PRÉSENTATION
CONDUITE D'UNE VEILLE
DEMARCHE QUALITE
TRAVAIL EN MODE PROJET
DEMARCHE DE GESTION DES RISQUES
GESTION DES RISQUES FINANCIERS
PARTIE 7 - GESTION DES RISQUES NON FINANCIERS

SECTION 6 – RGPD et gestion des données personnelles

Avec l’entrée en vigueur le 25 mai 2018 du RGPD (règlement général sur la protection des données), de nouvelles contraintes sont venues s’imposer aux entreprises mettre en conformité les moyens collectant, assurant la protection des données collectées ou générées par les entreprises et les conditions de stockage. En effet, nombreuses sont les entreprises victimes de cyber-attaques ou de vol de données.

Ainsi, les sociétés doivent mettre en place les moyens nécessaires afin d’être conformes. En effet, les amendes sont énormes : British Airways £183.4M, Marriott £99.4M, La Liga €250.000, etc., Mais elles doivent également protéger leur image de marque.

Ce nouveau texte du 25 mai 2018 vient compléter la loi « Informatique et Libertés » et encadre l’utilisation de données personnelles notamment dans le cadre de traitements automatisés (c’est-à-dire recourant à des outils informatiques). En France, la loi « Informatique et Libertés » du 6 janvier 1978 correspond au premier texte applicable en la matière, et la CNIL (Commission nationale de l’informatique et des libertés), l’autorité qui en découle, est en charge de la préservation des libertés individuelles.

6.1 La notion de données personnelles

Les données personnelles correspondent à des informations permettant d’identifier ou de reconnaître une personne physique. Cette identification peut être directe ou indirecte, et les données la permettant très diverses : nom, numéro d’identification, pseudonyme, adresse électronique, données de géolocalisation…

6.2 L’utilisation des données personnelles : les traitements

Le RGPD définit un traitement comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel […] ». Il s’agit d’une conception très large de l’utilisation de données personnelles : constitution de fichiers clients, de listes de diffusion, de comptes associés à des services en ligne…

6.3 Quelques obligations liées au RGPD

La limitation des finalitésLes données à caractère personnel ne sont traitées que dans une finalité déterminée, explicite et légitime. On ne peut donc collecter que les données pertinentes et nécessaires à la finalité du traitement.
Le renforcement des droits des utilisateursLes utilisateurs peuvent accéder aux données, les faire rectifier ou s’opposer à leur utilisation. Ils peuvent également les récupérer (droit à la portabilité) et demander leur suppression.
Le renforcement de la transparenceToute collecte et utilisation des données personnelles doit faire l’objet d’un accord de la personne dont il faut obtenir le consentement de façon explicite.
Le renforcement de la sécuritéLe responsable des traitements doit mettre en œuvre tous les moyens requis pour préserver la sécurité des données (éviter leur piratage ou des accès non autorisés). Le RGPD prévoit l’obligation d’informer les utilisateurs et les autorités en cas de défaillance, et des sanctions peuvent être prononcées.

Une entreprise devant se conformer au RGPD doit notamment tenir un registre des traitementsidentifier les données personnelles utilisées et déterminer qui peut y avoir accès, tout en garantissant les droits des personnes dont les données sont utilisées et en assurant leur protection effective.

6.4 Cas de la fraude dans le cadre du RGPD

Au plan de la sûreté des systèmes d’information de l’entreprise, les menaces potentielles sont autant externes qu’internes. Des abus ou négligences aux actes de malveillance imputables aux collaborateurs, les causes de vulnérabilité interne sont nombreuses. Leurs conséquences également (atteinte à la confidentialité des informations, à l’intégrité des systèmes, à l’image, etc.). S’il est légitime pour l’employeur de chercher à maîtriser ces risques, la frontière du licite et de l’illicite doit être bien connue.

