L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des...
-
Garantie effondrement avant réception et action directe du maître de l’ouvrage
Publié le : 04/10/2013 04 octobre oct. 10 2013Particuliers / Patrimoine / AssurancesLa garantie contre le risque d’effondrement en cours de chantier est une gara...
-
La complémentaire santé bientôt obligatoire pour tous les salariés
Publié le : 27/09/2013 27 septembre sept. 09 2013Entreprises / Ressources humaines / Salaires et avantagesLa loi du 14 juin 2013 de sécurisation de l’emploi, conformément à l’Accord n...
-
Logements: prime exceptionnelle d’aide à la rénovation thermique
Publié le : 27/09/2013 27 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementUn décret publié au Journal officiel du jeudi 19 septembre 2013 précise les c...
-
Les conditions d'indemnisation en cas d'éviction à l'attribution d'un contrat public
Publié le : 26/09/2013 26 septembre sept. 09 2013Collectivités / Marchés publics / Contestation et contentieuxPar une décision rendue le 10 juillet 2013, la Haute juridiction a précisé qu...
-
Inaptitude médicale du salarié et reprise du paiement du salaire
Publié le : 26/09/2013 26 septembre sept. 09 2013Entreprises / Ressources humaines / Salaires et avantagesL’inaptitude médicale du salarié donne lieu à un abondant contentieux et se p...
-
Constitution des SCI: demande de suppression de l'article 70 Quater du projet de loi ALUR
Publié le : 26/09/2013 26 septembre sept. 09 2013Entreprises / Vie de l'entreprise / Création de l'entrepriseLe projet de loi Alur adopté en 1ère lecture à l’Assemblée Nationale le 17 se...
-
Le Conseil d'Etat recadre le droit indemnitaire de l'entreprise titulaire d'un marché à forfait
Publié le : 25/09/2013 25 septembre sept. 09 2013Collectivités / Marchés publics / ExécutionLe fait de l’administration susceptible d’ouvrir droit à indemnisation, même...
-
L'abandon de l'exclusivité n'est pas une rupture partielle de relations commerciales
Publié le : 25/09/2013 25 septembre sept. 09 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionL'abandon réciproque de l'exclusivité commerciale conformément aux stipulatio...
-
Sur les conséquences du refus de statuer
Publié le : 24/09/2013 24 septembre sept. 09 2013Collectivités / Marchés publics / ExécutionA l’issue d’un marché public de travaux, l’entrepreneur doit notifier un proj...
-
Travail de nuit: Sephora devra fermer à 21h
Publié le : 23/09/2013 23 septembre sept. 09 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distributionLa chaîne de magasins de vente de parfums et de produits cosmétiques Sephora...
-
Deuxième conférence environnementale les 20 et 21 septembre 2013
Publié le : 19/09/2013 19 septembre sept. 09 2013Collectivités / Environnement / EnvironnementPhilippe Martin a présenté le 11 septembre 2013 le bilan de la conférence env...
-
Les concours de "mini miss" bientôt interdits en France?
Publié le : 19/09/2013 19 septembre sept. 09 2013Particuliers / Consommation / DistributionSuite au projet de loi sur l’égalité hommes-femmes, le Sénat vient de voter l...
-
Deux nouveaux associés au cabinet Cornet Vincent Ségurel
Publié le : 18/09/2013 18 septembre sept. 09 2013Actualités EUROJURISDeux anciens avocats de DLA Piper, Adrien Debré, Counsel et d’Alexis Marchand...
-
L'obligation de sécurité et de moyens incombant à la commune exploitante d'une station de ski
Publié le : 18/09/2013 18 septembre sept. 09 2013Collectivités / Services publics / Service public / Délégation de service publicL'exploitant d'un domaine skiable est tenu à l'égard des skieurs à une obliga...
-
Traitement des déchets d'imprimés papiers
Publié le : 18/09/2013 18 septembre sept. 09 2013Collectivités / Environnement / EnvironnementUn décret relatif à la contribution à la collecte, à la valorisation et à l'é...
