Droits des personnes

Actualités, Droits des personnes, Informatique et libertés

La réforme des données personnelles (1) L’apparition d’un règlement

/

La réforme des données personnelles, tel est le sujet abordé par Maître Bensoussan lors de son interview par Sébastien David et Aurélie Magniez pour IT-Expert Magazine. I. – Maître Bensoussan présente le règlement européen de réforme de la protection des données personnelles et les motifs de la création de celui-ci.

Actualités, Droits des personnes, Informatique et libertés, Informatique et libertés Contentieux

La Cnil engage une procédure de sanction à l’encontre de Google

/

La société Google Inc. est sous le coup d’une procédure de sanction engagée par la Cnil pour défaut de conformité à sa mise en demeure du 20 juin 2013. Dans sa décision du mois de juin, la présidente de la Cnil rappelait que, suite à l’annonce de Google de modifier ses règles de confidentialité à compter du 1er mars 2012, le groupe de l’article 29 avait souhaité analyser ces nouvelles règles au regard des dispositions relatives à la protection des données à caractère personnel.

Actualités, Droits des personnes, Informatique et libertés

Logement social : bientôt un pack conformité Informatiqueetlibertés

/

La publication prochaine d’un pack de conformité dédié au logement social a été annoncée par la Cnil. Suite à des contrôles menés dans le secteur du logement social en 2012, la Cnil a lancé une concertation avec plusieurs de ses acteurs (bailleurs sociaux et associations représentant les intérêts des locataires), sous l’égide de l’Union sociale pour l’habitat (USH), afin de prendre connaissance des pratiques et des besoins et d’identifier les difficultés rencontrées par ces intervenants au quotidien.

Actualités, Droits des personnes, Informatique et libertés

La Cnil et cinq autres autorités européennes lancentuneactioncontre Google

/

Le groupe de l’article 29, qui regroupe les autorités de protection des données européenne dont la Cnil, a mené pendant plusieurs mois une étude de la conformité des règles de confidentialité publiées par Google avec les exigences découlant des réglementations européennes en matière de protection des données à caractère personnel. Les conclusions de cette étude ont été rendues publiques le 26 octobre 2012.

Actualités, Conférences Lexing, Droits des personnes, Evénement, Informatique et libertés

Groupe de travail « Gouvernance des données et analyse d’impact »

/

La gouvernance des données fait aujourd’hui partie intégrante de la stratégie d’entreprise et se traduit notamment par la mise en place d’une organisation spécifique et le développement d’outils dédiés. Une telle stratégie suppose l’adoption par l’entreprise d’une démarche d’analyse des risques juridiques, techniques et économiques.

Commande publique
Actualités, Droits des personnes, GDPR, Informatique et libertés, RGPD

Le concept de Privacy by Design

/

Le concept de « Privacy by Design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Il implique également le respect de ces valeurs tout au long du cycle de vie de la technologie concernée. Ce concept est une tendance très marquée, principalement dans les groupes internationaux, et est amené à se développer de plus en plus chez les éditeurs. La pratique du Privacy by Design constitue en effet, un nouvel outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients. Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données. L’implémentation d’une politique de Privacy by Design permet, en effet, aux entreprises de s’assurer de la conformité des traitements qui seront mis en œuvre à la réglementation Informatique et libertés et constitue ainsi un outil de management du risque juridique. La mise en œuvre d’une politique de Privacy by Design nécessite, dans un premier temps, l’élaboration d’une méthodologie permettant de l’intégrer concrètement dans les projets technologiques. Elle implique dans un deuxième temps, d’analyser le traitement envisagé. Cela permettra enfin, de déterminer très précisément dans le cahier des charges, au regard de la réglementation applicable, les caractéristiques de l’application afin que celles-ci soient en adéquation avec les modalités du traitement (durée de conservation, type de donnée pouvant être collectées, etc.). Chloé Torres

Défenseur des droits
Actualités, Droits des personnes, Informatique et libertés

La directive européenne données personnelles bientôt révisée…

/

La Commission européenne a adopté, le 25 janvier 2012, un projet de règlement européen relatif à la protection des données personnelles. Ce projet de règlement vise à réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. S’agissant d’un règlement européen, il ne fera pas l’objet d’une transposition dans le droit national, mais sera d’application immédiate. Il est donc important d’appréhender, en amont, les modifications induites par ce texte, afin d’assurer la conformité de vos entreprises au regard de la règlementation Informatique et libertés, dès l’entrée en vigueur des nouvelles dispositions. D’après mes informations, l’adoption du texte pourrait avoir lieu d’ici un an et demi. La version définitive du texte pourrait, bien entendu, être sensiblement différente de celle publiée le 25 janvier dernier et sur laquelle je base aujourd’hui mon analyse. Il importe donc de suivre l’évolution du projet de règlement de façon régulière. En premier lieu, le projet de règlement apporte des modifications substantielles concernant l’information qui doit être fournie aux personnes concernées. Ainsi, aux termes de l’article 12 du projet de règlement, en sus des informations déjà exigées par l’article 32 de la loi Informatique et libertés, le responsable de traitement devra informer les personnes sur : les coordonnées du responsable du traitement et le cas échéant, du Cil ; les termes du contrat ou les conditions générales concernées, si le traitement est fondé sur l’exécution d’un contrat ou de mesure précontractuelle ; la durée de conservation des données ; le droit de déposer une plainte auprès de l’Autorité nationale de protection des données et les coordonnées de cette dernière ; l’origine des données, lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Par ailleurs, le projet de règlement requiert du responsable de traitement qu’il établisse des politiques de protection des données transparentes et facilement accessibles. L’article 21 du projet de règlement consacre également la notion de co-responsables du traitement. Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement. En outre, aux termes de l’article 30 du projet de règlement, une nouvelle obligation, qui pourrait vous concerner, est mise à la charge du responsable de traitement. En effet, lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles. Pratiquement, cette obligation s’impose notamment lorsque : les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc. ; le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, la santé, le comportement, etc. L’évaluation préalable devra contenir une description générale du traitement envisagé, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures qui seront mises en œuvre pour assurer la protection des données collectées. De plus, les personnes concernées ou leurs représentants devront être consultés pour avis avant le début du traitement et l’évaluation préalable effectuée devra être accessible au public. Enfin, le projet de règlement rend obligatoire la désignation d’un Cil pour le responsable de traitement et le sous-traitant lorsque : le traitement est mis en œuvre par une autorité ou un organisme public ou une entreprise qui emploie au moins 250 personnes ; ou lorsque le traitement mis en œuvre exige un suivi régulier et systématique des personnes concernées et présente ainsi des risques particuliers au regard des droits et libertés. Au regard de ce qui précède, les actions suivantes seraient à effectuer afin de permettre d’anticiper l’entrée en vigueur du règlement : A1 : analyse et, le cas échéant, modification de la politique de protection des données personnelles ; A2 : modification des mentions d’information ; A3 : analyse et, le cas échéant, modification des contrats liant votre entreprise à ses partenaires co-responsables de traitement ; A4 : analyse des traitements nécessitant la réalisation d’une évaluation d’impact et, le cas échéant, établissement des évaluations d’impact. Chloé Torres Proposition de règlement 2012/0011 (COD) du 25-1-2012

Retour en haut