L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
Le projet de loi relatif à la lutte contre la fraude fiscale adopté
Publié le : 08/11/2013 08 novembre nov. 11 2013Entreprises / Finances / FiscalitéLe projet de loi relatif à la lutte contre la fraude fiscale et la grande dél...
-
Les conditions de la vente d'un bien par une commune
Publié le : 07/11/2013 07 novembre nov. 11 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLes communes qui vendent un bien de leur domaine, privé évidemment, sont conf...
-
Le bail rural et les activités équestres
Publié le : 06/11/2013 06 novembre nov. 11 2013Entreprises / Gestion de l'entreprise / Construction ImmobilierDepuis la loi du 23 févier 2005 relative au développement des territoires rur...
-
Le Sénat rejette à l'unanimité la réforme des retraites
Publié le : 06/11/2013 06 novembre nov. 11 2013Particuliers / Emploi / Retraite / Epargne salarialeMardi 5 novembre, le Sénat a rejeté à l'unanimité le projet de loi garantissa...
-
Adoption définitive de la loi sur l’indépendance de l’audiovisuel public
Publié le : 05/11/2013 05 novembre nov. 11 2013Collectivités / Services publics / Service public / Délégation de service publicLe Parlement a adopté définitivement le 31 octobre le projet de loi sur l'ind...
-
Taxe sur les véhicules de sociétés: paiement avant le 30 novembre
Publié le : 04/11/2013 04 novembre nov. 11 2013Entreprises / Finances / FiscalitéLes sociétés doivent payer chaque année la taxe sur les véhicules de sociétés...
-
Suspension de la mise en service de la taxe poids lourds
Publié le : 31/10/2013 31 octobre oct. 10 2013Collectivités / Environnement / EnvironnementLe Gouvernement a pris la décision, mardi 29 octobre 2013, de suspendre la mi...
-
La lutte contre les retards de paiement
Publié le : 31/10/2013 31 octobre oct. 10 2013Collectivités / Finances locales / Fiscalité/ Gestion de fait/ Chambre des ComptesDans le cadre de l’arrêté du 20 septembre 2013, le Ministère du Budget a mis...
-
Fonction publique : nouveau principe général du droit
Publié le : 30/10/2013 30 octobre oct. 10 2013Collectivités / Services publics / Fonction publique / Personnel administratifL’administration a l'obligation, lorsqu’elle entend affecter un fonctionnaire...
-
La mise en place d'un mi-temps thérapeutique pour un salarié
Publié le : 30/10/2013 30 octobre oct. 10 2013Entreprises / Ressources humaines / Temps de travailLe travail à temps partiel pour motif thérapeutique, permet, à l’issue d’une...
-
Spécialisation : bientôt la fin du régime transitoire
Publié le : 29/10/2013 29 octobre oct. 10 2013Actualités EUROJURISNous vous rappelons que le délai d'un an initialement prévu pour le régime tr...
-
Le Décret n° 2013-879 du 1er octobre 2013 relatif au contentieux de l'urbanisme
Publié le : 29/10/2013 29 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeCe décret s'inscrit dans une succession de textes qui visent à accélérer les...
-
Le projet de loi ALUR adopté par le Sénat
Publié le : 29/10/2013 29 octobre oct. 10 2013Particuliers / Patrimoine / Immobilier / LogementLe Sénat a adopté samedi 26 octobre en première lecture le projet de loi Dufl...
-
Détenteurs d'un compte PAYPAL: attention à la protection de vos données
Publié le : 25/10/2013 25 octobre oct. 10 2013Particuliers / Consommation / Informatique et InternetLa CNIL alerte les détenteurs d'un compte PAYPAL que PAYPAL a décidé unilatér...
-
L'obligation de dépollution
Publié le : 24/10/2013 24 octobre oct. 10 2013Collectivités / Environnement / EnvironnementDans un arrêt du 16 mai 2013, la Cour d'Appel d’Aix-en-Provence a rendu une d...
