PolSec Conformité
 

Respecter la législation

Le non-respect de la législation dans le domaine des technologies de l'information peut mettre « l’organisation » dans une situation délicate (impacts) à l'égard de ses clients (image de marque). Il peut également en résulter des conséquences financières (amendes) ou pénales (responsabilité des personnes). « L’organisation » doit donc respecter la loi, notamment en ce qui concerne :

Propriété intellectuelle

« L’organisation » doit aussi veiller au respect des droits d’auteur et licences. Les sanctions pour le non-respect de ces lois peuvent mettre en danger « l’organisation » (PME : voir Licence non valide ou inexistante). Il s'agit en particulier des droits d’auteur sur les œuvres littéraires et artistiques originales auxquelles sont assimilés les bases de données et les programmes d’ordinateur, comme défini dans la loi du 18 avril 2001.

L'équipe informatique est sensée vérifier autant les obligations pour les programmes utilisés que celles des données pour lesquelles l'organisation est propriétaire. En cas de doute, elle peut consulter la loi luxembourgeoise à l’adresse http://www.eco.public.lu/dpi, ou faire appel à un juriste.

Les principes de base à ce sujet sont les suivants :

  • toute reproduction, communication au public ou distribution au public doit être autorisée par l’auteur;

  • ceci s’applique à la diffusion par l'Internet;

  • il faut respecter les licences des logiciels;

  • il faut respecter les brevets;

  • il faut respecter les marques, dessins et modèles;

Protection de données opérationnelles

Selon le caractère des données traitées, « l’organisation » est tenue par la loi du 2 août 2002 de mettre en place des mesures appropriées pour empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement des données (voir aspects légaux).

Les données correspondant à l’activité commerciale doivent être conservées, sous une forme ou une autre, pendant dix ans à partir de la clôture de l’exercice auquel elles se rapportent.


Protection de données à caractère personnel

Toute création d'un fichier ou d’une base de données doit être faite dans le respect de la loi du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel. Il en est de même pour les traitements appliqués à ces données et pour les données déjà existantes. (PME : voir Traitement non autorisé de données personnelles - Surveillance des employés)

Afin de travailler dans le respect de cette loi, le responsable informatique et le responsable juridique, après avoir obtenu les textes applicables auprès de la Commission Nationale pour la Protection des Données (ci-après « La Commission ») s'assurent de l'adéquation de la structure, notamment au niveau :

  • de la déclaration des données et traitements auprès de la Commission ;

  • de l'obtention d'une autorisation auprès de la Commission quand elle est nécessaire ;

  • de la qualité des données et de la légitimité des traitements ;

  • des droits d'information et d'opposition des personnes concernées ;

  • des données potentiellement discriminatoires (raciales, ethniques, politiques, religieuses, philosophiques, syndicales) ou relatives à la santé.