Introduites par la réforme de 2004 de la loi Informatique et Libertés, les normes simplifiées sont conçues pour alléger les obligations déclaratoires des entreprises. Il suffit en effet d'indiquer qu'un traitement courant (comme une gestion de personnels par exemple) respecte une norme précise pour être dispenser de le décrire en détail, la description étant incluse dans la norme. Or si, pour une raison quelconque, le traitement -même légitime- ne respecte pas strictement une norme, une déclaration ordinaire complète doit être réalisée. La CNIL peut alors juger de la pertinence et de la légalité de chaque élément par rapport à la finalité déclarée du traitement.
La différence d'interprétation des faits entre Acadomia et la CNIL semble bien relever des difficultés d'application au cas d'espèce d'une norme simplifiée, en l'occurrence celle consacrée à la gestion du personnel. Certains traitements n'auraient pas été, de toutes les façons, déclarés. Une déclaration inexacte ou manquante peut être punie de 5 ans d'emprisonnement et 300 000 euros d'amende.
Une sanction des plus légères aux effets graves
Malgré les graves manquements constatés et relevés par nos confrères comme dans le communiqué de la CNIL, l'autorité administrative n'a prononcé qu'un simple avertissement destiné de toutes les façons à publication. Cette sanction est la plus légère que peut prononcer la CNIL (en dehors d'une simple mise en demeure de respecter la loi) et son côté dissuasif repose uniquement sur l'effet catastrophique sur l'image de l'entreprise parmi ses clients, fournisseurs et partenaires, notamment lorsque cette entreprise est cotée en bourse. Au moment où nous écrivons cet article, le cours d'Acadomia est d'ailleurs en chute.
Il est donc crédible que, comme Acadomia l'indique, le groupe travaille actuellement à réparer des dysfonctionnements locaux et limités.
Malgré tout, dans des circonstances assez similaires concernant des études d'huissiers, la CNIL avait, suite à un premier contrôle, adressé un simple avertissement et un rappel à la loi puis, suite à un second contrôle ayant vérifié la non-prise en compte de l'avertissement, sanctionné les coupables d'une lourde amende administrative.
L'impact de cette affaire sur l'image d'Acadomia sera sans aucune doute considérable. Les DSI doivent donc toujours être conscients de l'importance majeure de convenablement gérer les fichiers de données nominatives, surtout concernant leurs clients.
Affaire Acadomia : Une gestion catastrophique des données privées
0
Réaction
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire