Pourquoi la CNIL met-elle en demeure?

1. La petite anecdote

C’est en 1974 que l’opinion publique s’émeut, après la révélation par le quotidien Le Monde du projet gouvernemental SAFARI. Ce dispositif visait à interconnecter l’ensemble des fichiers administratifs d’une personne à partir d’un identifiant unique : le Numéro d’Inscription au Répertoire (NIR), afin de faciliter les démarches administratives.

Face à la crainte d’un fichage généralisé de la population, une forte réaction s’est fait entendre. Afin de prévenir toute atteinte aux libertés individuelles, le cadre législatif a dû évoluer.

C’est ainsi qu’est née la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité administrative indépendante, chargée de protéger les données personnelles tout en accompagnant l’innovation.

Aujourd’hui, la CNIL veille à ce que le traitement des données ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et publiques.

2. Un cadre renforcé : le RGPD

Le Règlement Général sur la Protection des Données (RGPD) constitue aujourd’hui le texte de référence en matière de protection des données à caractère personnel.

Adopté le 27 avril 2016 (Règlement (UE) 2016/679 du Parlement européen et du Conseil), il est entré en application le 25 mai 2018. Il renforce et harmonise la protection des données au sein de l’Union européenne, tout en instaurant des obligations accrues pour les professionnels et un régime de sanctions gradué et dissuasif.

Dans ce cadre, la CNIL accompagne les acteurs économiques, tout en contrôlant le respect de ces obligations et en sanctionnant les manquements.

3. Responsabilité du dirigeant : quels enjeux ?

La Responsabilité Civile Professionnelle (RC Pro)

Diriger une entreprise implique d’assumer des responsabilités. La Responsabilité Civile Professionnelle (RC Pro) permet de couvrir les conséquences financières des dommages causés à des tiers dans le cadre de l’activité professionnelle.

Elle contribue à protéger la pérennité de l’entreprise en prenant en charge les préjudices matériels, immatériels et corporels, selon les garanties souscrites.

Bien que fortement recommandée, la RC Pro n’est obligatoire que pour certaines professions réglementées.

La Responsabilité Civile des Mandataires Sociaux (RCMS)

Les dirigeants et mandataires sociaux peuvent voir leur responsabilité personnelle engagée, notamment en cas de faute de gestion.

Cette faute peut résulter d’un non-respect des dispositions légales ou réglementaires, mais également d’erreurs de gestion, de négligences ou d’imprudences, qu’elles soient volontaires ou non.

La RCMS permet de protéger le patrimoine personnel du dirigeant en prenant en charge les frais de défense et, le cas échéant, les conséquences financières des mises en cause.

4. Se protéger face aux risques liés aux données

En cas de contrôle ou de sanction par la CNIL, certaines garanties d’assurance peuvent couvrir les frais de défense (civils et, selon les cas, pénaux) ainsi que les éventuels dommages et intérêts dus aux tiers lésés, dans les limites prévues par le contrat.

Ces protections assurantielles ne dispensent toutefois pas de respecter les obligations légales en matière de protection des données.

5. Bonnes pratiques RGPD

• Collecter et utiliser les données uniquement avec une base légale appropriée (consentement, obligation légale, etc.).
• Informer de manière transparente sur l’utilisation des données (politique de confidentialité).
• Encadrer les traitements par des contrats adaptés (prestataires, sous-traitants).
• Mettre en place des mesures de sécurité techniques et organisationnelles adaptées aux risques.
• Maintenir les logiciels et systèmes à jour.
• Sécuriser les accès aux réseaux (notamment Wi-Fi).
• Limiter les accès aux données aux seules personnes habilitées.
• Identifier et contrôler ses prestataires.
• Se faire accompagner par des professionnels si nécessaire.