Das Nicht-Befolgen von Gesetzen im Bereich der Informationstechnologien kann eine Organisation in brenzlige Situationen bringen, gegenüber dem Gesetz, und seinen Kunden (Markenimage), kann aber auch finanzielle Konsequenzen (Geldstrafen) oder strafrechtliche Folgen (Verantwortung der Personen) haben.

Die legalen Aspekte sowie Verantwortungen und Pflichten von Organisationen bezüglich Datenschutz wurden während des Internet Security Days 2007 von Maître Cyril Pierre-Beausse vorgestellt: Strafrechtliche Verfolgung und rechtliche Risiken für Betriebe hinsichtlich persönlicher Daten.
So verhängt das Gesetz höhere Strafen gegen die Betriebe, die sich Informationen haben klauen lassen, als gegen die Diebe selbst. Begründet wird dies durch die Vernachlässigung der Pflicht, persönliche und sensible Daten zu schützen.

Die Justiz erkennt und bestraft:

• die Verantwortung des Angreifers;

• die Verantwortung des Vermittlers des Angriffs:

• die Verantwortung des Opfers des Angriffs; die rechtliche Konsequenz für die Vernachlässigung der Sicherheit beim Umgang mit persönlichen Daten ist strafbar mit einer Gefängnishaft zwischen 8 Tagen und einem Jahr und einer Geldstrafe zwischen 251 und 125.000 Euro.

In der Tat muss jeder Betrieb eine Sicherheitsstufe auf Basis folgender Aspekte umsetzen:

• des Risikos der Gefährdung des Privatlebens;

• des Stands der Technik (beinhaltet die Verpflichtung zur Instandhaltung, und informiert zu bleiben);

• der Kosten der Umsetzung.

(Schreiben Sie eine Leitlinie zur Einhaltung von Vorgaben - Geistiges Eigentum und sorgen Sie für deren Umsetzung).

Die Wahrung des Urheberrechts bei literarischen und künstlerischen Werken, an welche die Datenbanken und Computerprogramme angepasst sind, ist entsprechend des Gesetzes vom 18. April 2001 erforderlich. Man kann zum Beispiel folgende Basisprinzipien nennen:

• Jede Vervielfältigung, Kommunikation oder Verteilung an die Öffentlichkeit muss vom Autor genehmigt werden. Dies gilt auch für die Veröffentlichung im Internet, es sei denn es gibt legale Ausnahmen;

• Auch Computerprogramme sind durch das Urheberrecht geschützt. Es steht nur den rechtmäßigen Inhabern besagter Rechte zu, zu entscheiden, welche Programmnutzungen erlaubt sind, und welche nicht, bzw. in welchen Fällen Lizenzen bezahlt werden müssen, oder gratis sind. Die Frage des Respektierens der Autorenrechte hört also nicht beim bloßen Kauf der Programmlizenzen auf ;

• die Patente müssen respektiert werden;

• man muss Marken, Muster und Modelle respektieren;

Für jede weitere Frage wenden Sie sich am besten an das Büro für geistiges Eigentum ("intellectual property").

Jede Erstellung einer Datei oder Datenbank obliegt dem Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung. Das gleiche gilt für den Umgang mit diesen Daten und für bereits bestehende Daten.
Um diesen Gesetzen gerecht zu werden, müssen sich der IT-Beauftragte und der verantwortliche Jurist, nachdem sie die anwendbaren Gesetzestexte von der Nationalen Kommission für Datenschutz ("Commission Nationale pour la Protection des Données - CNPD") erhalten haben, von der Zulänglichkeit und Funktionsfähigkeit der Struktur überzeugen, vor allem auf dem Niveau:

• der Angabe der Daten und Verfahren bei der CNPD;

• des Erhalts einer Genehmigung seitens der CNPD, falls notwendig;

• der Qualität der Daten und der Legitimität der Verfahren;

• des Rechts auf Information und Widerspruch der betreffenden Personen;

• der potenziell diskriminierenden Daten (rassenbezogen, ethnisch, politisch, religiös, philosophisch, gewerkschaftlich) oder der gesundheitsbezogenen Daten;

Darüber hinaus ist es wichtig, die 10 Prinzipien zum Schutz persönlicher Daten einzuhalten:

1. Prinzip der Legitimität

Der Umgang mit persönlichen Daten ist nur dann möglich, wenn es einen ausreichend legitimen Grund dafür gibt.

2. Prinzip der Finalität / Zweckbestimmung

Die Benutzung persönlicher Daten muss auf ein im Vorfeld festgelegtes Ziel beschränkt sein. Es dürfen nur so wenige persönliche Daten verlangt werden, wie nötig sind, um dieses Ziel zu erreichen.

