
Inaptitude médicale du salarié et reprise du paiement du salaire
Publié le : 26/09/2013 26 septembre sept. 09 2013Entreprises / Ressources humaines / Salaires et avantagesL’inaptitude médicale du salarié donne lieu à un abondant contentieux et se p...
-
Constitution des SCI: demande de suppression de l'article 70 Quater du projet de loi ALUR
Publié le : 26/09/2013 26 septembre sept. 09 2013Entreprises / Vie de l'entreprise / Création de l'entrepriseLe projet de loi Alur adopté en 1ère lecture à l’Assemblée Nationale le 17 se...
-
Le Conseil d'Etat recadre le droit indemnitaire de l'entreprise titulaire d'un marché à forfait
Publié le : 25/09/2013 25 septembre sept. 09 2013Collectivités / Marchés publics / ExécutionLe fait de l’administration susceptible d’ouvrir droit à indemnisation, même...
-
L'abandon de l'exclusivité n'est pas une rupture partielle de relations commerciales
Publié le : 25/09/2013 25 septembre sept. 09 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionL'abandon réciproque de l'exclusivité commerciale conformément aux stipulatio...
-
Sur les conséquences du refus de statuer
Publié le : 24/09/2013 24 septembre sept. 09 2013Collectivités / Marchés publics / ExécutionA l’issue d’un marché public de travaux, l’entrepreneur doit notifier un proj...
-
Travail de nuit: Sephora devra fermer à 21h
Publié le : 23/09/2013 23 septembre sept. 09 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionLa chaîne de magasins de vente de parfums et de produits cosmétiques Sephora...
-
Deuxième conférence environnementale les 20 et 21 septembre 2013
Publié le : 19/09/2013 19 septembre sept. 09 2013Collectivités / Environnement / EnvironnementPhilippe Martin a présenté le 11 septembre 2013 le bilan de la conférence env...
-
Les concours de "mini miss" bientôt interdits en France?
Publié le : 19/09/2013 19 septembre sept. 09 2013Particuliers / Consommation / DistributionSuite au projet de loi sur l’égalité hommes-femmes, le Sénat vient de voter l...
-
Deux nouveaux associés au cabinet Cornet Vincent Ségurel
Publié le : 18/09/2013 18 septembre sept. 09 2013Actualités EUROJURISDeux anciens avocats de DLA Piper, Adrien Debré, Counsel et d’Alexis Marchand...
-
L'obligation de sécurité et de moyens incombant à la commune exploitante d'une station de ski
Publié le : 18/09/2013 18 septembre sept. 09 2013Collectivités / Services publics / Service public / Délégation de service publicL'exploitant d'un domaine skiable est tenu à l'égard des skieurs à une obliga...
-
Traitement des déchets d'imprimés papiers
Publié le : 18/09/2013 18 septembre sept. 09 2013Collectivités / Environnement / EnvironnementUn décret relatif à la contribution à la collecte, à la valorisation et à l'é...
-
Contrats de génération: une souplesse de quelques semaines accordée aux entreprises
Publié le : 18/09/2013 18 septembre sept. 09 2013Entreprises / Ressources humaines / Contrat de travailLes entreprises qui sont en cours de négociation et qui n’auraient pas déposé...
-
Marché unique des télécommunications: propositions de la Commission
Publié le : 18/09/2013 18 septembre sept. 09 2013Particuliers / Consommation / Informatique et InternetLa Commission européenne a présenté le 11 septembre 2013 son projet de réform...
-
Lancement du portail internet guichet-entreprises.fr
Publié le : 17/09/2013 17 septembre sept. 09 2013Entreprises / Vie de l'entreprise / Création de l'entrepriseLa ministre de l'artisanat, du commerce et du tourisme, Sylvia PINEL, a lancé...
-
Transfert de propriété d'une construction anciennement autorisée sur le domaine public
Publié le : 13/09/2013 13 septembre sept. 09 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionL'ouvrage construit par une personne privée qui surplombe une voie publique e...
-
Bientôt une tarification à la minute dans les parkings
Publié le : 13/09/2013 13 septembre sept. 09 2013Particuliers / Consommation / DistributionUn amendement en faveur de la tarification à la minute, déposé par Philippe D...
-
Modalités de gestion des moyens de paiement et des activités bancaires du secteur public
Publié le : 12/09/2013 12 septembre sept. 09 2013Collectivités / Finances locales / Fiscalité/ Gestion de fait/ Chambre des ComptesLa Direction générale des finances publiques (DGFiP) a publié une instruction...
-
L’encadrement des loyers adopté par l’Assemblée nationale
Publié le : 12/09/2013 12 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementL'Assemblée nationale a adopté ce jeudi 12 septembre en première lecture le d...