Les entreprises françaises maîtrisent plutôt mal les enjeux et la gestion des données à caractère personnel. C'est ce que révèle le sondage réalisé par Internet en avril et mai derniers auprès de 300 responsables d'entreprise (directeurs juridiques, juristes surtout mais aussi avocats, RH, DSI, informaticiens, opérationnels...) par Legal Suite.
L'actualité de ces derniers mois - où l'on a vu plusieurs grands noms épinglés pour leurs mauvaises pratiques dans la gestion des données concernant leurs clients ou leurs salariés - s'ajoutant à des contrôles de la CNIL plus soutenus, ont relancé l'intérêt pour la gestion des données à caractère personnel et les obligations de la Loi Informatique et Libertés du 06 janvier 1978 modifiée par celle du 06 août 2004.
56 % des sondés ne maîtrisent pas ou mal la gestion des données personnelles
Plus de 43% des participants au sondage pensent n'être « pas vraiment » ou « pas du tout » informés sur la Loi Informatique et Libertés. Seul un sur cinq estime l'être « tout à fait ». Bien que cette loi soit en vigueur depuis 1978 et ravivée par la loi de 2004, la sensibilisation des entreprises en France est récente, la CNIL ne multipliant ses interventions que depuis l'année 2006-2007. En 2008, les mentalités évoluent, la CNIL confirmant son statut d'organisme de contrôle mais aussi de sanction.
Rappelons que les risques encourus pour atteinte aux libertés individuelles sont conséquents. Le chef d'entreprise ou ses responsables délégués encourent jusqu'à 300 000 € d'amendes, jusqu'à cinq ans de prison et une amende au pénal pouvant atteindre 1,5 M€. Sans compter les éventuels demandes de dommages et intérêts. Avec un effet démultiplicateur puisque les sanctions s'appliquent pour chaque fichier non déclaré ou non recensé dans le registre CIL interne de l'entreprise.
Une majorité des personnes interrogées (60%) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel. Seuls 7,7% ont déclaré ne l'être pas du tout. En matière de connaissance de la notion « Informatique et libertés », les Français se classent en tête au niveau européen. En revanche, 56% avouent ne pas maîtriser la gestion de ce type de données « sensibles ». Cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL, ne gèrent pas de manière rigoureuse l'ensemble de leurs déclarations et traitements soumis à la loi.
D'autant plus que, comme le précise Christiane Féral-Schuhl, avocate associée du Cabinet Féral-Schuhl / Sainte-Marie, « trop souvent, les notions de données à caractère personnel et de traitement de données à caractère personnel sont mal appréhendées. Il importe, en effet, de rappeler que sont concernées toutes les données permettant d'identifier directement ou indirectement des personnes physiques, telles qu'un numéro de téléphone, un numéro de plaque d'immatriculation ou encore l'adresse IP. C'est dire l'étendue des données et traitements concernés. »
Qui assure la gestion de ces données personnelles ?
En matière de droit Informatique et Libertés, le service juridique est majoritairement consulté (32 %), suivi du département Informatique (25 %), de la DRH (16 %) et d'un CIL (Correspondants locaux Informatique & Libertés) avec 14%.
La culture « Informatique et Libertés » est assez hétérogène au sein des entreprises. Presque la moitié des personnes interrogées (46%) ne sait pas si les entreprises ont de plus en plus recours à l'expertise d'un CIL, salarié ou collaborateur externe mandaté par l'entreprise définis par la Loi de 2004. Leur rôle est d'assurer de manière indépendante le respect des obligations légales dans ce domaine.
Selon Merav Griguer, avocate responsable de l'équipe dédiée à la protection des données au sein du Cabinet Féral-Schuhl / Sainte-Marie, « la mise en place d'un CIL constitue l'un des critères de bonne gestion des données à caractère personnel ». Elle rappelle cependant que « son institution ne permet pas de solutionner l'ensemble des problématiques « CNIL ». En effet, le CIL n'exonère pas de requérir l'autorisation de la CNIL pour mettre en œuvre des opérations impliquant un transfert de données à caractère personnel hors Union européenne (externalisation, plateforme de partage d'informations, etc.) ».
95% ne connaissent pas d'outils spécialisés dans les déclarations CNIL.
Un tiers des sondés déclare qu'un système d'information centralisé, complet et fiable, représente un moyen nécessaire à la bonne gestion des risques en matière de données personnelles. L'autre moyen plébiscité à 52% est la sensibilisation avec du contrôle interne. En revanche, la grande majorité des entreprises interrogées (95%) ne sait pas qu'il existe aujourd'hui des solutions informatiques dédiées pour faire l'inventaire et piloter dynamiquement ces données sensibles, remplir facilement les formalités CNIL, être alerté et suivre les droits des tiers (droits d'information, d'accès, d'opposition ou de rectification).
Cela met en évidence un écart important entre la prise de conscience et la maîtrise des moyens à mettre en œuvre. Le besoin d'une gestion des données à caractère personnel provient en majorité des grandes entreprises et des PME. Plus la taille de l'entreprise est grande, plus la nécessité d'une bonne gestion des risques en matière d'informatique et libertés devient une nécessité.
Cette enquête révèle le manque d'information et de méthodologie dans les entreprises pour tout ce qui touche aux données à caractère personnel. Bruno Grégoire Sainte Marie, avocat associé du Cabinet Féral-Schuhl / Sainte-Marie, indique que « les entreprises sont désormais guidées par leur besoin d'être irréprochables sur un sujet à risque pour leur image comme celui des données personnelles ». Il ajoute que « la mise en conformité CNIL passe par un travail transversal au sein de l'établissement pour lequel nous avons développé une méthodologie et un savoir-faire spécifiques ».
HeLITIS 
