La Commission Nationale Informatique et Libertés (« CNIL ») a récemment procédé à des contrôles sur les fichiers de gestion des ressources humaines d’une cinquantaine d’entreprises . (cf . www.cnil.fr

Selon ses propres termes, la Commission constate que les entreprises en France négligent l’application de la loi Informatique et libertés du 6 janvier 1978. L’absence des formalités préalables ne résulterait pas selon elle d’une ignorance des obligations imposées par la loi mais plutôt « […] d’une sorte de « réticence » à porter à la connaissance de la Commission des traitements dont la conformité ne correspond pas aux principes dégagés par la CNIL dans ses différentes décisions ».

Au titre de son programme annuel de contrôle mis en œuvre depuis mai 2007, la CNIL a opéré une vaste opération de contrôle qui a révélé notamment (i) un manque d’information des salariés sur leurs droits, (ii) des mesures de sécurité insuffisantes, notamment en cas de transfert de données hors de l’Union européenne et (iii) l’absence de politique de purge des données.

Le traitement de données à caractère personnel (pour la gestion des ressources humaines ou des fichiers clients ou de prospects par exemple) impose le respect d’un certain nombre d’obligations, notamment quant à la nature des informations collectées, la finalité et les moyens du traitement, la durée de conservation desdites données, la sécurité etc.

Nous rappelons donc à nos lecteurs que ces traitements doivent être déclarés auprès de la CNIL, différentes procédures dites « simplifiées » ayant d’ailleurs été mises en place à cette fin.

Le non respect des dispositions de la Loi 78-17 du 6 janvier 1978 est susceptible de sanctions pénales à hauteur de 5 ans de prison et 300 000 € d’amende (articles 226-16 à 226-22 du Codé pénal).

La CNIL a déjà fait application de cette procédure dans sa Délibération n° 2007-374 du 11 décembre 2007 en sanctionnant la société Service Innovation Group France (SIG) par une amende de 40.000 €, en raison de commentaires subjectifs figurant dans le fichier des salariés. (cf. www.cnil.fr/fileadmin/documents/La_CNIL/actualite/D2007-374_SIG.pdf

Hammonds a consacré plusieurs évènements aux questions de protection des données pour sensibiliser les entreprises, tant européennes qu’internationales, aux enjeux essentiels liés à l’exploitation des données, à leur protection et à leur transfert, tant à l’intérieur de leur groupe qu’à l’extérieur (Voir notamment la conférence organisée le 27 février dernier à la British Library de Londres.