Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Quel risque pénal pour l'entreprise en cas de mauvaise gestion des données ?

Avec le nombre grandissant d'entreprises étant amenées à déclarer auprès de la CNIL des fichiers de données personnelles constitués à partir d'informations fournies par leurs clients, se pose aujourd'hui la question du risque pénal pesant sur l'entreprise ou sur le responsable du traitement de ces données, si elles venaient à être piratées, perdues ou endommagées.
 

Á ce titre, Henri Leben, avocat à la Cour, rappelle que l'article 34 de la loi Informatique et Libertés du 6 janvier 1978 prévoit que

« le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (...) ».

L'absence de protection adaptée peut être sanctionnée par une peine allant jusqu'à 5 ans de prison et 300.000 euros d'amende. Le montant peut même monter jusqu'à 1,5 million d'euros lorsque la responsabilité de l'entreprise est engagée.
 

La directive du 24 octobre 1995 ajoute quelques précisions sur le rôle du responsable du traitement de ces données.

Celui-ci doit, en effet, mettre en oeuvre « les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».

Une obligation de sécurité qui vaut à la fois pour les risques informatiques (virus, cheval de Troie, etc.), mais aussi pour les risques matériels (incendies, vols, etc.).
Henri Leben ajoute que « s'il n'est pas exigé du responsable du traitement des données une obligation de résultat, il devra néanmoins être en mesure de prouver qu'il a mis en œuvre toutes les mesures pouvant raisonnablement être attendues pour s'assurer du respect de l'intégralité du fichier ». (Source IT Channel).