novembre 2005

Cnil : organisation et pouvoirs, Informatique et libertés

Cnil : les blogs sont dispensés de déclaration

/

Informatique et libertés Formalités préalables hors CIL Les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi Le développement considérable des blogs et les risques présentés par ce nouvel outil de communication en termes de protection des données à caractère personnel a conduit la Commission nationale de l’informatique et des libertés à mener une réflexion approfondie sur ce sujet. Ainsi, dans une recommandation du 22 novembre 2005 publiée le 30 janvier 2006, la Cnil a précisé que les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi. Les règles applicables aux blogs et, dans le même temps, a décidé de les dispenser de déclaration à la Cnil. Parallèlement à cette dispense de déclaration, la Cnil a lourdement insisté sur le fait que les règles de la loi de 1978 s’appliquent aux blogs diffusant ou collectant des données à caractère personnel. Ainsi, la diffusion sur les blogs d’informations personnelles n’est possible qu’avec le consentement préalable de la personne concernée, qui pourra ultérieurement s’opposer à toute diffusion d’information la concernant. De la même manière, la Cnil attire l’attention sur le fait que les données dites sensibles ( comme par exemple sur les orientations sexuelles, la religion ou la santé ) ne peuvent être diffusées sur les blogs. La Cnil recommande aux auteurs de blogs diffusant des photographies de personnes de restreindre l’accès à ces images à leur seul entourage, compte tenu des risques de captation d’image. Enfin, la Cnil rappelle que la diffusion d’images de mineurs ne peut s’effectuer qu’avec leur accord et l’autorisation express de leurs parents ou représentant. Concernant la collecte de données à caractère personnel qui peut être réalisée au moyen d’un blog, la Cnil considère que les droits des personnes sur leurs données doivent être respectées par les responsables de blog procédant à de telle collecte. En conséquence, les auteurs de blogs n’ont pas à déclarer leurs sites à la Cnil et leur responsabilité ne pourra être engagée du fait de cette non-déclaration. Cependant, les auteurs de blogs devront être particulièrement vigilants quant au respect de la législation Informatique et libertés dans l’utilisation de leur blog. En effet, la Cnil ayant dispensé les blogs de déclaration, il est très probable qu’elle exerce un contrôle a posteriori particulièrement approfondi sur les blogs. Recommandation CNIL du 22 novembre 2005 (Mise en ligne Novembre 2005)

Informatique et libertés, Secteur public

La Cnil consultée sur la proposition de loi relative à la déclaration domiciliaire

/

Informatique et libertés Secteur collectivité territoriale La Cnil consultée sur la proposition de loi relative à la déclaration domiciliaire La Cnil a été saisie par un député et un sénateur pour rendre un avis sur la proposition de loi relative à la déclaration domiciliaire déposée en termes identiques devant l’Assemblée nationale (n° 2642) et le Sénat (texte n° 25) en 2005. La loi informatique et libertés prévoit une telle obligation pour les projets de lois ou de décrets relatifs « à la protection des personnes à l’égard des traitements automatisés » (art. 11). Mais il n’est pas prévu de consulter préalablement la Cnil en ce qui concerne les propositions de loi qui pourrait avoir un impact en cette matière, comme en l’espèce. Si les parlementaires ont néanmoins tenus à le faire, c’est en raison du retentissement d’un tel projet. Il concerne en effet l’obligation des personnes récemment installées dans une commune de déclarer en mairie leur nouveau domicile comme le font actuellement les ressortissants étrangers. Ces déclarations domicilaires seraient enregistrées dans des registres informatisés tenus par les communes pour « la bonne organisation et l’optimisation du fonctionnement des services communaux ainsi que la prévention des risques ». Nul doute, que la création d’un tel registre domiciliaire doit nécessairement être assortie de garanties quant à la protection des données à caractère personnel, raison pour laquelle la Cnil est consultée.

Informatique et libertés, Système d'information Ressources humaines

Les traitements de gestion du personnel

/

Informatique et libertés SI Ressources humaines Les traitements de gestion du personnel Les traitements de données personnelles effectués dans le cadre des ressources humaines et de gestion du personnel sont des traitement qu’il convient tout particulièrement de surveiller au regard des obligations posées par la loi Informatiques et libertés modifiée en août 2004. En effet, ces traitements revêtent un large périmètre et sont susceptibles de mettre en jeu les principes clés de la loi Informatique. Lors de leur mise en œuvre, il convient de prêter une attention particulière aux conditions de licéité posées par la loi modifiée. A ce titre, la Cnil vient de fournir de nouveaux repères en publiant la norme simplifiée n°46 relative à la gestion des personnels. Cette nouvelle norme facilite les déclarations de traitements là où auparavant il s’avérait nécessaire de réaliser plusieurs déclarations normales. Le recours à la norme simplifiée n°46 implique préalablement de s’assurer que le traitement de données envisagé relève bien du périmètre de la nouvelle norme. Ce périmètre est extrêmement large puisqu’il couvre des finalités de traitements ou fichiers qui vont au-delà de la simple gestion des personnels : mise à disposition des personnels d’outils informatiques, gestion de la messagerie électronique et de l’accès à l’internet/intranet, gestion des autorisations d’accès aux applications et aux réseaux, gestion des carrières et de la formation des personnels, etc. Cependant, sont notamment exclus les traitements permettant un contrôle individuel de l’activités des employés ainsi que les traitements comportant la transmission de données hors Union européenne. Ainsi, les groupes internationaux doivent porter une attention particulière à cette dernière exclusion. La norme n°46 demeure une opportunité de simplification et doit être déployée au cas par cas. Son non-respect pouvant faire encourir un risque pénal, les spécificités de chaque organisme doivent être prises en compte. Délibération 2005-277 du 17 novembre 2005 Délibération 2005-002 du 13 janvier 2005 (Mise en ligne Novembre 2005)

Correspondant à la protection des données, Informatique et libertés

Le correspondant informatique et libertés à l’heure des bilans et des contrôles

/

Le 20 octobre 2005, paraissait le décret d’application de la loi Informatique et libertés autorisant la désignation d’un Correspondant Informatique et Libertés (Cil). Deux ans après, se pose tout particulièrement la question du contrôle a posteriori de la Cnil, qui a vu ses pouvoirs étendus dans ce domaine par la loi du 6 août 2004.

Retour en haut