Revue Pilote Urbain. Questions-réponses sur Loi de Protection de données personnelles.

Pilote N54 p44 LOPD

La Loi de Protection des Données Personnelles espagnole:

Quelles sont concrètement les mesures à suivre au sein de mon entreprise?

1. Pour ce qui est des locaux: ceux-ci doivent être muni d'un système de sécurité suffisant (serrures); les locaux où sont situés les dossiers ainsi que les armoires à archives doivent être fermés à clefs lorsqu'on sort le soir du local social. Il faut assurer la sécurité des documents contenants des données personnelles. Seul le personnel autorisé peut y avoir accès.

2. Les données personnelles situées dans sur des dossiers informatiques ou dans le nuage d'internet doivent en soi remplir les mêmes conditions: l'accès doit impérativement être restreint aux personnes qui en ont strictement besoin au sein de l'entreprise, (codes personnels et intransmissibles, à modifier régulièrement) de là la nécessité de l'existence d'un règlement contenant les mesures de sécurités, qui spécifie le personnel y ayant accès, ainsi que la signature par le personnel autorisé d'un contrat de confidentialité. Des mesures rendant impossible les  archives, copies et envois par email des documents contenants des informations personnelles provenant du serveur de l'entreprise, etc. Ainsi, il est grand temps d'interdire l'apport de clefs-mémoire personnelles des travailleurs, qui ne pourront en aucun cas garder les documents concernées sur une clef personnelle. L'idéal est de rendre in-opérationnel ou supprimer les entrées USB des ordinateurs du personnel travailleur.

La loi est claire: selon le système utilisé dans chaque entreprise, vous devez rendre impossible l'utilisation aux fins privées des données personnelles par vos travailleurs. De là l'intérêt de solliciter les services d'un professionnel informatique spécialisé dans la Protection des Données Personnelles en accord avec la loi en vigueur si vous avez des travailleurs et possédez des accès par reseau semi-fermé, intranet, etc. Appliquez donc cette règle de base à la situation spécifique de votre négoce.

Les entrepreneurs "en solo" ne se sauvent pas de l'application de la loi, car à de moindres effets, il faut assurer la sécurité des données face au personnel de nettoyage (qui ne peut y avoir accès, ce n'est pas une simple question de confiance, mais bien d'efficacité réelle!), les clients qui passent par vos bureaux ( ne pas laisser de dossiers trainer, etc.) et même contre les voleurs qui pénètrent dans vos locaux (codes d'accès, serrures d'archives fermées à clefs, etc). Attention: lorsque vous jetez un support contenant ou ayant contenu des données personnelles (ordinateur, CD, clef, carte, autre), vous devez vous assurer que le contenu est réellement inutilisable. Informez-vous bien des méthodes de destruction de ces supports.

La Loi de Protection de Données Personnelles espagnole:

Ou comment soumettre mon entreprise à la LOPD?

Toute entreprise a l'obligation de protéger les informations personnelles contenues dans un ficher, soient-elles sous format papier ou informatique, ce par l'application de moyens de sécurité établis légalement. La loi différencie trois moyens de sécurité:

1° le niveau de base: pour toutes les données personnelles traitées par des entreprises;

2° le niveau moyen: pour les entreprises dédiées aux services financiers, aux gestions et services relatifs à la Sécurité Sociale et les mutualités d'assurance de travail et maladies professionnelles de la Sécurité Sociale, ou toutes données qui permettent d'évaluer des aspects personnels ou de comportement des personnes.

3° le niveau élevé: toutes données idéologiques, de croyances, origine racial, vie sexuelle, etc.

Le niveau de sécurité basique exige aux documents de sécurité un contenu spécifique, une procédure de notification, gestion et réponse précise, une régulation des fonctions, obligations et d'accès des employés sur les fichiers, un système de sécurité déterminé et adapté à chaque entreprise.

Ainsi, le ou les responsables des fichiers doivent y accéder avec une clef d'accès personnelle et strictement privée et se soumettre à une réglementation interne de la gestion de celles-ci.

Des contrôles périodiques (minimum tous les 2 ans) doivent être réalisés afin de vérifier les contenus, et si des données doivent être éliminées, le procédé doit empêcher toute récupération future de l'information.

Il est obligatoire d'informer toute personne intéressée depuis le moment où ses données sont reçues et gardées, de ses droits d'accès, de modification et d'élimination de ses données , lui proportionnant les moyens de le faire, qui ne pourront être plus formels ou compliqués que les moyens utilisés pour collecter ses données personnelles. Aujourd'hui de nombreuses entreprises le font déjà en bas de leur email.

Un contrat de prestation de services et confidentialité devra être signé avec les tiers qui traitent toute donnée personnelle, car l'entrepreneur est responsable légal du fichier et vous autorisera le transfert d'informations personnelles au comptable, au notaire, au banquier,etc.

Les employés doivent être informés des mesures de sécurité et ceux-ci doivent accepter de s 'y soumettre (signer un compromis de respect des mesures de sécurité interne qui explique celles-ci).

Les données personnelles ne peuvent être cédées à d'autres entreprises, soient-elles ou non du groupe, sans autorisation expresse. Un avis légal devra donc inclure cette possibilité le cas échéant.

Le registre de données personnelles doit subir une copie sécurisée, chose qui en principe se réalise déjà par la plupart des entreprises. Mais en plus, un livre de registre doit être maintenu, livre qui contiendra le suivi et l'accomplissement des mesures de sécurité, les personnes qui y ont accès, etc.

Dans un prochain post: quelles sont concrètement ces mesures standardisées de sécurité à avoir dans son entreprise?