-
La réglementation sur le travail de nuit
Publié le : 24/10/2013 24 octobre oct. 10 2013Entreprises / Ressources humaines / Temps de travailLa réglementation sur le travail de nuit occupe actuellement le devant de la...
-
Quel régime fiscal applicable à la prestation compensatoire ?
Publié le : 24/10/2013 24 octobre oct. 10 2013Particuliers / Famille / DivorcesLors d’un divorce, l'un des époux peut être tenu de verser à l'autre une pres...
-
Célébration des mariages de personnes de même sexe: pas de clause de conscience pour l'officier d'état civil
Publié le : 22/10/2013 22 octobre oct. 10 2013Collectivités / Contentieux / Responsabilité civile et pénale de l'éluDans une décision rendue le 18 octobre 2013, le Conseil constitutionnel refus...
-
Lancement du FSFE, Fonds pour les Savoir-Faire d’Excellence
Publié le : 22/10/2013 22 octobre oct. 10 2013Entreprises / Finances / FiscalitéArnaud Montebourg, ministre du Redressement productif, et Sylvia Pinel, minis...
-
Clause de conciliation préalable obligatoire: nécessité de l'information des parties
Publié le : 22/10/2013 22 octobre oct. 10 2013Particuliers / Civil / Pénal / Procédure pénale / Procédure civileIl n’est pas rare que les notaires insèrent dans leurs actes une clause de co...
-
Plafonnement des frais bancaires
Publié le : 22/10/2013 22 octobre oct. 10 2013Particuliers / Consommation / Contrats de vente / PrêtsUn décret du 17 octobre 2013 fixe le montant maximum des commissions que les...
-
Confier à votre avocat le règlement d'un litige par voie amiable
Publié le : 21/10/2013 21 octobre oct. 10 2013Entreprises / Contentieux / Justice commercialeL’avocat dispose d’outils structurés pour mener à bien ce type de mission, à...
-
Arbitrage: La Cour de Cassation rappelle l’étendue des pouvoirs du Juge de l’annulation
Publié le : 21/10/2013 21 octobre oct. 10 2013Particuliers / Civil / Pénal / Procédure pénale / Procédure civileDans une décision rendue le 11 septembre 2013, la première Chambre Civile de...
-
Réglementation du cumul d’activités des fonctionnaires et agents publics non titulaires
Publié le : 18/10/2013 18 octobre oct. 10 2013Collectivités / Services publics / Fonction publique / Personnel administratifUn agent public peut –il créer une structure de droit privé ? Une entreprise...
-
Saisie entre les mains d’un tiers domicilié en Nouvelle-Calédonie
Publié le : 18/10/2013 18 octobre oct. 10 2013Entreprises / Contentieux / Voies d'exécutionLa loi du 9 juillet 1991 portant réforme des procédures civiles d’exécution n...
-
Réparation des dommages de construction hors garantie légale
Publié le : 18/10/2013 18 octobre oct. 10 2013Particuliers / Patrimoine / ConstructionJusqu’à un arrêt récent, obtenir la réparation des désordres affectant les ma...
-
Rapport pour la réparation du préjudice écologique
Publié le : 16/10/2013 16 octobre oct. 10 2013Collectivités / Environnement / EnvironnementLe 17 septembre 2013, le groupe de travail sur la réparation du préjudice éco...
-
Quelles constructions autorisées en zone agricole et en zone inconstructible ?
Publié le : 15/10/2013 15 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionDes précisions sur la notion de construction et installation nécessaire à l'e...
-
Le régime de l'action en paiement exercée contre les associés d'une société civile dissoute
Publié le : 15/10/2013 15 octobre oct. 10 2013Entreprises / Contentieux / Voies d'exécutionDans un arrêt rendu par sa troisième Chambre, le 11 juin 2013, la Cour de Cas...
-
Gestation pour le compte d’autrui et refus de la transcription d’actes de naissance «frauduleux»
Publié le : 15/10/2013 15 octobre oct. 10 2013Particuliers / Famille / Mariage / PACS / Concubinage / Vie civileDeux arrêts du 13 septembre 2013 pour interdire une transcription de naissanc...
