Dans le cadre de votre activité vous serez amené à générer un grand nombre de leads. Vous vous trouverez alors en possession d’informations diverses concernant vos clients ou futurs clients. Se posera alors la question de la sécurisation des données. En effet, un usage inadapté de ces informations peut engendrer des atteintes à la vie privée, voire à l’intégrité de la personne concernée.
C’est pourquoi la Loi Informatique et libertés de 1978 impose au responsable une obligation de sécurisation des données qu’il sera amené à traiter.
Il incombera, notamment, au responsable de réaliser des études d’impact afin de déterminer une protection adéquate des leads.
Qu’entend-on exactement par « obligation de sécurité » ? A quel moment intervient-elle ? Quelles sont les conséquences liées à cette obligation ?
Pourquoi une telle obligation ?
En générant des leads vous collectez et vous stockez des données personnelles d’individus. Tout risque de piratage ou de divulgation non autorisée peut influer de manière néfaste sur leur quotidien, leur vie privée ou leur réputation.
Votre entreprise doit agir par anticipation et se poser les questions suivantes :
- Quelles seront les conséquences sur la vie privée de la personne concernée en cas d’accès illégitime à ses données ?
- En cas de disparition ?
- En cas d’altération ?
Elle devra mesurer la plausible gravité de chacune de ces situations pour définir des mesures de protection adéquates.
Le responsable du traitement doit tout mettre en œuvre pour assurer la sécurité des données qu’il a en sa possession.En cas de faille, l’entreprise devra démontrer qu’elle avait tout fait pour l’éviter.
Nul n’est à l’abri d’un mode de piratage jusqu’alors inconnu. En revanche, si le responsable n’avait pas effectué une mise à jour de sécurité alors qu’elle était disponible, il se heurtera à des poursuites…
Que dit la loi en matière de sécurisation des données ?
L’article 34 de la Loi informatique et Libertés dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement » pour assurer leur sécurité.
Ainsi, la personne qui collecte des données à caractère personnel devra tout faire pour qu’elles ne soient pas déformées, endommagées ou que des tiers y aient accès sans autorisation.
Cette obligation est un préalable à toute génération de leads ! Vous ne devez pas commencer à collecter des données sans être certain de pouvoir en garantir la sécurité !
Cela peut passer par le contrôle préalable, par exemple, des matériels et logiciels informatiques qui accueilleront ces données.
Quid de la réglementation européenne ?
La Directive 95/46/CE reprend cette obligation de sécurité. Son article 17 énonce que « les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel ».
Les données à caractère personnel ne doivent pas être détruites accidentellement ou volontairement, ni perdues, altérées ou encore diffusées.
En pratique comment sécuriser ses données ?
La Commission nationale de l’informatique et des libertés a émis un certain nombre de recommandations en matière de sécurisation des données.
Vous pouvez y avoir accès sur son site internet. Vous y trouverez, sous formes de thématiques, les différentes mesures clefs à adopter en la matière.
Que risquez-vous en cas de défaillance ?
Quelle différence entre une faille et une violation de sécurité ?
L’article 34 bis de la Loi définie une violation de données à caractère personnel comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données » personnelles.
La faille de sécurité, quant à elle, n’entraîne pas nécessairement violation de données. En effet, la faille correspond à un défaut qui peut être corrigé. De ce fait, si le responsable corrige la faille à temps, avant qu’elle n’ai pu être exploitée, alors il pourra empêcher la violation de sécurité.
Comment réagir en cas de défaillance ?
Lorsqu’une violation de sécurité est constatée, le responsable doit en informer la Cnil sans délai. Cette obligation de notification de failles de sécurité est prévue à l’article 34 bis de la Loi Informatique et Libertés. Si cette violation risque de porter atteinte à la vie privée de l’individu, le responsable devra l’en informer également.
Outre cette notification obligatoire, le responsable devra tout faire pour faire cesser la violation.
A noter : Pour l’instant, cette obligation de notification ne concerne que « les fournisseurs de services de communications électroniques au public ». Aucune disposition légale ne vient définir cette expression. Cependant, l’usage veut que l’on retienne les fournisseurs d’accès à internet ainsi que les opérateurs télécoms.
Le prochain règlement européen sur la protection des données personnelles (applicable en mai 2018), étendra cette obligation à tous les responsables de traitement (cf. article 33).
Quelles sont les sanctions possibles ?
Le fait de générer des leads sans s’être préalablement assuré de leur sécurisation est réprimé pénalement. En effet, l’article 226-17 du CP sanctionne le fait de ne pas mettre en œuvre les mesures prescrites à l’article 34 de la Loi I&L. La peine encourue est de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Par ailleurs, si un préjudice est établi suite à une défaillance en matière de sécurité, le responsable du traitement pourra voir sa responsabilité civile engagée. En effet, l’article 1240 du code civil énonce que « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ».
Par conséquent, en cas d’atteinte aux données personnelles d’un individu et en cas de préjudice, la personne lésée pourra poursuivre le responsable sur ce fondement. L’objectif étant, ici, d’obtenir réparation : soient des dommages et intérêts.
La question de la responsabilité dans la situation d’un contrat de sous-traitance
Il peut arriver qu’une entreprise décide de confier certaines opérations de traitement de données personnelles à un ou plusieurs sous-traitants. Ce terme désigne toute personne qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Cette hypothèse est prévue à l’article 35 de la Loi Informatique et Libertés.
D’une part, le sous-traitant ne pourra intervenir sur les données que sur ordre du responsable du traitement. D’autre part, le sous-traitant devra s’engagé contractuellement à mettre en œuvre toutes les mesures techniques et organisationnelles possibles pour assurer une sécurisation optimale des données.
A ce titre, l’article 17 de la Directive 95/46/CE énonce également que le responsable du traitement « doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation (…) et qu’il doit veiller au respect de ces mesures ».
Que se passe-t-il en cas de défaillance ?
Il a été établi que le fait pour un responsable de traitement de conclure un contrat de sous-traitance n’induisait pas un transfert de responsabilité. En effet, la sous-traitance ne décharge nullement le responsable du traitement. « La seule mention d’une obligation de sécurité dans un contrat de sous-traitance ne dispense ainsi pas le responsable de traitement de s’assurer lui-même » de la sécurité des données (CE, 30 déc. 2015, Sté Orange, n°385019).
La sécurisation des données concerne à la fois le responsable, et à la fois le sous-traitant. De ce fait, la responsabilité et la possible sanction en la matière les concernent tous deux également.
Finalement, l’obligation de sécurisation des données constitue un préalable indispensable à tout traitement. Une sécurité adéquate pour vos fichiers clients-prospects constitue une valeur ajoutée à vos leads. En effet, un fichier qui se vend bien est un fichier légal et protégé…
Si cet article vous a plu, consultez nos articles dans le thème de la réglementation juridique ou à consulter notre livre blanc les aspects juridique de la génération de leads. Vous souhaitez être accompagnés dans votre démarche d’augmentation de vos leads? Nous vous invitons à contacter nos équipes pour plus d’informations.