Internet, Iphone, Ipad… ces technologies de l’information et de la communication ont fait basculer l’individu d’un monde réel dans un monde virtuel où les données nominatives qui constituent son identité – de plus en plus traquées et utilisées à son insu – sont devenues de véritables enjeux économiques. Sur ce sujet sensible, i-tourisme a donné la parole à Maître Fabrice Degroote, avocat du cabinet spécialisé Neolex. 

Défendus au quotidien par les représentants de la CNIL, ces principes essentiels de la liberté individuelle devraient faire condamner, dans les années à venir, plus d’une entreprise négligente dans la gestion des fichiers de données nominatives devenus le cœur de son activité commerciale.

De la mauvaise utilisation de la donnée nominative

Le 27 mai dernier, la CNIL a épinglé la société Acadomia en lui adressant un avertissement et en informant le Parquet des manquements susceptibles de constituer des infractions pénales, lourdes de conséquences : la peine encourue peut en effet aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende. Pourquoi de telles sanctions alors qu’il ne s’agit que d’un fichier et des données nominatives qu’il comportait ?

Tout d’abord parce que la société Acadomia n’avait pas préalablement demandé à la CNIL l’autorisation de constituer des fichiers nominatifs sur les enseignants qui postulent. Mais, bien plus grave, ces fichiers comportaient non seulement des commentaires excessifs voire injurieux sur les enseignants, les élèves et leurs parents, mais également des informations détaillées sur l’état de santé de certains et des allégations non vérifiées concernant des infractions et des condamnations.

La donnée nominative : un projet structurant pour l’entreprise

Enjeu économique, la donnée nominative est bien plus qu’un élément constituant un fichier commercial, elle doit être à la base d’un véritable projet structurant d’entreprise, défini par une charte de « bonne gestion » reposant sur des principes intangibles : demande d’une autorisation préalable auprès de la CNIL, définition d’une charte d’engagement, nomination d’un responsable, mise en place des processus, définition des usages des données, gestion des options individuelles (opt-out et opt-in), mise en place de possibilité d’accès et de correction, etc.

Patrimoine de l’entreprise, le fichier de données nominatives doit ainsi pouvoir évoluer tout en restant conforme aux dispositions de la législation. Pour palier à cette difficulté qui apparaît par négligence au fil des ans, l’entreprise se doit de mettre en place un correspondant à la protection des données à caractère personnel : le CIL.

CIL interne ou CIL externe ?

Devant tout à la fois avoir une bonne connaissance de l’entreprise, maîtriser les obligations Informatique et Libertés, et connaître l’informatique et la communication électronique, le CIL interne (Correspondant Informatique et Libertés) doit pouvoir jouir d’une grande marge de manœuvre, aussi bien intellectuelle que fonctionnelle, afin de veiller objectivement à la conformité du fichier de données nominatives.

Tous ces pré-requis d’indépendance à l’existence du CIL interne, conduisent bon nombre d’entreprises à désigner un CIL externe jouissant plus facilement d’une marge de manœuvre à l’égard des entreprises qui failliraient dans la bonne gestion de leurs données nominatives et assurant ainsi la conformité du fichier de données nominatives aux obligations imposées par le CNIL et la Loi Informatique et Libertés.