Téléverser un fichier

l’audit et la législation sur les données personnelles ne...

  • Home
  • Documents
  • L’audit et la législation sur les données personnelles ne ...©néfices/Documents/Audit/86pp19_21... · Droit et informatique ... une sanction à l’égard d’un salarié,
3
Droit et informatique Les opérations d’audit impliquent l’accès par les auditeurs, dans le cadre des investigations qu’ils mènent dans le système d’infor- mation de l’entreprise, à des données de nature personnelle. Les données personnelles peuvent être celles des salariés de l’entre- prise, ou de préposés de ses prestataires, clients ou partenaires. Il faut en effet rappeler que la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Loi de 1978 ») pose une définition très large des notions de donnée personnelle que de traitement. L’audit et la législation sur les données personnelles ne font pas bon ménage La Revue / Mai 07 ( 19 ) La définition légale d’une « donnée personnelle » et d’un « traitement » A ux sens sens de la Loi de 1978 : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont pro- pres ». Ainsi, contrairement à ce que l’on croit, une donnée à caractère per- sonnel ne comprend pas nécessaire- ment le patronyme d’une personne. Ce peut être un numéro de poste ou de badge, une adresse mail, de façon générale toute caractéristique qui peut être mise en relation avec une personne. Une piste d’audit, par exemple, traite nécessairement des données personnelles. « Constitue un traitement de don- nées à caractère personnel toute opération ou tout ensemble d’opéra- tions portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistre- ment, l’organisation, la conservation, l’adaptation ou la modification, l’ex- traction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapproche- ment ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». Le simple fait de consulter ou d’utiliser les données est donc un traitement de données à caractère personnel. On l’aura compris à la simple lecture de ces définitions : une opération d’audit est un trai- tement de données à caractère personnel au sens de la Loi de 1978. Reste à s’interroger sur les consé- quences de cette qualification. Les contraintes légales des opérations d’audit au regard de la Loi de 1978 A vant de rentrer plus avant dans les aspects techniques de la Loi de 1978, il nous paraît important d’en rappeler les principes essen- tiels. La CNIL, au-delà du rôle de gendarme qu’on lui prête volontiers, a surtout pour objectif d’inciter les entreprises qui portent la respon- sabilité de traitements de données personnelles, à connaître et res- pecter ces principes. Les voici, très brièvement résumés : Tout traitement de données per- sonnelles doit être analysé et qualifié par l’entreprise afin d’y appliquer le régime adéquat (déclaration à la CNIL, autorisation de la CNIL, dispense). Une attention toute particulière doit être portée : À la sécurité des données per- sonnelles. À l’interconnexion des fichiers. Au changement de finalité. Au consentement des personnes à la collecte et aux traitements les concernant. Tout transfert de données per- sonnelles hors Union Européenne est un sujet sensible. Revenons sur ces points pour ce qui concerne une opération d’audit. Les obligations déclaratives de l’entreprise auditée N ous considérerons ici que l’entreprise auditée est res- ponsable du traitement d’audit : c’est le cas de l’audit interne, ou de l’audit réalisé par un tiers mais Isabelle Renard Docteur Ingénieur Avocat associée VAUGHAN

Upload: lamtram

Post on 15-Sep-2018

218 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: L’audit et la législation sur les données personnelles ne ...©néfices/Documents/Audit/86pp19_21... · Droit et informatique ... une sanction à l’égard d’un salarié,

� Droit et informatique

Les opérations d’audit impliquent l’accès par les auditeurs,dans le cadre des investigations qu’ils mènent dans le système d’infor-mation de l’entreprise, à des données de nature personnelle.Les données personnelles peuvent être celles des salariés de l’entre-prise, ou de préposés de ses prestataires, clients ou partenaires.Il faut en effet rappeler que la loi n° 78-17 du 6 janvier 1978 relativeà l’informatique, aux fichiers et aux libertés (la « Loi de 1978 ») poseune définition très large des notions de donnée personnelle que detraitement.

L’audit et la législation sur les données personnelles ne font pas bon ménage

“”

La Revue / Mai 07

(19)

La définition légale d’une « donnée personnelle »et d’un « traitement »

Aux sens sens de la Loi de1978 :

• « Constitue une donnée à caractèrepersonnel toute information relativeà une personne physique identifiéeou qui peut être identifiée, directementou indirectement, par référence à unnuméro d’identification ou à un ouplusieurs éléments qui lui sont pro-pres ».

Ainsi, contrairement à ce que l’oncroit, une donnée à caractère per-sonnel ne comprend pas nécessaire-ment le patronyme d’une personne.Ce peut être un numéro de posteou de badge, une adresse mail, defaçon générale toute caractéristiquequi peut être mise en relation avecune personne. Une piste d’audit,par exemple, traite nécessairementdes données personnelles.

• « Constitue un traitement de don-nées à caractère personnel touteopération ou tout ensemble d’opéra-tions portant sur de telles données,quel que soit le procédé utilisé, etnotamment la collecte, l’enregistre-ment, l’organisation, la conservation,

l’adaptation ou la modification, l’ex-traction, la consultation, l’utilisation,la communication par transmission,diffusion ou toute autre forme demise à disposition, le rapproche-ment ou l’interconnexion, ainsi quele verrouillage, l’effacement ou ladestruction ».

Le simple fait de consulter oud’utiliser les données est donc untraitement de données à caractèrepersonnel. On l’aura compris à lasimple lecture de ces définitions :une opération d’audit est un trai-tement de données à caractèrepersonnel au sens de la Loi de1978.

Reste à s’interroger sur les consé-quences de cette qualification.

Les contraintes légales des opérations d’audit au regard de la Loi de 1978

Avant de rentrer plus avant dansles aspects techniques de la

Loi de 1978, il nous paraît importantd’en rappeler les principes essen-tiels. La CNIL, au-delà du rôle degendarme qu’on lui prête volontiers,a surtout pour objectif d’inciter lesentreprises qui portent la respon-sabilité de traitements de données

personnelles, à connaître et res-pecter ces principes.

Les voici, très brièvement résumés :

• Tout traitement de données per-sonnelles doit être analysé et qualifiépar l’entreprise afin d’y appliquerle régime adéquat (déclaration à la CNIL, autorisation de la CNIL,dispense).

• Une attention toute particulièredoit être portée :

– À la sécurité des données per-sonnelles.

– À l’interconnexion des fichiers.– Au changement de finalité. – Au consentement des personnes

à la collecte et aux traitementsles concernant.

• Tout transfert de données per-sonnelles hors Union Européenneest un sujet sensible.

Revenons sur ces points pour cequi concerne une opération d’audit.

Les obligations déclarativesde l’entreprise auditée

Nous considérerons ici quel’entreprise auditée est res-

ponsable du traitement d’audit :c’est le cas de l’audit interne, ou del’audit réalisé par un tiers mais

Isabelle RenardDocteur Ingénieur

Avocat associée VAUGHAN

P 19-28*:Mise en page 1 11/05/07 9:59 Page 19

Page 2: L’audit et la législation sur les données personnelles ne ...©néfices/Documents/Audit/86pp19_21... · Droit et informatique ... une sanction à l’égard d’un salarié,

La Revue / Mai 07

(20)

dans le cadre d’une obligation in-combant à l’entreprise (liée parexemple à la loi Sarbanes Oxley, la loi de sécurité financière ou laréglementation bancaire).

L’opération d’audit interne (sauf sielle comprend des interconnexions– Cf. ci-après) rentrera dans lecadre du régime général prévu parla Loi de 1978, qui est celui de ladéclaration à la CNIL.

Cette déclaration devra comprendreune explication claire sur les finalitésde l’audit et sur les personnes quiauront accès aux données.

Ce dernier point posera une difficultédans les groupes internationaux,notamment américains, puisque letransfert de données personnellesentre l’Europe et les États-Unis estsoumis à des contraintes qui impo-seront soit la conclusion d’un accordintragroupe, soit l’adhésion de lamaison mère américaine au dispo-sitif appelé « safe harbor ».

La déclaration devra par ailleurscomporter une indication de lafaçon dont les personnes dont lesdonnées sont susceptibles d’êtreaccédées par les auditeurs en sontinformées. Si le sujet ne pose pasde difficulté particulière pour cequi concerne les salariés de l’en-treprise, il peut se révéler plus délicat s’agissant des tiers. Le plusefficace nous paraît être d’identifierles tiers à l’entreprise dont lesdonnées seront accédées lorsd’opérations d’audit et, en fonctiondes circonstances et des relationsentre l’entreprise et le tiers, intégrercette information de la façon laplus pertinente possible (contrat,e-mail).

La garantie de sécurité des données personnelles

La déclaration de l’entreprise àla CNIL devra préciser : « Les

dispositions prises pour assurer la sécurité des traitements et desdonnées et la garantie des secretsprotégés par la loi […] ».

La Loi de 1978 précise par ailleursque : « Le responsable du traitementest tenu de prendre toutes précau-tions utiles, au regard de la naturedes données et des risques présentéspar le traitement, pour préserver lasécurité des données et, notamment,empêcher qu’elles soient déformées,endommagées, ou que des tiers nonautorisés y aient accès ».

