Obligation légale d'une PME

[Nuigurumi]

Je travail dans un service informatique d'une PME et j'aimerais connaître les obligations légales qu'une entreprise se doit respecter au niveau de son système d'information.

Par exemple, je sais que les accès Internet doivent être tracés en cas d'utilisation frauduleuse tout en respectant l'anonymat. Mais que faire de ces traces ? Les supprimer au bout de combien de temps ? Qui a le droit de regarder et sous quelles conditions ?

Et je pense qu'il y a bien d'autres domaines où un service info se doit d'être propre vis-à-vis de la loi.

Merci donc pour votre aide et vos conseils.

[kaldanm]

D'une maniere generale tant que les fichiers restent dans l'entreprise tu n'aura pas de souci.

Certaines informations ne sont en therie pas collectable (preference sexuelle, ethnie, etc.) sauf si elle sont principale pour l'activité.

La durée de conservation : je ne me souviens pas avoir vu de delai precis. L'important c'est :

Les personnes « fichées » doivent être informées, au moment de la collecte de leurs données, de l'identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, et de leurs droits d'accès, de rectification et d'opposition, et, le cas échéant, des transferts de données à caractère personnel à destination d'un État non membre de l'Union européenne.

• Droit d'opposition à être prospecté. Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu'elles peuvent s'y opposer sans frais et sans justification.

• Consentement préalable de certaines personnes prospectées. L'envoi de prospection commerciale par voie électronique est subordonné au recueil du consentement préalable des personnes concernées, sauf dans les cas d'une relation client-entreprise préexistante et d'une prospection entre professionnels. Dans ces hypothèses, les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s'opposer de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales.

• Informations obligatoires, quel que soit le mode de déclaration. La norme 48 ne fait ici que rappeler les obligations relatives à l'information des personnes « fichées », mais, en réalité, ces obligations s'imposent, même si l'entreprise n'opte pas pour la norme 48.

Sinon tu a d'autre obligations concernant les sites internet (cookies, etc) et la cybersurveillance interne. Precise tes questions .

[Nuigurumi]

Merci pour cette réponse rapide. Effectivement, je n'ai pas vraiment précisé ma question, mais c'est également parce que je ne sais pas trop qu'elles sont les obligations d'un service info.

Par contre, nos clients sont les utilisateurs de la PME. Nous ne gérons pas les clients de la PME (il y a un autre service pour ça). Notre service fournit uniquement les classiques domaine Windows et serveurs qui vont avec (fichiers, imprimantes, mail, intranet, DNS, DHCP, ...). Donc nous n'avons pas à gérer des données commerciales.

C'est surtout au niveau de l'accès Internet que je me pose des questions :

• Aujourd'hui, nous avons un proxy authentifié avec des logs de qui consulte quoi. On ne s'en sert pas mais il arrive que certains manager veulent savoir si une personne passe la journée sur le net. Bien sûr, je refuse mais j'imagine que si c'est le boss de la boîte qui le demande, je pourrais difficilement dire non. Avoir un texte de loi qui me dit quoi faire dans ce cas m'aiderait bien.

• De même, nous avon un R&D qui demande de plus en plus l'ouverture de port vers l'extérieur. Il y a donc le risque que le réseau de la PME laisse sortir du traffic non maîtrisé et je n'ai pas envie que l'IP publique de la boîte soit dans une liste de botnet ou autre.

Donc il me semble que lorsque l'on propose un accès à Internet, on a également le devoir de tracer en cas d'enquête juridique.

Sur Google, je suis tombé sur ce très petit article (http://www.bestofmicro.com/entrepris...-internet.html) qui génère plus de questions que de réponses.

Après, peut-être faut-il faire appel à un avocat spécialisé ?