Le non-respect de la législation dans le domaine des technologies des informations peut mettre l’organisation dans une situation délicate vis-à-vis de la loi, de ses clients (image de marque) mais aussi avoir des conséquences financières (amendes) ou pénales (responsabilité des personnes).
Les aspects légaux et les responsabilités et obligations des entreprises en matière de protection des données personnelles ont été présentés lors de l’Internet Security Day 2007 par Maître Cyril Pierre-Beausse sur la criminalité informatique : Répression et risques juridiques pour les entreprises liés aux données personnelles.
Ainsi, la loi punit plus sévèrement encore les organisations qui se font voler des informations que les voleurs eux-mêmes sous le prétexte d’un manquement dans l’obligation de protection des données personnelles et/ou sensibles.
La justice reconnaît et punit :
De fait, toute organisation doit mettre implémenter un niveau de sécurité en fonction :
du risque d’atteinte à la vie privée;
de l’état de l’art (ce qui implique une obligation de mise à jour et de se tenir informé);
des coûts liés à la mise en oeuvre.
Rédigez et faites respecter une politique sectorielle liée à la conformité.
Le respect des droits d’auteurs sur les œuvres littéraires et artistiques originales auxquelles sont assimilés les bases de données et les programmes d’ordinateur, comme défini dans la loi modifiée du 18 avril 2001 s’impose. On peut citer par exemple le respect des principes de base suivants :
toute reproduction, communication au public ou distribution au public doit être autorisée par l’auteur; ceci s’applique aussi à la diffusion par Internet sauf exceptions légales;
les logiciels sont également protégés par le droit d’auteur lequel doit être respecté. Il incombe au(x) seul(s) titulaires respectifs desdits droits de décider quels utilisations des programmes respectifs sont autorisées ou non, voire soumis à licences gratuites ou onéreuses. La question du respect des droits d’auteurs ne se limite donc pas à la seule acquisition des licences de logiciels ;
il faut respecter les brevets;
il faut respecter les marques, dessins et modèles;
Pour toute autre question veuillez vous adresser à l’Office de la propriété intellectuelle.
Toute création de fichier ou de base de données doit être faite dans le respect de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. Il en est de même pour les traitements appliqués à ces données et pour les données déjà existantes.
Afin de travailler dans le respect de cette loi, le responsable informatique et le responsable juridique, après avoir obtenu les textes applicables auprès de la Commission Nationale pour la Protection des Données doit s’assurer de l’adéquation de la structure, notamment au niveau :
De plus, il est important de garder en mémoire les 10 principes de la protection des données personnelles:
Le traitement des données personnelles n’est possible que s’il existe une raison suffisamment légitime pour le justifier.
L’utilisation des données personnelles doit être limitée à une fin explicitement déterminée au préalable et limitée à ce qui est nécessaire pour atteindre les buts expressément définis par l’organisation qui demande des données personnelles.
Le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement.
Sur la base que des informations inexactes ou incomplètes peuvent nuire à la personne à laquelle elles se rapportent, tous les efforts doivent être faits pour que les données traitées soient correctes et actuelles, laissant le choix de les rectifier ou de les effacer.
La collecte, l’enregistrement, l’utilisation et la transmission des données personnelles doivent se faire de bonne foi et non pas à l’insu des personnes.
Les données personnelles doivent être stockées à des endroits et sur du matériel sécurisés.
La loi autorise à demander la consultation des données personnelles et des finalités de traitement et de s’y opposer si le traitement n’est pas conforme à la loi. L’enregistrement de toutes les bases de données auprès de la Commission Nationale pour la Protection des Données contribue au principe de transparence.
Le traitement d’informations faisant apparaître des opinions ou convictions qui sont en rapport avec l’état de santé et la vie sexuelle, y compris les données génétiques, est interdit, hormis quelques exceptions énumérées de façons limitatives par la loi
Une autorisation de la Commission Nationale pour la Protection des Données est nécessaire avant de pouvoir recourir à des moyens techniques pour surveiller les personnes. Le traitement des données personnelles ainsi recueillies n’est possible que dans des cas de figure bien précis énumérés par la loi.
À tout moment il est possible d’interdire l’utilisation de ses données personnelles à des fins commerciales. Le marketing direct à l’aide des moyens de communication modernes (SMS, e-mail…) est en principe interdit si vous n’y avez pas marqué votre accord.
Le détournement d’un ou plusieurs de ces principes est puni par la loi.
De plus, la collecte d’informations personnelles doit être clairement connue des personnes impliquées et leur autorisation préalable à toute collecte et tout traitement d’informations personnelles collectées sur eux, doit être donné.
Le droit à la protection de la vie privée, principe de base en matière de droit à l’image, est consacré par plusieurs textes, notamment :
Il découle de ces textes que toute personne a le droit de s’opposer à la prise mais aussi à la publication de son image : accepter d’être photographié ne veut pas dire autoriser la diffusion de la photographie dans n’importe quel cadre.
Il est fortement conseillé d’obtenir le consentement d’une personne avant sa prise en photo et (surtout) la publication des photographies. Pour les mineurs, le consentement des représentants légaux tels que les parents doit être obtenu, ainsi que celui des mineurs ayant atteint l’âge de raison.