La notion de sécurité des donnéesest omniprésente dans la Loi de1978 et dans ses applications par la CNIL, ce qui se comprendcompte tenu de la grande facilitéde circulation des informations nu-mérisées.

Dans le cadre d’une opérationd’audit, la déclaration CNIL devraexposer les mesures prises pourpréserver la sécurité et la confi-dentialité des données personnellesaccédées par les auditeurs. Celapassera en pratique par un strictcontrôle des droits d’accès des auditeurs, et la mise en œuvre debonnes pratiques concernant lesdonnées qu’ils recueillent et leurrisque de dissémination (utilisationde clés USB ou utilisation de matérielportable insuffisamment sécurisé).

L’audit externe

Dès lors que l’audit est réalisédans le cadre d’une obligation

légale de l’entreprise [Cf. ci-dessus],il est nécessaire de mentionnerl’auditeur externe dans la déclarationCNIL comme un « sous-traitant »de l’entreprise au sens de la Loi de1978.

Cela ne dispense pas l’auditeur externe de procéder le cas échéantlui-même à une déclaration auprèsde la CNIL.

Le recours à un auditeur externes’inscrira dans un contrat qui devra« comporter l’indication des obligationsincombant au sous-traitant en matièrede protection de la sécurité et de laconfidentialité des données et prévoirque le sous-traitant ne peut agir quesur instruction du responsable dutraitement ».

L’interconnexion de fichiers

Les auditeurs sont parfois ame-nés, dans le cadre de leurs tra-

vaux, à croiser des donnéespersonnelles issues de sourcesdifférentes.

Dès lors que ces opérations decroisement viendraient à êtreconsidérées comme des « inter-connexions de fichier » au sens dela Loi de 1978, le traitement d’auditserait soumis non plus à une déclaration mais à une autorisationde la CNIL. C’est là un régimebeaucoup plus lourd qu’il est indis-pensable d’anticiper, car les opéra-tions d’audit ne peuvent en théoriepas être menées avant réceptionde l’autorisation.

D’après la CNIL, est considérécomme une interconnexion « touttraitement automatisé mis en œuvrepar un ou plusieurs responsablesqui consiste à mettre en relation (à corréler) des données ayant unefinalité avec d’autres données ayantune finalité identique ou différente ».

La CNIL a une interprétation largede « l'interconnexion de fichiers relevant d'autres personnes etdont les finalités principales sontdifférentes ». Elle considère qu’ilpourrait par exemple s’agir d’uneinter-connexion réalisée au seind’une même personne morale dedroit privé, entre des fichiers pré-sentant des finalités principales différentes.

On retrouve ici dans toute sa forcela notion de finalité d’un traitement.La CNIL voit en effet un danger dèslors que l’on croise des donnéesrecueillies sur une personne dansun certain contexte avec d’autresdonnées, recueillies sur la mêmepersonne mais dans un autrecontexte. L’audit n’y fait pas excep-tion, et il faudra préalablement deposer la question de savoir si lesinvestigations des auditeurs nevont pas conduire à ce type de croi-sement.

P 19-28*:Mise en page 1 11/05/07 9:59 Page 20

Page 3: L’audit et la législation sur les données personnelles ne ...©néfices/Documents/Audit/86pp19_21... · Droit et informatique ... une sanction à l’égard d’un salarié,

La Revue / Mai 07

(21)

En conclusion

Ànotre connaissance, rares sontles entreprises qui ont à ce

jour intégré la dimension « donnéespersonnelles » dans leurs opérationsd’audit.

On sait que les sanctions théo-riques d’un défaut de déclarationou d’autorisation sont graves. Ellessont en effet de nature pénale.Mais ces sanctions, de par leurexcès même, ne sont pas appliquées

et elles ne font pas peur à grandmonde.

Nous pensons que ce n’est pas uneraison pour y faire échapper l’audit.Une opération d’audit peut avoirpour conséquence la mise en causede personnes, et c’est dans cesconditions que le défaut de décla-ration pourra se révéler fâcheux.En effet, la Cour de Cassationconsidère qu’un traitement dedonnées non déclaré à la CNIL estinopposable à un salarié. En clair,

une malversation découverte dansle cadre d’un audit non déclaré à laCNIL ne pourra en aucun cas fonderune sanction à l’égard d’un salarié,du moins dans le cadre d’un procèscivil.

Même si là n’est pas l’objectif prin-cipal d’un audit, il serait tout demême dommage que les auditeurssoient les premiers à ne pas res-pecter les lois et règlements… �

La DSI (Direction des Systèmes d’Information) étant perçue

comme un centre de coûts, son Directeur est contraint de

prouver qu’elle apporte plus à l’Entreprise qu’elle ne lui

coûte.