« On entend par fraude, un acte intentionnel commis par une ou plusieurs personnes parmi les membres de la direction, les responsables de la gouvernance, les employés ou des tiers, impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un avantage indu ou illégal. »
(Normes ISA 240, p.7 paragraphe 11)

1. Organiser 

Au titre de son pouvoir de direction et de commandement, le chef d’entreprise a le choix des moyens techniques, humains et organisationnels nécessaires à l’activité de l’entreprise (définition des prestataires, des outils, de l’administrateur, du correspondant informatique et libertés (CIL),  etc.). L’employeur est également appelé à organiser une veille technologique, à évaluer régulièrement l’efficacité de ses procédures internes à partir de retour d’expérience (traçabilité et suivi des incidents), et peut décider de faire évoluer les systèmes et les obligations des salariés en conséquence. Des mesures d’urgence peuvent en outre être imposées pour faire face aux situations de crise, et intégrées le cas échéant dans le plan de continuité de l’activité (PCA).  

2. Encadrer  

Au plan individuel, le salarié est légalement tenu d’une obligation de loyauté vis-à-vis de l’employeur. Dans ce prolongement, il est essentiel d’intégrer dans le contrat une clause générale de confidentialité, qui pourra notamment s’appliquer aux données touchant l’informatique. Au plan collectif, la mise en place de notes de services, ou mieux, d’une charte informatique est particulièrement recommandée. Ce document permet d’intégrer les règles d’utilisation des outils et systèmes informatiques dans les règles générales et permanentes de discipline de l’entreprise. Pour être pleinement opposable aux salariés utilisateurs, elle doit au plan formel être élaborée et mise en place dans chaque établissement selon les mêmes règles de procédure que le règlement intérieur (auquel elle viendra alors s’adjoindre – cf. C. Trav., L1321-5) : a) information et consultation préalable du CHSCT et du comité d’entreprise ou des délégués du personnel à défaut ; b) transmission à l’Inspection du travail ; c) dépôt auprès du secrétariat-greffe du Conseil de prud’hommes ; d) publicité interne (affichage sur les lieux de travail).

3. Informer 

Le Code du travail prévoit un principe de transparence : au plan collectif, le comité d’entreprise (CSE) doit être informé et consulté pour avis avant toute décision tendant à la mise en place dans l’entreprise de moyens ou de techniques de contrôle de l’activité du personnel (C. Trav., L2323-32). De même concernant le CHS (C. Trav., L4612-8).
Au plan individuel, chaque salarié doit être préalablement informé individuellement concernant a) tout dispositif de collecte d’informations personnelles ; b) les méthodes et techniques d’évaluation professionnelles mises en oeuvre à son égard c) de l’existence d’un droit d’accès et de rectification aux données issues d’un traitement de données personnelles. La preuve du respect de cette obligation d’information pèse sur l’employeur. En cas de télétravail (qui concerne selon une étude récente environ 4 millions d’actifs en France), le salarié doit également être informé par son employeur de toute restriction à l’usage d’équipements ou outils informatiques ou de services de communication électronique, et des sanctions en cas de non-respect de telles restrictions (C. Trav., L1222-10).

4. Déclarer 

A cela s’ajoute les règles d’ordre public de la loi informatique et libertés n° 78-17 du 6 janvier 1978, qui imposent notamment de déclarer le(s) traitement(s) de données à caractère personnel, ou, selon la nature des données, de demander l’autorisation de la CNIL préalablement à leur mise en œuvre.

5. Former éventuellement

L’employeur est tenu d’assurer l’adaptation des salariés à leur poste de travail, et de veiller au maintien de leur capacité à occuper un emploi, au regard notamment de l’évolution des technologies (C. Trav., L6321-1). Dans le cadre du plan de formation continue, les actions doivent être adaptées aux nouvelles formes de travail ainsi qu’aux nouvelles technologies (cloud computing, etc.), qui peuvent comporter de nouveaux risques et doivent en conséquence être maîtrisés.    

6. Sensibiliser 

Le risque n’étant pas tant lié à l’outil lui-même mais surtout à l’utilisation que chacun en fait, la meilleure forme de prévention reste la pédagogie, qui relève des attributions fonctionnelles de l’encadrement. Les règles de sécurité seront d’autant mieux appliquées qu’elles seront comprises et acceptées par les utilisateurs.