3. Prinzip der Notwendigkeit und der Proportionalität

Der Zugriff muss sich auf die Daten beschränken, die in direktem Zusammenhang mit der ursprünglichen Zweckbestimmung des Zugriffs stehen.

4. Prinzip der Richtigkeit der Daten

Ausgehend von der Tatsache, dass falsche oder unvollständige Informationen der Person schaden können, auf die sie sich beziehen, muss alles unternommen werden, damit die benutzten Daten korrekt und aktuell sind. Die Möglichkeit, sie jederzeit zu verbessern oder zu löschen, sollte gegeben sein.

5. Prinzip der Loyalität

Das Sammeln, Aufzeichnen, Benutzen und Weitergeben von persönlichen Daten muss offen vonstatten gehen, und nicht ohne das Wissen der betreffenden Personen.

6. Prinzip der Sicherheit und der Vertraulichkeit

Die persönlichen Daten müssen an gesicherten Orten und auf gesicherten Mitteln gespeichert werden.

7. Prinzip der Transparenz

Vom Gesetz her ist es erlaubt, Einsicht in die persönlichen Daten zu verlangen, und zu erfahren, zu welchem Zweck sie genutzt werden. Wenn der Umhang mit diesen Daten nicht regelkonform ist, darf man sich dagegen wehren. Die Registrierung aller Datenbanken bei der CNPD trägt zum Prinzip der Transparenz bei.

8. Manche besonders sensiblen Daten obliegen einem noch stärkeren Schutz.

Der Umgang mit Informationen, die persönliche Meinungen oder Überzeugungen in Bezug auf Gesundheitszustand und Sexualleben widerspiegeln (dazu gehören auch genetische Daten), ist, bis auf einige vom Gesetz definierte Ausnahmen, verboten.

9. Die Überwachung (Audio, Video, Daten) von identifizierbaren Personen ist durch das Gesetzt streng limitiert

Eine Genehmigung der CNPD ist erforderlich, um Personen mit technischen Mitteln zu überwachen. Der Umgang mit per Überwachung gesammelten Daten ist nur in wenigen vom Gesetz definierten Ausnahmefällen erlaubt.

10. Die Benutzung von Daten zu Werbe- oder kommerziellen Zwecken obliegt einer ausdrücklichen Genehmigung.

Es ist zu jedem Moment möglich, die Benutzung seiner persönlichen Daten zu kommerziellen Zwecken zu verbieten. Direktes Marketing mithilfe von modernen Kommunikationsmitteln (SMS, E-Mail,...) ist prinzipiell verboten solange Sie nicht Ihr Einverständnis dazu gegeben haben.

Das Nicht-Einhalten eines oder mehrerer dieser Prinzipien wird vom Gesetz bestraft.

Außerdem müssen alle betroffenen Personen darüber Bescheid wissen, dass, und zu welchem Zweck, ihre Daten gesammelt werden. Dafür ist ihre vorherige Einwilligung nötig.

Das Recht auf Schutz der Privatsphäre, Grundprinzip der Bildrechte, gründet sich auf verschiedene Rechtstexte, darunter

Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte;
(b) Artikel 14.(1) des Gesetzes vom 8. Juni 2004 über die freie Meinungsäußerung in den Medien in seiner geänderten Fassung, wonach jeder ein Recht auf Wahrung seiner Privatsphäre hat;
(c) das Gesetz vom 11. August 1982 über den Schutz des Privatlebens, wonach es verboten ist, die Privatsphäre Dritter bewusst zu verletzen, indem von einer Person, die sich an einem nicht öffentlich zugänglichen Ort aufhält, mit einem beliebigen Apparat Aufnahmen gemacht oder in Auftrag gegeben werden, ohne dass diese Person ihre Zustimmung gegeben hat. Nach diesem Text ist auch die Veröffentlichung solcher Aufnahmen verboten.
Aus diesen Rechtstexten geht hervor, dass jeder das Recht hat, sich dagegen zu wehren, dass Aufnahmen von ihm gemacht oder veröffentlicht werden. Einem Foto zustimmen bedeutet nicht, dass man auch dessen Veröffentlichung zustimmt, egal unter welchen Umständen.

Es wird unbedingt dazu geraten, das Einverständnis einer Person einzuholen, bevor man sie fotografiert, bzw. ihr Foto veröffentlicht. Bei Minderjährigen muss die Zustimmung der gesetzlichen Vertreter, wie z.B. der Eltern, sowie der Minderjährigen, sofern sie das Alter der Vernunft erreicht haben, eingeholt werden.