Le numérique dans l’entreprise et la protection des personnes

Chapitre 3 Le numérique dans l’entreprise et la protection des personnes

* problématique: Dans quelle mesure le droit répond-il aux questions posées par le développement du numérique ?

* compétences :

- Identifier pour l’entreprise les modalités juridiques de protection des actifs immatériels

-Caractériser les conséquences juridiques des choix opérés par l’entreprise sur la protection des personnes, des données

-Qualifier et analyser les clauses de contrats relatives à une vente ou à une prestation de service numérique

* Savoirs associés:

-Le rôle de la CNIL

-La protection des actifs immatériels : droit d’auteur et droits d’utilisation des services et des applications

-La protection de la personne : les données à caractère personnel, l’identité numérique, l’usage du numérique dans l’activité de travail

-La preuve électronique

-Le contrat de vente électronique

- Le contrat de prestations de service numérique

1. L’exploitation des données à caractère personnel (DCP)

A. Le respect par l’entreprise d’un cadre réglementaire

Créée en 1978 par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante en charge de la régulation des données personnelles. Ses missions sont :

• l’information des particuliers et des professionnels sur leurs droits et obligations en matière de DCP ;
• le contrôle des entreprises et administrations traitant des données personnelles et les sanctionner en cas de manquement à leurs obligations ;
• l’analyse des problématiques nouvelles afin d’anticiper l’élaboration des règles pour les encadrer ;
• la représentation de la position française dans les constructions de règles communes avec les « autres CNIL » européennes.

Jusqu’à l’entrée en vigueur en mai 2018 du règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (cf. B), le cadre réglementaire relatif aux données à caractère personnel découlait principalement de la loi Informatique et Libertés, dont les principales dispositions pour l’entreprise sont :

• d’obtenir le consentement des personnes fichées. Il s'agit de l’étape de la collecte des données : la personne fichée doit être informée et avoir explicitement accepté que des DCP la concernant soient recueillies. Les informations données pour obtenir ce consentement doivent être loyales (pas de faux motif) et transparentes ;
• de définir les finalités du fichier : le responsable de traitement doit préciser à quoi les DCP collectées vont lui servir. Il ne pourra pas par la suite utiliser ces données pour un autre objectif que celui annoncé. Par ailleurs, une communication de ces données à des tiers sans le consentement préalable de la personne fichée est interdite ;
• de respecter les droits des personnes :

• droit d'accès : une personne peut demander directement au responsable d'un fichier s'il détient des informations sur elle et se les voir communiquer ;
• droit de rectification s’il y a des erreurs dans les données enregistrées ;
• droit d'opposition : toute personne physique peut, si elle a un motif légitime, s'opposer à ce que des données la concernant fassent l'objet d'un traitement ;
• déréférencement : une personne peut demander aux moteurs de recherche de ne plus indiquer une page web associée à son nom et à son prénom ;

• de sécuriser les données (locaux, sécurité informatique, contrôle des personnes habilitées) ;
• de limiter la collecte aux seules données pertinentes et les conserver sur une durée justifiée.

B. Les nouvelles règles vis-à-vis des clients

Le RGPD (Règlement Général sur la Protection des données) crée de nouveaux droits, dont les principaux sont :

• le droit à la portabilité de ses données : une personne peut récupérer et transférer ses données sans subir de problème d’interopérabilité qui pourraient la dissuader de changer de prestataire ;
• le droit à notification en cas de piratage de ses données personnelles ;
• le droit d'intenter une action de groupe : des personnes victimes d’une infraction relative à leurs DCP peuvent agir collectivement en justice via une association ;
• le droit à réparation du dommage matériel ou moral pour les conséquences issues d’un préjudice lié à un mauvais traitement de leurs DCP (en général une faille de sécurité).

2. Enjeux et règles du numérique dans l’entreprise

A. L’identité numérique de l’entreprise et de ses salariés

L’identité numérique est l’ensemble des éléments sur supports technologiques qui sont relatifs à une personne réelle. Elle est généralement constituée de ses traces volontaires, involontaires et héritées.

Elle est l’une des composantes majeures de l’e-reputation, qui désigne les éléments de la notoriété d’une entreprise véhiculés sur des supports en ligne. Cette e-reputation de l’entreprise ne doit pas être confondue avec l’e-reputation propre à chacun de ses salariés en tant que personnes privées.

L’identité numérique est protégée par le droit : son usurpation en vue de troubler la tranquillité d’une personne est passible d’un an d’emprisonnement et de 15 000 € d’amende (art. 226-4-1 du Code pénal).

B. L'obligation de respect de la vie privée des salariés

Le premier principe à respecter ne découle pas du Code du travail mais de l’article 9 du Code civil, « Chacun a droit au respect de sa vie privée », que la jurisprudence (arrêt Nikon – 2001) applique à la vie en entreprise. On peut y ajouter deux autres règles du Code du travail :

tout dispositif de surveillance d’un salarié doit avoir été porté à sa connaissance (article L1222-4) ;

les atteintes aux libertés individuelles (ex. : s’exprimer sur un réseau social) et collectives d’un salarié doivent être justifiées et proportionnées (article L1121-1).

3. Les salariés et l’usage du numérique au travail

A. L’usage personnel de l’informatique par les salariés

Un employeur peut surveiller l’activité informatique de ses salariés en les en ayant informés au préalable, idéalement au moyen d’une charte informatique. Il peut ainsi veiller à ce que les utilisations personnelles de l’outil informatique demeurent raisonnables (notamment en termes de volume horaire), ne remettent pas en cause la sécurité du système informatique (pas de téléchargement potentiellement infecté), ne limitent pas la disponibilité du système informatique pour les besoins professionnels (pas de stockage trop volumineux ou de captation excessive de la bande passante) et ne diminuent pas la productivité du salarié (diminution de ses rendements en raison de ses occupations personnelles).

...