Vous aussi voulez devenir des criminels ? Gérez une base de données d’entreprises !
Articles

Vous aussi voulez devenir des criminels ? Gérez une base de données d’entreprises !

août 2, 2017
Impression
PDF

Comment réagiriez-vous si une loi exigeait une licence et une surveillance gouvernementales pour avoir le droit de posséder un ordinateur ou un téléphone portable? Dans de nombreuses juridictions, le législateur a du mal à s'adapter et à suivre l'avancement technologique, restant loin derrière. C'est le cas notamment, en Israël, où une loi archaïque prévoit que les entreprises procédant à la vente de leur base de données, seraient qualifiées de "criminelles", caractérisant ainsi, la plupart des vieilles entreprises israéliennes comme telles.

De nos jours, toute entreprise qui se respecte dispose d'une base de données interne au sein de laquelle figure une liste de clients et de clients potentiels. Dans certains cas, cette base de données comprend également les données acquises par l'entreprise afin d'accroitre son développement. Lorsque la base de données inclut uniquement les noms et les informations de ses contacts, elle ne sera pas considérée comme une base de données au sens de la loi. Par opposition à ce type de base de données, les bases de données d'entreprises dont le système comptable est informatisé, comprendront toujours (conformément à la loi) des informations confidentielles telles que le détail des comptes bancaires des clients (il peut s'agir par exemple, d'un reçu incluant le numéro de chèque encaissé) ou les préférences personnelles du client.

Une loi archaïque israélienne, qui mérite d'être mise à jour depuis bien longtemps, prévoit que le défaut de suivi d'une procédure administrative, redondante, doit être caractérisé comme une infraction pénale punie d'une peine de prison ainsi que d'une amende.

Une base de données peut porter atteinte à la vie privée d'une personne. Par conséquent, parmi les exigences légales, il est obligatoire d'enregistrer et de déclarer toute base de données comprenant plus de 10 000 données enregistrées, ainsi que toute base de données (quel que soit le nombre d'enregistrements qu'il contient), dans la mesure où elle contient des informations sensibles sur la vie privée d'une personne (telles que ses opinions – et oui, nous non plus ne comprenons pas la signification de cette définition).

En pratique, la quasi-totalité des entreprises possédant une comptabilité informatisée ainsi que tout fournisseur de services (qu'il s'agisse d'un auditeur externe, d'un avocat ou d'un conseiller commercial) recevant une base de données client seront soumis à cette exigence légale absurde.

En dépit de la loi, en toute logique, de nombreuses entreprises tentent d'éluder l'inutile et compliquée procédure administrative, qui implique une procédure longue, auprès des autorités gouvernementales responsables de l'enregistrement et exige la soumission de différents formulaires basés sur des documents visant à prouver la conformité aux exigences sécuritaires de la base de données. Parmi ces exigences, dans le cadre de la soumission de la demande d'enregistrement de la base de données, il est requis de divulguer l'identité du propriétaire de la base de données, ses objectifs et le type d'informations incluses dans la base de données - informations confidentielles et privées que la plupart des entreprises préféreraient ne pas avoir à divulguer de leur plein gré.

Il est grand temps que le législateur mette à jour cette législation, mais dans cette attente,  bien que l'État n'applique pas stricto sensu, la loi applicable en cas d'infractions caractérisées suite à un défaut d'enregistrement, il est recommandé de s'assurer, avec l'aide d'un avocat expérimenté en la matière, que les données figurant dans les bases de données enregistrées ne permettent pas la qualification de base de données au sens de la loi et n'incluent pas d'«informations sensibles», au sens de la loi. Plus important encore, l'acquéreur d'une base de données doit exiger du vendeur une déclaration écrite indiquant que la base de données a été correctement gérée et qu'il détient un certificat attestant de la source des données obtenues.