Cybersurveillance, réseaux sociaux et protection des données personnelles

Interview d'Ariane Mole, Avocat Associé au sein du Cabinet Bird & Bird.  

Quelles sont les évolutions des procédures de contrôle mises en place par la CNIL, notamment en ce qui concerne la cyber surveillance ?

Au cours de l'année 2008, les agents de la CNIL ont procédé à 218 contrôles sur place afin de vérifier le respect de la loi, soit une augmentation de 33 % par rapport à 2007. Ces contrôles s'exercent le plus souvent de manière inopinée, c'est à dire sans que l'organisme en ait été averti au préalable, ce qui marque une rupture avec les procédures antérieures. Les pouvoirs de la CNIL s'exercent également à l'occasion de l'instruction des plaintes dont elle est saisie, dont le nombre est également en très forte augmentation (4244 plaintes reçues en 2008, soit prés de 12 plaintes par jour !). Il est donc nécessaire que les organismes tant privés que publics sachent comment réagir et mettent en place les procédures à appliquer dans de telles éventualités.

La CNIL porte depuis plusieurs années une attention particulière à la cybersurveillance des salariés et au respect de leurs droits : elle a publié un rapport sur ce sujet en 2001 et 2002, où elle rappelle que le contrôle de l'activité des salariés doit respecter les règles prescrites par le code du travail et par la loi Informatique & libertés. La CNIL vérifie par conséquent lors de ses contrôles le respect de ces règles, et a récemment infligé une sanction financière à une société qui avait mis en place un dispositif de vidéosurveillance permanente de ses salariés, sans déclaration à la CNIL et sans en avoir informé préalablement ses salariés.

Quelles conclusions ressortent du G29 en matière de réseaux sociaux ?

Le G29, le groupe des CNIL européennes, s'est récemment saisi de la question de l'utilisation massive des réseaux sociaux, pour préciser les règles applicables et mettre en lumière les risques d'atteinte à la vie privée générés par la diffusion de données personnelles sur internet.

Dans son avis, le G29 considère que dans la majorité des cas les dispositions de la Directive européenne sur la protection des données personnelles - transposées en France par la loi Informatique & libertés - sont pleinement applicables aux réseaux sociaux et que, par voie de conséquence, ses principes doivent être respectés par les responsables de ces sites internet. En particulier, le G29 recommande que les utilisateurs soient clairement informés des conditions d'utilisation de leurs données  et des conséquences qui en résultent pour leur vie privée. En outre, le G29 considère que trop de paramètres permettant à d'autres personnes d'accéder au profil de l'utilisateur sont définis par défaut, et que l'utilisateurs n'en est pas suffisamment averti. Sont également critiquées les durées de conservation des données qui doivent être limitées, s'agissant notamment des comptes inactifs ou abandonnés. Le G29 met enfin l'accent sur la protection des mineurs, ainsi que sur la possibilité qui devrait être offerte à quiconque, membre ou non-membre, de demander la suppression des données personnelles le concernant.

Pour les entreprises, quels sont les défis de demain et les points de vigilance à avoir en matière de protection des données à caractère personnel ?

La conformité à la loi Informatique & libertés constitue un enjeu important pour les entreprises, compte-tenu des risques encourus : en effet, les risques sont multiples, il s'agit d'une part du risque de sanctions administratives prononcées par la CNIL. Les entreprises ou leurs dirigeants peuvent également faire l'objet de sanctions pénales, notamment des amendes pouvant aller jusqu'à 1,5 millions d'euros, et le Code pénal prévoit également la possibilité, pour le tribunal, de prononcer des peines complémentaires, par exemple l'exclusion des marchés publics ou encore l'affichage ou la diffusion de la décision par voie de presse.

1°)  Les entreprises doivent par conséquent mettre en place des procédures internes permettant de recenser l'ensemble des traitements de données personnelles, afin de procéder aux déclarations nécessaires auprès de la CNIL ou de les actualiser.

2°) Les entreprises doivent également tenir compte des autres obligations prescrites par  la loi Informatique & libertés, qui impliquent notamment de :

  - définir des durées de conservation des données traitées;

  - vérifier les mesures de sécurité destinées à protéger la confidentialité des données traitées;

  - vérifier que   les  personnes concernées soient bien informées des traitements mis en œuvre.