Les réseaux sociaux, une zone de non-droit ?
Si vous ne visualisez pas correctement ce message, cliquez ici
Les données personnelles : comment les
utiliser sans risque au sein de l'entreprise ?
Merav Griguer, avocate au sein du cabinet Féral-Schuhl / Sainte-Marie,
est spécialisée dans les domaines des technologies de l'information et a
publié aux éditions Eyrolles l'ouvrage «Le guide de la communication
sans risque», avec Vincent Ducrey. Elle a accepté de répondre aux
questions de Fed Légal.
Quel est l'état actuel de la protection des données personnelles au sein de
l'entreprise ?
Merav Griguer : Tous les départements de l'entreprise, tels que les ressources humaines,
le marketing ou encore les services clients, sont de plus en plus sensibilisés à ces sujets
et particulièrement depuis 2006, date à laquelle les pouvoirs de sanction de la CNIL
ont été renforcés (jusqu'à 1,5 millions d'euros d'amende pour une personne morale
et 5 ans d'emprisonnement) ; elle dispose notamment à cet effet d'un large pouvoir
de contrôle.
Les contrôles classiques peuvent prendre la forme de vérifications de la conformité
de certains dossiers – tels que fichiers clients et prospects – à la loi Informatique
et Liberté, au sein même des locaux de la société.
La CNIL s'attache tout particulièrement à s'assurer que les individus concernés
peuvent avoir accès, rectifier ou s'opposer au traitement de leurs données personnelles
ou encore que la protection de ces données est bien garantie dans le cadre de transferts
de données hors de l'Union Européenne. En effet, dès lors que des données sont hébergées
dans un pays non membre de l'UE et qu'elles n'ont pas fait l'objet d'une décision
d'adéquation de la Commission Européenne, le niveau de protection est considéré
comme insuffisant. Dans ce cas, il convient d'appliquer le régime dérogatoire strict au
principe d'interdiction qui suppose en pratique un délai d'attente de 2 mois, versus pas de
délai d'attente pour la déclaration en ligne d'un même traitement dont les données seraient
hébergées au sein de l'UE (le récépissé de la CNIL étant adressé sans délai si la déclaration
est conforme).
En résumé, la loi est stricte mais praticable : il faut informer les personnes dont les données
vont être collectées et traitées et être transparent avec la CNIL dans sa déclaration, en
veillant à ne pas être anxiogène !
Comment les directions juridiques traitent-elles ces problématiques en interne
?
Merav Griguer : D'expérience, il existe en réalité quatre types d'interlocuteurs pouvant
répondre des questions de protection des données personnelles : les directions juridiques
dans 50% des cas, les services « compliance » et déontologie (20%), les directions
informatiques (30%), témoignant d'une capacité de raisonnement juridique,
et les responsables de services tels que les ressources humaines ou le marketing
(dans moins d'1% des cas).
L'essentiel est d'avoir un superviseur ou correspondant informatique et libertés
(CIL) unique, identifié, indépendant et disposant de relais au sein de l'entreprise.
Afin d'éviter tout conflit hiérarchique, il est recommandé de ne pas le rattacher
directement à la Direction Juridique et de le dédier à 100% à cette fonction.
Le règlement européen de 2012, qui devrait entrer en vigueur en 2015, rendra obligatoire
l'existence d'un CIL à toutes les entreprises de plus de 250 salariés et celles qui traitent de
données à risque. Ce dernier critère sera précisé par chaque Etat, mais l'on peut déjà
supposer que les données concernées seront celles visées par l'article 8 de la loi
informatique et libertés, c'est à dire celles liées à l'origine ethnique, à la sexualité
ou encore à la santé.
Dans quelle mesure les données
personnelles sont-elles protégées
sur les réseaux sociaux ?
Merav Griguer : Le principal problème
qui se pose dans le cadre des réseaux
sociaux (comme Facebook) ou des micro-
blogging (tels que Twitter) est l'abus dans
l'exercice de la liberté d'expression :
diffamation, injure, dénigrement d'une
société ou d'un prestataire. Les réseaux
sociaux constituent non seulement
l'exutoire des employés mais également
des consommateurs et plus généralement
de l'opinion publique. Néanmoins, il ne
s'agit pas d'une zone de non droit. Le
dirigeant d'une société a ainsi été
condamné à une amende de 10 000 € pour
s'être plaint des services d'un prestataire
sur un réseau social.
Une des questions qui revient est de savoir
où se situe la frontière entre la vie privée et
la vie publique. Si l'information est
accessible au public, elle pourra être
exploitée par l'employeur pour justifier
une sanction disciplinaire pouvant aller
jusqu'au licenciement.
La Cour de Cassation a de plus élargi le
critère : un propos lié à l'activité
professionnelle ne relève pas de la sphère
privée en dépit d'un accès limité à un
Le point de vue de Fed Légal
Les sites d'annonces (jobboards) et
le dépôt de candidature spontanée
sont encore très largement les voies
privilégiées par les candidats dont
40% utilisent également les réseaux
sociaux dans leurs recherches :
LinkedIn, Viadeo et Facebook (pour
seulement 15% d'entre eux).
On remarque que les candidats
utilisant majoritairement
les jobboards sont souvent les plus
actifs sur le marché et sont ceux qui
multiplient le plus les démarches
et les modes de recherche.
Preuve que très peu d'entre eux
voient dans les réseaux sociaux la
solution miracle, mais plutôt un
complément.
L'utilisation des réseaux sociaux est
également souvent le fait de
candidats « à l'écoute » ou « en
recherche passive ». Il s'agit donc
aussi d'une manière de rester ouvert
et « en veille active » sans se dévoiler
sur le marché.
certain nombre de personnes.
La question se transpose également
concernant les syndicats : la liberté
d'expression au sein de l'entreprise
peut-elle s'appliquer sur un micro-
blogging, accessible au public ? Les limites
sont encore floues et des précisions
doivent encore être apportées par les
tribunaux.
Contrairement aux idées reçues, une
donnée personnelle accessible sur internet
n'est pas de facto une donnée qui peut être
librement utilisée. Avant chaque collecte
ou traitement de données à caractère
personnel, il convient de s'assurer que la
personne concernée est bien informée et
consent à l'utilisation de ses données pour
les objectifs et les destinations envisagés.
Si vous souhaitez réagir à cet article ou participer à une prochaine édition
de la newsletter Fed Légal, cliquez ici
Désabonnement :
Si vous ne souhaitez plus recevoir de message de Fed Légal, cliquez ici
1
/
3
100%