-
Contrats de génération: une souplesse de quelques semaines accordée aux entreprises
Publié le : 18/09/2013 18 septembre sept. 09 2013Entreprises / Ressources humaines / Contrat de travailLes entreprises qui sont en cours de négociation et qui n’auraient pas déposé...
-
Marché unique des télécommunications: propositions de la Commission
Publié le : 18/09/2013 18 septembre sept. 09 2013Particuliers / Consommation / Informatique et InternetLa Commission européenne a présenté le 11 septembre 2013 son projet de réform...
-
Lancement du portail internet guichet-entreprises.fr
Publié le : 17/09/2013 17 septembre sept. 09 2013Entreprises / Vie de l'entreprise / Création de l'entrepriseLa ministre de l'artisanat, du commerce et du tourisme, Sylvia PINEL, a lancé...
-
Transfert de propriété d'une construction anciennement autorisée sur le domaine public
Publié le : 13/09/2013 13 septembre sept. 09 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionL'ouvrage construit par une personne privée qui surplombe une voie publique e...
-
Bientôt une tarification à la minute dans les parkings
Publié le : 13/09/2013 13 septembre sept. 09 2013Particuliers / Consommation / DistributionUn amendement en faveur de la tarification à la minute, déposé par Philippe D...
-
Modalités de gestion des moyens de paiement et des activités bancaires du secteur public
Publié le : 12/09/2013 12 septembre sept. 09 2013Collectivités / Finances locales / Fiscalité/ Gestion de fait/ Chambre des ComptesLa Direction générale des finances publiques (DGFiP) a publié une instruction...
-
L’encadrement des loyers adopté par l’Assemblée nationale
Publié le : 12/09/2013 12 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementL'Assemblée nationale a adopté ce jeudi 12 septembre en première lecture le d...
-
EPCI et mise en œuvre du schéma départemental d'accueil des gens du voyage
Publié le : 11/09/2013 11 septembre sept. 09 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionUn EPCI peut-il imposer la réalisation d'une aire d'accueil à une commune non...
-
Manuel BOSQUE au Congrès du Barreau Colombien
Publié le : 10/09/2013 10 septembre sept. 09 2013Actualités EUROJURISManuel BOSQUE a été invité à s'exprimer à ce Congrès, tant en son nom personn...
-
Contentieux du permis de construire: lutte contre les recours malveillants
Publié le : 10/09/2013 10 septembre sept. 09 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeL'ordonnance n° 2013-6380 du 18 juillet 2013, relative au contentieux de l'ur...
-
Jeunes Entreprises Innovantes (JEI): des précisions
Publié le : 10/09/2013 10 septembre sept. 09 2013Entreprises / Finances / FiscalitéDans une circulaire du 29 août 2013, l'ACOSS précise les modalités pratiques...
-
Réglementation applicable aux stages en entreprises
Publié le : 10/09/2013 10 septembre sept. 09 2013Particuliers / Emploi / Contrat de travailUn décret du 19 août 2013 abroge plusieurs décrets relevant du code du travai...
-
Faute inexcusable imputable à la collectivité employeur et compétence exclusive du T.A.S.S.
Publié le : 09/09/2013 09 septembre sept. 09 2013Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeUn agent contractuel de droit public victime d’un accident du travail, dès lo...
-
Fixation du barème indicatif de la valeur vénale moyenne des terres agricoles en 2012
Publié le : 09/09/2013 09 septembre sept. 09 2013Entreprises / Gestion de l'entreprise / Construction ImmobilierUn arrêté du 26 juillet 2013 fixant le barème indicatif de la valeur vénale m...
-
Base de donnée des notaires
Publié le : 06/09/2013 06 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementLe Décret du 3 septembre 2013 relatif aux bases de données notariales portant...
-
Information sur les critères d'attribution dans les marchés subséquents à un accord cadre
Publié le : 06/09/2013 06 septembre sept. 09 2013Collectivités / Marchés publics / Procédure de passationQuelle information sur les critères d'attribution dans les marchés subséquent...
