L'obligation de l'employeur d'assurer la sécurité des données
Publié le :
04/10/2013
04
octobre
oct.
10
2013
La protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données.
Simplicité et absence de renouvellement d'un mot de passe et manquement de l'employeur à l'obligation d'assurer la sécurité des donnéesBien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données.
L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La sécurisation des données à caractère personnel implique en premier lieu d’en limiter l’accès par la création de mots de passe et d’identifiants. La CNIL (1) préconise ainsi : « L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes. »
Dans une délibération publiée le 30 mai dernier (2), la CNIL a rappelé l’importance de ces recommandations dans la sécurisation des données à caractère personnel traitées par une entreprise.
Les faits de l’espèce sont assez simples : suite à la plainte d’un salarié concernant le caractère disproportionné du système de vidéo surveillance mis en place par son employeur et après plusieurs mises en demeure infructueuses, la CNIL a effectué un contrôle dans les locaux de la société employeur.
A l’occasion de son contrôle, la CNIL a étendu ses investigations aux identifiants et mots de passe permettant aux salariés d’accéder à leur profil informatique et ainsi à des données à caractère personnel. La CNIL constate alors que les mots de passe et identifiants sont très brefs (en moyenne 5 caractères) simples, facilement déductibles (pour certains salariés, il s’agissait de leur nom et prénom) et rarement renouvelés (certains mot de passe n’avaient pas été modifiés depuis plus d’un an).
La CNIL souligne qu’un tel système ne permet pas « d’assurer une sécurité suffisante des données à caractère personnel objets des traitements mis en œuvre par la société » et constate le non-respect des termes de l’article 34 de la loi du 6 janvier 1978.
Il relève de la responsabilité de l‘employeur, es qualité de responsable de traitement de données à caractère personnel, d’imposer à ses salariés de choisir des mots de passe et identifiants d’une certaine complexité et de les renouveler fréquemment.
La complexité des mots de passe et identifiants et la fréquence de renouvellement doivent être appréciés en tenant compte de la nature de données personnelles et des risques résultant du traitement de ces données. Plus les données sont « sensibles » et/ou les risques résultant du traitement sont importants, plus le système d’authentification doit être complexe et fréquemment renouvelé.
Index:
(1) www.cnil.fr « 10 conseils pour sécuriser votre système informatique » 12.10.2009
(2) Délibération CNIL du 30 mai 2013 n°2013-139
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Historique
-
Réunion régionale Ile-de-France le 16 octobre
Publié le : 07/10/2013 07 octobre oct. 10 2013Actualités EUROJURISCette réunion est organisée et animée par:Patricia MINAULT, Avocat au Barreau de Versailles (Selarl Minault) & Thierry VOITELLIER, Avocat au Barreau de Ve...
-
Le décret du 1er octobre 2013 relatif au contentieux de l'urbanisme
Publié le : 04/10/2013 04 octobre oct. 10 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLe décret n°2013-879 du 1er octobre 2013 relatif au contentieux de l’urbanisme vient d'être publié au JO.Réduire le délai de traitement des recours dirigés c...
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de...
-
Garantie effondrement avant réception et action directe du maître de l’ouvrage
Publié le : 04/10/2013 04 octobre oct. 10 2013Particuliers / Patrimoine / AssurancesLa garantie contre le risque d’effondrement en cours de chantier est une garantie facultative qui est souscrite par l’entrepreneur, pour son propre compte et...
-
La complémentaire santé bientôt obligatoire pour tous les salariés
Publié le : 27/09/2013 27 septembre sept. 09 2013Entreprises / Ressources humaines / Salaires et avantagesLa loi du 14 juin 2013 de sécurisation de l’emploi, conformément à l’Accord national interprofessionnel (ANI) du 11 janvier 2013, généralise la couverture co...
-
Logements: prime exceptionnelle d’aide à la rénovation thermique
Publié le : 27/09/2013 27 septembre sept. 09 2013Particuliers / Patrimoine / Immobilier / LogementUn décret publié au Journal officiel du jeudi 19 septembre 2013 précise les conditions d’attribution de la prime exceptionnelle de 1 350€ d’aide à la rénovat...
-
Les conditions d'indemnisation en cas d'éviction à l'attribution d'un contrat public
Publié le : 26/09/2013 26 septembre sept. 09 2013Collectivités / Marchés publics / Contestation et contentieuxPar une décision rendue le 10 juillet 2013, la Haute juridiction a précisé que la présence d’irrégularités commises lors de la procédure d’attribution du con...