Le droit à l’oubli : entretien avec Alain Bensoussan
Alain Bensoussan évoque, dans le cadre des entretiens de l’Académie du 13 mars 2015, la reconnaissance du droit à l’oubli.
Informatique et libertés
L’utilisation des données biométriques contenues dans les passeports
Dans un arrêt du 16 avril 2015, la Cour de Justice de l’Union Européenne a laissé entendre que les données biométriques contenues dans les passeports délivrés par les Etats-membres pourront être utilisées ou conservées à des fins autres que la délivrance du passeport (1). Depuis quelques années la plupart les états européens intègrent des données biométriques sur la puce électronique des passeports, telles que la photographie numérisée du visage ou les empreintes digitales. Le règlement (CE) n° 2252/2004 du Conseil européen impose, en effet, depuis le 13 décembre 2004, le prélèvement des empreintes digitales de toute personne demandant un passeport sur le territoire de l’Union Européenne. Or, les données personnelles contenues dans un passeport biométrique sont des données sensibles, susceptibles de porter atteinte à la vie privée et à la protection des données à caractère personnel. La collecte de ces données permet pourtant de mieux lutter contre la fraude et l’usurpation d’identité. Dans les affaires en cause, les requérants posaient une question préjudicielle à la Cour de Justice de l’Union Européenne portant sur le refus de délivrance par les autorités néerlandaises d’un passeport et d’une carte d’identité au prétexte que leurs données biométriques n’avaient pas pu être relevées. Dans la première affaire, deux ressortissants contestaient le refus de délivrance d’un passeport au motif que ces derniers avaient refusé de fournir leurs empreintes digitales au moment de la délivrance du document. Dans la seconde affaire était contesté le refus de délivrance d’une carte d’identité au motif que le requérant avait refusé de fournir ses empreintes digitales et sa photographie faciale. Au soutien de leur demande, les requérants indiquaient que la saisie et la conservation des données constituaient une atteinte à leur intégrité physique et à leur droit à une protection à la vie privée. En effet, lors de la fabrication des passeports les Pays-Bas conservent les données collectées dans une base de données. Les requérants considéraient cette opération contraire aux dispositions du règlement du 13 décembre 2004, qui prévoit à l’article 4 que « les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier l’authenticité du document et l’identité du titulaire ». Ces derniers craignaient que ces données sensibles soient utilisées à d’autres fins que la fabrication des documents d’identité, notamment, à des fins judiciaires ou qu’elles soient utilisées par les services de renseignement et de sécurité. Dans la première affaire, la Cour a considéré que les cartes d’identité étaient exclues du champ d’application du règlement et que la question relevait par conséquent, de la législation nationale. Dans la seconde affaire, la Cour a considéré que l’article 4 du règlement n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées ne seront pas traitées à des fins autres que la délivrance du passeport, un tel aspect ne relevant pas du champ d’application dudit règlement. C’est ainsi que la Cour a considéré que cet article ne fait pas obstacle à ce que les données soient utilisées pour alimenter une base de données utilisée pour la fabrication des passeports. En France, la Commission nationale de l’informatique et des libertés porte une attention particulière aux conditions d’utilisation et de conservation des données biométriques collectées dans le cadre des demandes de délivrance de passeport et s’assure que celles-ci ne soient pas utilisées à d’autre fins comme par exemple, à des fins d’enquête policière. Virginie Bensoussan-Brulé Caroline Gilles Lexing Droit Vie privée et Presse numérique (1) CJUE 16 04 2015 C-446-12, Aff. jointes C-446/12 à C-449/12.
La Cnil contrôle en ligne les sites web destinés aux enfants
La Cnil a annoncé sa nouvelle campagne de contrôles en ligne débutant le 12 mai, sur les sites web destinés aux enfants.
Interdiction de stade : nouvelle autorisation unique de la Cnil
La Cnil a rendu, le 7 avril dernier, une délibération n°2015-118 portant autorisation unique de traitements de données par les
Rapport d’activité Cnil 2014 : bilan et tendances
La Cnil vient de publier son 35e rapport d’activité pour l’année 2014. L’année 2014 a été marquée par une préoccupation croissante des Français quant à leurs données personnelles.
Juristendances Informatique et libertés n°62-2015
L’édito de la Lettre juristendances Informatique et libertés de mars-avril porte sur le 35e rapport d’activité de la Cnil.
Cnil : simplification des formalités liées aux flux transfrontières
La Cnil annonce une simplification des formalités pour les multinationales qui mettent en œuvre des flux transfrontières
Failles de sécurité : bilan et tendances
Petit-déjeuner du 25 mars 2015 « Failles de sécurité : bilan et tendances ». Virginie Bensoussan-Brulé et Chloé Torres ont abordé les bons réflexes et les actions à mettre en œuvre en matière de failles de sécurité.
