SÉCURITÉ
Cybercriminalité : «Les contrôles ne doivent jamais viser personnellement un salarié»
jeudi 07.10.2010, 05:08
«La loi informatique et libertés prévoit une obligation de sécurisation des données.»Trois questions à Raphaël Rault, avocat au barreau de Lille, BRM Avocats.
- Dans quelle mesure l'entreprise et son dirigeant sont-ils responsables en cas de perte ou de vol de données à caractère personnel ?
« La loi informatique et libertés prévoit une obligation de sécurisation des données imputable aux entreprises responsables de traitements.
L'article 34 de cette loi pourrait être complété par l'article 7 de la proposition de loi "visant à mieux garantir le droit à la vie privée à l'heure du numérique", adoptée par le Sénat le 23 mars 2010 et soumise prochainement à l'Assemblée nationale. Il s'agirait de créer, pour le responsable de traitement, une obligation de notification des violations que ces traitements ont subi au correspondant informatique et libertés, à la CNIL et également aux personnes concernées par les traitements en cas de dommage sur les données. »
- Une entreprise peut-elle restreindre et filtrer l'accès Internet de ses employés comme elle le souhaite ?
« Les restrictions doivent être préalablement formalisées dans une charte informatique, annexée au règlement intérieur et portée à la connaissance des salariés et des institutions représentatives du personnel. Leur mise en oeuvre doit toujours rester proportionnée et adaptée à l'activité de l'entreprise. »
- Peut-elle conserver et utiliser des informations sur les habitudes de navigation de ses employés ?
« Tous les contrôles mis en place dans l'entreprise et impliquant le traitement de données personnelles ne doivent jamais viser personnellement un salarié. Mais la Cour de cassation a rappelé que ces connexions sont présumées avoir un caractère professionnel. » •
J.-F. S.