Ce livre explique de façon pratique les conditions à réunir

et les mécanismes de pilotage pour créer la plus-value

recherchée et en mesurer les bénéfices.

L’entreprise n’est pas aisée : non seulement le dirigeant

de la DSI doit créer de la valeur, mais il doit aussi optimi-

ser les coûts de fabrication et la qualité des fournitures.

Faire gagner plus d’argent en dépensant le moins

possible.

Concilier ces missions nécessite de mettre en cohé-

rence trois composantes : l’organisation, les processus

de gestion et les outils de pilotage de la DSI. Trop

souvent, les relations de cause à effet entre ces trois

dimensions sont ignorées et réduisent l’efficacité du

pilo tage.

Le principal constat est que les combinaisons gagnantes pour relever ce défi sont peu nombreuses : une

organisation orientée projet, des responsabilités bien distribuées, une gestion par les plans de charge,

des outils, des processus privilégiant la vision du client, et surtout une commu nauté d’intérêts avec les

Directions « Métiers », la DRH et la Direction Financière de l’Entreprise.

Les composants de cette mécanique sont livrés un à un dans ce livre.

Le Directeur des Systèmes d’Information, mais aussi le contrôleur de gestion et le Président, disposent

dans ce livre d’une vision commune et du cahier des charges d’un projet de transformation conduisant à une

organisation orientée « métier », capable de s’adapter aux changements.

P 19-28*:Mise en page 1 11/05/07 9:59 Page 21


La sanction juridique du mensonge juridique

La sanction, - UFR Droit et Sciences politiques - … · Web viewEn effet, lorsqu’on s’intéresse à la jurisprudence européenne en matière de sanction, il s’agit avant tout

Statistiques des combattants - Sanction FQBMfqbm.ca/documents/FQBM-STATISTIQUES-COMBATTANTS.pdfStatistiques des combattants - Sanction FQBM Victoires Défaites Disqualifi cation Disqualifi

« Respecte l’engagement du CRSNG à l’égard de l’excellence »

Sanction de 2,5 millions deuros contre AXA

Notre engagement à l’égard du service offert à nos ...Services bancaires aux entreprises Notre engagement à l’égard de votre entreprise Notre engagement à l’égard du service

Politique criminelle Le contrôle-sanction

Évaluation de la satisfaction des Riverougeois à l’égard

Plan d’action à l’égard

La sanction disciplinaire et la progressivité

SANCTION DES ÉTUDES Administrative Manual for the

Punition, Sanction, Autorité & Cadre

L’approche de l’ACPR à l’égard des FinTechs

onnaissances, perceptions et comportements à l’égard de l

Cnil Sanction Google droit à l'oubli

AUX SOURCES DE LA SANCTION PÉNALE

Déclaration de la responsabilité de la direction à l’égard ... › ir › archive › fr › bmo_ar20_cfs.pdf · Déclaration de la responsabilité de la direction à l’égard

Recommandations à l’égard d’usages pédagogiques de

PLAN D’ACTION À L’ÉGARD DES PERSONNES HANDICAPÉES

Conseil d'état n°304925 - SANCTION DISCIPLINAIRE - 12 décembre 2007

À L’ÉGARD DES PERSONNES HANDICAPÉES

Guyau - Esquisse d'Une Morale Sans Obligation Ni Sanction

SANCTION DES ÉTUDES - AQPDE

La sanction des pratiques anticoncurrentielles

La sanction disciplinaire et la progressivité Sanction personnelle adaptée: Pour quels types de fautes? - Répétitivité -Anti-sportives -Anti-jeu -Mise

L'efficacité de la sanction contractuelle civile - Afrilex

L’individualisation de la sanction pénale

L’équité à l’égard des familles - partie 1

LA SANCTION DISCIPLINAIRE DU TRAVAILLEUR

La sanction en éducation, E.Prairat

vers Une Sanction « éducative - Ac-lyon.fr · Jean-Maurice Gauthier CPC_Lyon_8ème 1 Vers une sanction « éducative » Mercredi 5 décembre 2012 D’après Eirick Preirat, Rémi

JUSTICE SCOLAIRE, DISCIPLINE, SANCTION EDUCATIVE

La normativité du droit international - Accueil ... · sanction apparaît centrale dans la conception classique du droit, elle ... If the sanction ... phénomènes infra-juridiques

Satisfaction à l’égard de la vie Un étude

LA SANCTION DISCIPLINAIRE ET LA THÉORIE DES FACTEURS