L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
La signature électronique : quelles caractéristiques pour présumer de sa fiabilité?
Publié le : 02/10/2017 02 octobre oct. 10 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret du 28 septembre 2017 précise les caractéristiques techniques du procédé permettant de présumer la fiabilité de la signature électronique. L'or...
-
Adoption du nouveau bouclier de protection des données UE-États-Unis
Publié le : 13/07/2016 13 juillet juil. 07 2016Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa Commission européenne vient d'adopter la décision relative au bouclier de protection des données UE-États-Unis.En gestation depuis la fin du Safe Harbor e...
-
Un pack de conformité pour le secteur des assurances
Publié le : 18/11/2014 18 novembre nov. 11 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe 12 novembre 2014, la CNIL et l’ensemble des fédérations professionnelles concernées ont présenté le pack de conformité pour le secteur des assurances. Afi...
-
Rapport du CNNum sur la neutralité des plateformes
Publié le : 17/06/2014 17 juin juin 06 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe Conseil national du numérique (CNNum) a remis le 13 juin son rapport sur la neutralité des plateformes à Arnaud MONTEBOURG, Ministre de l’Economie, du Red...
-
L’avenir du dispositif biométrique de reconnaissance du contour de la main
Publié le : 28/05/2014 28 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxAlors que l’utilisation des dispositifs biométriques est déjà sévèrement encadrée, une proposition de loi destinée à limiter l’utilisation de tels dispositif...
-
Le dispositif biométrique de reconnaissance du contour de la main : régime actuel
Publié le : 27/05/2014 27 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa technique biométrique de reconnaissance du contour de la main est commercialisée en France depuis plus de 20 ans. Il est donc un produit qui a largement f...
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de...