Un système de vidéoprotection utilisé à des fins non autorisées
La Cour d’appel de Paris a, dans un arrêt du 24 février 2015, fait application de l’article L.254-1 du Code de la sécurité intérieure qui réprime notamment le fait d’utiliser des images d’un système de vidéoprotection à d’autres fins que celles pour lesquelles elles sont autorisées.
Le réseau Lexing vous informe sur … l’utilisation des cookies
Dans ce numéro spécial international, les membres du réseau lexing ®, abordent l’utilisation des cookies en Afrique du Sud, Belgique, Etats-Unis, France, Grèce et Italie.
Transformation numérique et données personnelles
Transformation numérique : Quelle protection des données personnelles pour quelle conception de la vie privée ?
Sms privés sur un portable professionnel : quels risques ?
Sms, méls, appels personnels passés à l’aide des outils de l’entreprise. Aussi étonnant qu’il soit, il est possible d’utiliser
Adoption par Microsoft de la norme ISO 27018 pour son cloud
A l’heure où le cloud computing représente un environnement incontournable, l’objectif majeur des
Un nouveau label Cnil « gouvernance Informatique et libertés »
La Cnil a adopté son quatrième référentiel lui permettant de délivrer des labels concernant les procédures de
sms, mails, votre employeur peut-il vous espionner ?
Sms, mails : votre employeur peut-il vous espionner ? Alain Bensoussan, avocat spécialisé en droit des technologies et protection des données personnelles répondait aux questions de Pierre de Vilno sur Europe 1 midi le 20 février. Un procès a confronté un salarié à son employeur qui était allé regardé les Sms échangés sur son portable professionnel. La cour de cassation vient de lui donner raison. L’employeur a le droit d’interroger le téléphone professionnel d’un salarié pour regarder les Sms envoyés et reçus sans avoir à demander l’avis du salarié (Cass. com. 10-2-2015, n° 13-14779). Cette jurisprudence est née d’un litige entre deux entreprises ; celle qui s’estimait lésée a utilisée comme preuve des Sms échangés par des salariés avec leurs téléphones professionnels. La Cour de cassation a considéré ses messages comme des preuves tout à fait recevables car on n’est plus dans le domaine de la vie privée dès lors que l’on utilise du matériel mis à disposition de l’entreprise. Pour surveiller les messages des employés plusieurs solutions existent. L’employeur peut bien sur vérifier directement en prenant le téléphone professionnel. Mais dans beaucoup d’entreprises, il existe un serveur par lequel transitent tous les Sms et que l’employeur peut consulter dès lors qu’ils ne sont pas signalés en objet comme « personnel » ou « privé ». Pour Alain Bensoussan, « cette jurisprudence est la suite d’une construction qui a commencé avec l’affaire Nikon et le droit à la vie privée résiduelle des salariés dans l’entreprise. Dans cet arrêt du 2 octobre 2001, la Cour de cassation consacre dans tous les médias, le droit du salarié à avoir une vie privée résiduelle dans l’entreprise. Dans la mesure où cette cette vie privée est clairement identifiée, l’employeur n’a pas le droit d’y avoir accès. En milieu professionnel, tout ne relève pas nécessairement du travail, il peut y avoir des moments privés. Cette vie personnelle peut s’exprimer sans qu’il y ait détournement de l’obligation de loyauté. Dans un deuxième temps, cette jurisprudence considère que dans la mesure où elle est identifiée, l’employeur n’a pas le droit de contrôler cette vie privée résiduelle, quel que soit le média. La règle qui est posée à l’époque, est que tout est professionnel, sauf ce qui est expressément signalé par le salarié comme étant personnel ou privé. On a continuer à construire ce droit à la vie privée résiduelle avec notamment, une charte organisant cette vie privée au sein de l’entreprise (…) » Le Journal de Wendy Bouchard sur Europe1, Europe Midi (Ecoutez l’émission du 20 février 2015 : à 57:40)
Analyse prédictive, Big Data et protection des données
Analyse prédictive et big data, Alain Bensoussan précise pour MyDSI-Tv les nouvelles règles juridiques.
Juristendances Informatique et libertés n°61-2015
L’édito de la Lettre juristendances Informatique et libertés de janvier-février est consacré au nouveau label Cnil « gouvernance Informatique et libertés ».
Failles de sécurité : quel régime juridique ?
Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine
Technion France Making Sense of Big Data
Le Technion France a organisé son colloque 2014 sur le thème « Making Sense of Big Data » à la Maison de La Chimie à Paris.
