Attention aux données personnelles

La conservation des données personnelles par une entreprise dans son système informatique, en particulier dans le fichier clients, est un sujet de plus en plus sensible. Nombre de règles doivent être scrupuleusement respectées. Sinon, une entreprise peut se retrouver sanctionnée non seulement par la Commission nationale de l'informatique et des libertés (Cnil) mais aussi au pénal. Encore souvent méconnu par les dirigeants de société, l'article 226-20 du Code pénal est pourtant clair : « Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Cnil est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. »Après avoir recueilli l'accord de chaque individu pour collecter des données personnelles, une entreprise est tenue, dans sa déclaration préalable à la Cnil, de mentionner la durée de conservation. La Cnil n'hésitera pas à lui dire si cette durée est déraisonnable ou illégale. L'entreprise doit ensuite ne pas la dépasser dans les faits. Dans le cas contraire, elle risque d'être confrontée à de graves difficultés si la Cnil effectue un contrôle sur place ou est saisie d'une ou de plusieurs plaintes.Un exemple ? Cette autorité a prononcé le 3 juillet 2008 une sanction pécuniaire de 30.000 euros à l'encontre de la société Arcydis. Saisie d'une plainte, elle a procédé dans le centre automobile de cette entreprise à des vérifications. Ses services ont notamment constaté l'existence d'un logiciel « Packauto/infomil » pour la gestion des devis, des ordres de réparation et des factures. Dans le champ « remarque » de cette base de données, des commentaires sont faits sur les clients indésirables. Or aucune information ne leur est délivrée sur ce traitement de données à caractère personnel et aucune durée de conservation n'a été définie. Arcydis a décidé de fixer la durée de conservation à quatre ans, après les vérifications faites par la Cnil. Mais celle-ci a estimé que cette durée restait excessive et a sanctionné Arcydis en lui reprochant de n'avoir pris que des mesures correctrices partielles.Pour justifier une durée de conservation plus longue, une entreprise ne peut pas invoquer par exemple la durée légale de dix ans prévue pour les factures et les correspondances commerciales. Aux yeux de la Cnil, elle doit prévoir l'archivage de ces documents dans un autre système informatique. L'entreprise ne peut pas non plus s'exonérer de sa responsabilité par une externalisation à un prestataire de la gestion de ses données. Elle reste en effet soumise à une obligation de sécurité, autrement dit garantir l'intégrité des données personnelles et ne pas les perdre pour les personnes physiques concernées. Pour que cette obligation soit respectée, la société gestionnaire des données doit prévoir, dans le contrat conclu avec le prestataire, que celui-ci agira seulement sur instruction exclusive. Cette précaution écrite permet de se conformer aux articles 34 et 35 de la loi du 6 août 2004 sur la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Selon l'article 35, le sous-traitant ne peut agir que sur instruction du responsable du traitement (l'entreprise gestionnaire des données). Si ce dernier a été négligent sur la fiabilité du prestataire, il encourt aussi jusqu'à cinq ans d'emprisonnement et 300.000 euros d'amendes.frédéric hastingsinformatique