L’article 34 de la loi Informatique et Libertés du 6 janvier 1978 prévoit en effet que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (…) ». Le fait de ne pas prendre les précautions adaptées peut être sanctionné par une peine d’emprisonnement allant jusqu’à 5 ans de prison et donner lieu à une amende de 300.000 €.

Toute entreprise qui gère des données doit donc, avant d’engager toute collecte, s’assurer des quatre éléments suivants :
– les données collectées sont-elles des « données à caractère personnel » au sens de la loi Informatique et Libertés ?
– en cas de réponse positive, les obligations de déclaration ou les demandes d’autorisation auprès de la CNIL en vue de la constitution du fichier ont-elles été respectées ?
– les procédés garantissant le droit des personnes auprès desquelles les données ont été collectées sont-ils efficients ?
– les données sont-elles suffisamment sécurisées pour éviter toute atteinte à leur contenu ou tout accès par une personne non autorisée.

La question de la sécurité du réseau est donc une question majeure en matière de données à caractère personnel.

La directive du 24 octobre 1995 (données personnelles) précise d’ailleurs que le responsable du traitement doit mettre en oeuvre « les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».

La jurisprudence déduit de ces dispositions que l’obligation de sécurité qui pèse à la charge du responsable du traitement des données vaut tant pour les risques informatiques (intrusions, cheval de Troie, etc.) que pour les risques matériels (incendies, vol physique de données, etc.).

En pratique, les mesures prises doivent être conformes à l’état de la technique et adaptées au risque présenté par les données. Il est évident qu’un défaut de sécurité d’un fichier portant sur des données dites « sensibles », sera sanctionné plus lourdement que lorsque la défaillance concerne des données plus anodines.

S’il n’est pas exigé du responsable du traitement des données une obligation de résultat, il devra néanmoins être en mesure de prouver qu’il a mis en œuvre toutes les mesures pouvant raisonnablement être attendues pour s’assurer du respect de l’intégralité du fichier.

Ce problème est d’autant plus crucial que la défaillance du responsable du traitement pourra justifier des poursuites pénales tant à son égard qu’à l’égard de la société qui l’emploie. Pour mémoire, la peine prévue à l’article 226-17 du Code pénal est de cinq ans d’emprisonnement et de 300.000 € d’amende, ce dernier montant pouvant être porté à 1.500.000 € lorsque c’est la responsabilité de l’entreprise qui est en jeu.

A noter que le procureur sera également en droit d’exiger l’effacement des données du fichier insuffisamment protégé, s’il estime que la défaillance constatée présente un risque d’atteinte à la vie privée des personnes dont les données ont été collectées.

La sécurisation des données présente ainsi un risque juridique réel, dont le traitement insuffisant est susceptible d’avoir des conséquences tant pénales qu’économiques.