7. Contrôler 

La question de la cybersurveillance des salariés s’avère très sensible puisqu’il faut concilier l’intérêt de l’entreprise avec la nécessaire confiance dans la relation contractuelle et le respect, au temps et au lieu du travail, de la sphère de vie privée et de libertés individuelles et fondamentales du salarié. Les domaines sont nombreux (connexions internet, fichiers, messagerie, réseaux sociaux, etc.). Si l’employeur a en principe le droit de surveiller l’activité de ses collaborateurs pendant leur temps de travail (attention cependant au cas des représentants du personnel dans l’exercice de leur mandat), il ne peut le faire à leur insu. La CNIL vient de publier une note d’information le 20 mars 2013 au sujet des keyloggers, logiciels permettant d’enregistrer à l’insu du salarié toutes les frappes effectuées sur son clavier et d’exercer ainsi une surveillance constante et permanente, non seulement sur l’activité professionnelle mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. A la suite de mises en demeure d’entreprises, la CNIL indique que l’installation et l’utilisation d’un tel logiciel sont de nature à constituer une atteinte excessive à la vie privée et ne saurait se justifier en l’absence d’un fort impératif de sécurité (lutte contre la divulgation de secrets industriels par exemple), accompagné d’une information spécifique des personnes concernées. Elle rappelle en outre l’infraction applicable en matière de dispositifs de captation clandestine de données informatiques (C. pénal, art. 226-3).
La jurisprudence considère par ailleurs que « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé, sauf si le salarié les identifie comme étant personnels » (Cass. Soc. 10 mai 2012, n° 11-13884). A défaut (comme par exemple dans le cas d’un fichier intitulé « mes documents »), la protection tirée de la vie privée ne s’applique pas. Dans le même ordre d’idées, il vient d’être jugé qu’à partir du moment où une clé USB personnelle du salarié est connectée à un outil informatique de l’entreprise, elle est présumée être utilisée à des fins professionnelles en sorte que l’employeur peut avoir accès aux fichiers qu’elle contient (sauf ceux identifiés comme personnels) en-dehors de la présence du salarié et sans avoir besoin de l’en informer (Cass. Soc. 12 février 2013, n° 11-28693). Il est intéressant de relever que le libellé de cet arrêt laisse penser que la Cour de cassation n’a pas souhaité étendre cette règle à l’ensemble des périphériques de stockage, tels qu’un smartphone par exemple, sans doute afin de ne pas autoriser une intrusion trop forte dans la vie privée du salarié.

8. Sanctionner 

Face à des manquements constatés par rapport à une obligation de faire ou de ne pas faire – à condition que celle-ci soit bien justifiée par la nature de la tâche à accomplir et proportionnée au but recherché (C. Trav., L1121-1 et L1321-3 ) – l’employeur aura toujours intérêt à privilégier la sanction disciplinaire plutôt que le « laisser-faire ». La sanction doit être proportionnée à la gravité de la faute. Par exemple, une utilisation abusive d’internet et la consultation excessive de sites extraprofessionnels (réseaux sociaux, etc.) pendant le temps de travail peut justifier une mesure de licenciement pour faute grave (Cass. Soc. 26 février 2013, n° 11-27372). 

9. Prouver 

Que ce soit en vue d’initier une action ou de se défendre face à une contestation judiciaire, l’enjeu probatoire est essentiel et il est toujours recommandé à l’employeur de se préconstituer une preuve par écrit. La loi dispose que « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité » (C. Civ. Art. 1316-1). Dans le contentieux du travail, les tribunaux se montrent vigilants : toute preuve tirée d’un procédé clandestin – y compris électronique- ou d’un stratagème mis en place par l’employeur est jugée déloyale et illicite (Cass. Soc. 4 juillet 2012, n° 11-30266). En matière pénale, une preuve obtenue de manière illicite peut néanmoins être librement appréciée par le juge pénal après débat contradictoire (C. Proc. Pén., art. 427 et suivants), indépendamment des poursuites pénales susceptibles d’être engagées ensuite contre son auteur (violation du secret des correspondances, enregistrement illicite, etc.).

10. Agir 

En cas d’infraction ou de fraude (intrusion, piratage, etc.) portant atteinte à ses systèmes informatiques et relevant des articles 323-1 à 7 du Code pénal, ou de vol de données, l’employeur a tout intérêt enfin à déposer plainte et/ou se constituer partie civile devant la juridiction pénale.

SECTION 6 – RGPD et gestion des données personnelles