L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
Le régime de l'action en paiement exercée contre les associés d'une société civile dissoute
Publié le : 15/10/2013 15 octobre oct. 10 2013Entreprises / Contentieux / Voies d'exécution
Dans un arrêt rendu par sa troisième Chambre, le 11 juin 2013, la Cour de Cassation a précisé le régime des actions en paiement exercées contre un associé d'... -
Sociétés civiles: la révocation du gérant par le tribunal
Publié le : 11/10/2013 11 octobre oct. 10 2013
Selon la loi, sauf dispositions contraires des statuts de la société, le gérant est révocable par décision des associés représentant plus de la moitié des pa... -
Fixation du montant de l’aide de l’État aux entreprises d’insertion
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Ressources humaines / Salaires et avantages
Un arrêté du 3 octobre 2013 fixe le montant et les modalités de versement de l’aide de l’État aux entreprises d’insertion.Entreprises d'insertion: montant de... -
Le dépôt obligatoire des fonds en CARPA vu par la Cour de cassation
Publié le : 10/10/2013 10 octobre oct. 10 2013Entreprises / Finances / Banque et finance
Dans un arrêt de la Chambre Criminelle de la Cour de Cassation en date du 23 mai 2013, la Haute Cour est venue se prononcer sur les obligations pour un avoca... -
Retrait du permis de conduire en dehors du travail : pas de faute grave
Publié le : 09/10/2013 09 octobre oct. 10 2013Entreprises / Ressources humaines / Discipline et licenciement
Il est de jurisprudence constante qu'un motif tiré de la vie personnelle du salarié ne peut justifier un licenciement disciplinaire, sauf s'il constitue un m... -
Les activités de prestation de service - La détérioration ou la perte du cheval
Publié le : 08/10/2013 08 octobre oct. 10 2013Entreprises / Marketing et ventes / Contrats commerciaux/ distribution
Les relations contractuelles entre le (ou les) propriétaire(s) d’un cheval et un professionnel du cheval sont multiples et variées mais la plupart relèvent d... -
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et Réseaux
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de...