Les algorithmes prédictifs au cœur des stratégies e-commerce
L’algorithme s’est imposé comme un outil incontournable pour cibler au mieux le consommateur par des
Rencontres EBEN et risques IT liés à la loi informatique et libertés
Les Rencontres EBEN 2014 ont été l’occasion de présenter le travail des différentes commissions métier de l’année ainsi que les différents projets en cours tels que le Label EBEN, la rédaction des conditions générales de vente appliquées à l’informatique, aux télécoms et aux solutions d’impression et l’offre de formation sur mesure destinée aux distributeurs de mobilier de bureau. Les Rencontres EBEN ont également été l’occasion de présenter la démarche Quali’Op et la remise de la certification par l’AFNOR. Issue du regroupement de plusieurs syndicats (SEBI, FNEBIM, FFP et plus récemment, la FICOME), la Fédération EBEN – Entreprises du Bureau et du Numérique – assure la représentation et la défense des distributeurs de fournitures de bureau, papeterie, systèmes d’impression, informatique, télécoms et mobilier de bureau tant auprès des pouvoirs publics que des partenaires sociaux. Elle compte plus de 2 000 adhérents. Lors des Rencontres EBEN, Alain Bensoussan a exposé les risques IT liés à la loi informatique et libertés, aux relations sociales et à la sécurité et comment les maîtriser. Il travaille par ailleurs avec la Fédération EBEN pour rédiger les conditions générales et particulières de vente applicables aux métiers de l’informatique, des télécoms et des Solutions d’impression. Les Rencontres EBEN se sont tenues le 17 juin 2014 à l’hôtel Hyatt Regency Etoile et au Club Duplex de Paris. La prochaine convention de la fédération EBEN aura lieu en 2015. Trait-d’Union, Lettre d’Information N° 78, JUIN 2014, p; 2
Les contrôles Cnil à distance vont se multiplier
Les contrôles Cnil à distance vont se multiplier en 2015. Céline Avignon apporte quelques recommandations dans sa chronique mensuelle pour E-commerce Magazine. Depuis le mois de septembre, la Cnil peut en effet effectuer des contrôles à distance afin de vérifier la conformité des plateformes à la loi Informatique, fichiers et libertés.
Piratage des serveurs de Sony Pictures aux Etats-Unis
Piratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1. La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première. Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ? AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« . Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ? AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« . Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ? AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« . Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique. AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« . Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ? AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« . Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ? AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« . Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici. AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…) Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).
Experts-comptables et protection des données
Experts-comptables. Selon Alain Bensoussan, le monde virtuel fait entrer les entreprises dans une troisième dimension. Interrogé par Le Francilien, la revue des experts-comptables région Paris Ile-de-France, il précise les incidences de cette évolution, notamment en termes juridiques. Les nouvelles technologies modifient en effet l’organisation des entreprises, en fusionnant le temps, l’espace et le matériel. Aujourd’hui les salariés peuvent se connecter à tout moment, en tout lieu, à l’aide de tout équipement : c’est le sens de l’acronyme Atawad (Anytime, Anywhere, Any Device), inventé par le futurologue Xavier Dalloz. L’entreprise devient synchrone avec son salarié et ses équipements. Le contrat avec les salariés, dans ce contexte, devrait prendre davantage la forme d’un contrat de collaboration. L’essentiel, c’est la continuité du workflow : il suffit que le travail soit livré à la bonne date. Les experts-comptables accompagnent de nombreuses entreprises de services du numérique. L’appréhension des valeurs incorporelles semble souvent susciter de nombreuses interrogations de la part des professionnels de la comptabilité, comme de la part des professionnels de la propriété. La comptabilisation est fréquemment abordée par la valeur travail au lieu de la valeur marché. Aujourd’hui, il est pourtant de plus en plus facile de donner une valeur marché aux incorporels. Les experts-comptables devraient s’assurer en premier lieu qu’ils respectent eux-mêmes, dans leur activité, les obligations de la Cnil, s’appliquant aux utilisateurs de données personnelles : déclaration préalable et sécurité des fichiers, confidentialité des données, péremption des données personnelles, information des personnes, finalité des traitements, etc. Dans un deuxième temps, ils peuvent alerter leurs clients sur ces obligations de protection des données à caractère personnel. L’expert-comptable, par le biais de la compatibilité, peut par exemple apprendre que son client utilise un système de vidéosurveillance… et lui rappeler ses obligations légales en la matière. La protection des données peut véritablement contribuer au développement des activités des experts-comptables, en élargissant leurs compétences, pour les amener à devenir de véritables « comptables du droit ». Interview d’Alain Bensoussan pour Le Francilien, n°87, Automne 2014