Audit informatique et libertés

Fichiers clients, dossiers RH, vidéosurveillance, cyber surveillance, applications biométriques... Tous les traitements de données à caractère personnel sont soumis aux dispositions de la loi Informatique et Libertés (loi du 6 janvier 1978 modifiée par la loi du 6 août 2004).

La loi fixe un cadre à la collecte et au traitement des données personnelles afin de les protéger, dans la mesure où leur divulgation ou leur mauvaise utilisation est susceptible de porter atteinte aux droits et libertés des personnes ou au respect dû à leur vie privée.
La loi impose en particulier aux responsables de traitement de données des obligations d'information des personnes concernées, des obligations déclaratives et le respect de principes destinés à protéger les personnes concernées.

Le législateur a entendu viser tous types d'opérations portant sur des données qui permettent d'identifier directement ou indirectement une personne physique  et notamment, le fait de collecter, enregistrer, conserver, modifier, interconnecter ou détruire des données à caractère personnel.

Toutes les entreprises publiques ou privées sont concernées tant pour les traitements externes (données relatives aux clients) que pour les traitements internes (données relatives aux salariés).

D'après un sondage réalisé auprès d'entreprises et administrations françaises en 2008, 82% d'entre elles ne respectent pas la loi Informatique et Libertés, principalement par manque de connaissance de ses modalités d'application et de ses implications concrètes (source AFCDP).
Or la Commission Nationale de l'Informatique et des Libertés (CNIL), établissement public en charge de la mise en œuvre de la loi, dispose de larges pouvoirs de contrôle et peut prononcer des avertissements, des injonctions de cesser un traitement, et même des sanctions pécuniaires.
En outre, le non respect de la loi peut entraîner des sanctions pénales lourdes (jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende).
L'audit des données personnelles vise à identifier les risques résultant des traitements de données personnelles non conformes et à y remédier.

Nous organisons un entretien (d'une durée de 2h environ) au cours duquel nous recueillons des informations relatives aux caractéristiques de vos traitements ou fichiers comportant des données à caractère personnel, et en particulier :

• la nature et les finalités des traitements (par exemple : annuaire du personnel, gestion du parc téléphone, gestion des outils de communication électronique, fichiers clients ou prospects...),
• la nature des données collectées,
• la durée de conservation,
• les moyens mis en œuvre afin d'en assurer la sécurité et la confidentialité.

Le bon déroulement de cet entretien implique la participation des personnes au fait de la gestion des ressources humaines et des systèmes informatiques.
Après analyse des informations recueillies, nous vous adressons un rapport d'audit contenant :

• un récapitulatif des différents traitements de données réalisés par votre entreprise ;
• un exposé des points de non-conformité avec la loi Informatiques et Libertés ;
• les mesures et formalités préconisées pour parvenir à cette conformité ;
• un rappel des principes généraux à respecter.

Nous pouvons vous proposer de devenir le Correspondant Informatique et Libertés (CIL) de votre entreprise. Le CIL, dont le rôle est défini par la loi, a pour mission d'assurer de manière indépendante le respect des obligations légales spécifiques à cette matière. La désignation d'un CIL dispense l'entreprise de toute démarche déclarative en ce qui concerne les traitements courants.
Nous pouvons également vous proposer la rédaction et la mise en place d'une charte informatique adaptée à votre entreprise pour y favoriser les bonnes pratiques d'utilisation des outils informatiques et de communication.