-
Comment saisir l'organe délibérant pour une révision accélérée du plu ?
Publié le : 11/10/2013 11 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeDepuis le 1er janvier 2013, les collectivités territoriales ont à leur dispos...
-
Un certificat d'urbanisme peut bloquer l'instauration d'un droit de préemption
Publié le : 10/10/2013 10 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe certificat d'urbanisme garantit le maintien, pendant sa durée de validité,...
-
Fixation du montant de l’aide de l’État aux entreprises d’insertion
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Ressources humaines / Salaires et avantagesUn arrêté du 3 octobre 2013 fixe le montant et les modalités de versement de...
-
Le dépôt obligatoire des fonds en CARPA vu par la Cour de cassation
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Finances / Banque et financeDans un arrêt de la Chambre Criminelle de la Cour de Cassation en date du 23...
-
Implantation d'une prothèse défectueuse et responsabilité sans faute du service hospitalier
Publié le : 10/10/2013 10 octobre oct. 10 2013Particuliers / Santé / Responsabilité médicaleLe Conseil d’Etat a eu l’occasion de répondre à la délicate question de savoi...
-
Isolement acoustique des bâtiments d'habitation, illustration par des schémas
Publié le : 09/10/2013 09 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismePar un arrêté du 3 septembre 2013, le Ministère de l'égalité des territoires...
-
Nullité de la concession d'aménagement pour illégalité de l'opération d'aménagement
Publié le : 09/10/2013 09 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe Conseil d'Etat vient de décider que l'illégalité d'une opération d'aménage...
-
Retrait du permis de conduire en dehors du travail : pas de faute grave
Publié le : 09/10/2013 09 octobre oct. 10 2013Entreprises / Ressources humaines / Discipline et licenciementIl est de jurisprudence constante qu'un motif tiré de la vie personnelle du s...
-
Recours en matière d’urbanisme et contrôle de l’intérêt à agir
Publié le : 09/10/2013 09 octobre oct. 10 2013Particuliers / Patrimoine / ConstructionDès le 18 juillet 2013, le Gouvernement a adopté une ordonnance n°2013-638 re...
-
Condition d'indemnisation du régisseur en cas de dommages à l'ouvrage qu'il exploite
Publié le : 08/10/2013 08 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionLe Conseil d'Etat vient de préciser les conditions dans lesquelles le régisse...
-
Le CGPP a-t-il pour effet de déclasser le domaine public virtuel existant ?
Publié le : 08/10/2013 08 octobre oct. 10 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionNon. L'entrée en vigueur du CGPPP n'a pas eu pour effet de déclasser les dépe...
-
Les activités de prestation de service - La détérioration ou la perte du cheval
Publié le : 08/10/2013 08 octobre oct. 10 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionLes relations contractuelles entre le (ou les) propriétaire(s) d’un cheval et...
-
Le propriétaire commerçant exproprié a-t-il droit au relogement ?
Publié le : 08/10/2013 08 octobre oct. 10 2013Particuliers / Patrimoine / ExpropriationNon. La Cour de Cassation vient de préciser que le droit au relogement des oc...
-
Les délais de paiement dans les relations entre les collectivités et les entreprises
Publié le : 07/10/2013 07 octobre oct. 10 2013Collectivités / Marchés publics / ExécutionL’on sait combien sont sensibles les questions relatives aux délais de paieme...
-
Réunion régionale Ile-de-France le 16 octobre
Publié le : 07/10/2013 07 octobre oct. 10 2013Actualités EUROJURISCette réunion est organisée et animée par:Patricia MINAULT, Avocat au Barreau...
-
Le décret du 1er octobre 2013 relatif au contentieux de l'urbanisme
Publié le : 04/10/2013 04 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe décret n°2013-879 du 1er octobre 2013 relatif au contentieux de l’urbanism...
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des...