-
Bail d'habitation, droit de préemption du locataire et commission de l'agent immobilier
Publié le : 05/09/2013 05 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementLe locataire titulaire d'un droit de préemption ne peut se voir imposer la co...
-
L'éxécution et le procès équitable: un atelier animé par Me BOSQUE
Publié le : 05/09/2013 05 septembre sept. 09 2013Actualités EUROJURISCe texte a été publié dans le numéro spécial de la Semaine Juridique du 1er j...
-
Vice de procédure et adoption PLU?
Publié le : 05/09/2013 05 septembre sept. 09 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeL'insuffisante information des membres du conseil municipal, préalablement à...
-
Une commune peut-elle modifier son projet de PLU au cours de l'enquête publique?
Publié le : 05/09/2013 05 septembre sept. 09 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeNon. Seules les modifications résultant de l'enquête publique et des avis émi...
-
Réparation des seuls préjudices ayant un lien de causalité direct avec l'éviction irrégulière
Publié le : 04/09/2013 04 septembre sept. 09 2013Collectivités / Marchés publics / Contestation et contentieuxLe Conseil d'Etat dans une décision du 10 juillet 2013 vient préciser les con...
-
Travaux conformes au permis de construire mais non conformes aux règles de l'urbanisme
Publié le : 04/09/2013 04 septembre sept. 09 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe Maire peut-il interrompre des travaux conformes au permis de construire ma...
-
Liquidation judiciaire: suppression du code 040
Publié le : 04/09/2013 04 septembre sept. 09 2013Entreprises / Contentieux / Entreprises en difficultés / procédures collectivesUn décret du 2 septembre 2013 supprime le code 040 (dirigeant ayant connu une...
-
Participants aux émissions de télé-réalité : des salariés, oui, mais pas des artistes- interprètes
Publié le : 04/09/2013 04 septembre sept. 09 2013Entreprises / Ressources humaines / Contrat de travailDans une décision qui a retenu l’attention, la Cour de cassation est revenue...
-
Divorce : la prestation compensatoire, crainte du viticulteur
Publié le : 04/09/2013 04 septembre sept. 09 2013Particuliers / Famille / DivorcesLorsque des époux divorcent, il est fréquent que dans les faits, la séparatio...
-
L'activité de conseil en propriété industrielle: une activité de caractère commercial?
Publié le : 03/09/2013 03 septembre sept. 09 2013Entreprises / Marketing et ventes / Marques et brevetsLa gestion d'un portefeuille (marques, noms de domaine) par un conseil en pro...
-
Renforcement de la protection des personnes et de la dignité humaine
Publié le : 03/09/2013 03 septembre sept. 09 2013Particuliers / Civil / Pénal / VictimesLe droit pénal français renforce sa législation relative à la lutte contre la...
-
Sur l'accès au dispositif d'initiation aux métiers en alternance
Publié le : 30/08/2013 30 août août 08 2013Particuliers / Emploi / Contrat de travailLe décret relatif à l'accès au dispositif d'initiation aux métiers en alterna...
-
Organisation de la médecine du travail: annulation de certaines dispositions du décret
Publié le : 27/08/2013 27 août août 08 2013Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeLe Conseil d’État, dans une décision du 17 juillet 2013, a annulé plusieurs a...
-
Affaire Tapie: comment l’arbitrage a-t-il été conduit ?
Publié le : 26/08/2013 26 août août 08 2013Entreprises / Contentieux / Justice commercialeIl est difficile de porter une appréciation sur la décision d’arbitrage sans...
-
Médecins et patients: tous responsables
Publié le : 26/08/2013 26 août août 08 2013Particuliers / Santé / Responsabilité médicaleLa Cour Administrative d'Appel est venue rappeler, dans un litige opposant un...
-
Entreprises: lutter contre le retard de paiement
Publié le : 23/08/2013 23 août août 08 2013Entreprises / Contentieux / Voies d'exécutionLa direction générale «Entreprises et industrie» de la Commission européenne...