Bilan des décisions de la Cnil pour l’année 2011
Le bilan des décisions de la Cnil pour l’année 2011 est marqué par un nombre important de clôtures des mises
Informatique et libertés
Vidéoprotection et Cnil : bilan et tendances
Vidéoprotection et Cnil : la loi d’orientation et de programmation pour la sécurité intérieure du 14 mars 2011 (LOPPSI 2).
Groupe de travail « Gouvernance des données et analyse d’impact »
La gouvernance des données fait aujourd’hui partie intégrante de la stratégie d’entreprise et se traduit notamment par la mise en place d’une organisation spécifique et le développement d’outils dédiés. Une telle stratégie suppose l’adoption par l’entreprise d’une démarche d’analyse des risques juridiques, techniques et économiques.
Impact du bilan d’activité de la Cnil sur les entreprises
Petit-déjeuner débat du 26 septembre 2012 – Alain Bensoussan et Chloé Torres ont animé un petit-déjeuner débat
Juristendance Informatique et libertés Juillet-août 2012
L’édito de la Lettre juristendance Informatique et libertés de cet été est consacré au 32e rapport d’activité de la Cnil.
Rapport de la Cnil 2011 : bilan et tendances
La Cnil a publié son 32eme rapport d’activité 2011. Quelles sont les faits manquants et les tendances à venir ?
Les cookies d’analyse et de statistiques de fréquentation des sites
L’implémentation de cookies d’analyse et de statistiques de fréquentation des sites internet est-elle soumise au consentement de l’utilisateur ?
Vidéosurveillance Infos, mai-juin 2012
Interviewé par Evelyne Guitard dans le cadre du rendez-vous mensuel Vidéosurveillance Infos, Maître
Juristendance Informatique et libertés Mai-Juin 2012
L’édito de la Lettre juristendance Informatique et libertés de mai-juin 2012 est consacré à la pratique du Privacy by
Notification des violations de données personnelles : la position de la Cnil
La Cnil a publié, le 28 mai 2012, un article sur son site internet relatif à la notification des violations de données à caractère personnel prévue par l’article 34 bis de la loi Informatique et libertés et le décret du 30 mars 2012.
Sommet de l’information financière 2012
Frédéric Forster a participé à la troisième édition annuelle du Sommet de l’information financière, qui a eut lieu le mardi 12 juin 2012 à l’Hôtel Concorde La Fayette, Paris. Il a abordé les questions de propriété intellectuelle, notamment quelles sont les données qui peuvent être considérées comme des données à forte valeur ajoutée ? que prévoit la législation française en terme de protection ? de commercialisation ? etc. Télécharger le programme
Vidéosurveillance Infos mars-avril 2012
L’entretien de Maître Alain Bensoussan à Vidéosurveillance Infos mars a porté sur le nouveau Code de la sécurité intérieure instauré par l’ordonnance du 13 mars 2012.
Création du traitement des antécédents judiciaires
Par un décret du 4 mai 2012, un nouveau d’un traitement de données à caractère personnel dénommé « traitement d’antécédents judiciaires » a été mis en place. Il est entré en vigueur le lendemain de sa publication, le 7 mai dernier. Ce décret est pris pour l’application de l’article 11 de la loi n°2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2. Celui-ci vient mutualiser les deux fichiers existants : le système de traitement des infractions constatées (STIC) de la police nationale et le système judiciaire de documentation et d’exploitation de la gendarmerie nationale (JUDEX), ces derniers devant totalement disparaître à la date du 31 décembre 2013. Le décret précise que ce nouveau traitement « a pour finalité de fournir aux enquêteurs de police, de la gendarmerie nationale ainsi que la douane judiciaire une aide à l’enquête judiciaire afin de faciliter la constatation des infractions, le rassemblement des preuves de ces infractions et la recherche de leur auteur ». Le texte spécifie le type de données recueillies et traitées, leur durée de conservation (allant de cinq ans à quarante ans pour les infractions les plus graves) ainsi que les personnes ayant accès à ces données. Il prévoit toujours, pour les personnes physiques, un droit d’accès via une demande à la Commission nationale de l’informatique et des libertés. Mais il ne s’agit pas de la simple réunion du STIC et du JUDEX en un vaste et unique et fichier. Le nouveau traitement d’antécédents judiciaires contiendra également, et c’est ici que réside la nouveauté, la photographie des personnes physiques « comportant des caractéristiques permettant de recourir à un dispositif de reconnaissance faciale ». La Commission a souligné l’existence, dans l’utilisation de cette fonctionnalité d’identification, de risques importants pour les libertés individuelles. Il est en ce sens institué une procédure de contrôle par un magistrat désigné pour 3 ans ainsi qu’un système de traçabilité des consultations effectuées. Décret n° 2012-652 du 4 mai 2012 relatif au traitement d’antécédents judiciaires
Du bon usage des cookies : respect du consentement
Du bon usage des cookies : statistiques de fréquentation et respect du consentement. La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée en 2009 par la directive 2009/136/CE (1), subordonne dans son article 5, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur au consentement de l’utilisateur. La France a transposé ces dispositions par une ordonnance d’août 2011 (2). L’adoption de ces dispositions au niveau européen a fait l’objet de longs débats. Ces débats se sont et continuent de se poursuivre au niveau national, en raison des incidences et des contraintes que ces dispositions imposent aux acteurs de l’internet et du risque qu’elles créent pour le développement de l’économie numérique. En effet, les professionnels redoutent que la mise en œuvre de ces dispositions nuise fortement à l’activité numérique. Les professionnels, membres de l’UFMD, et certains de leurs partenaires, viennent de gagner une première bataille : celle des cookies d’analyse et de statistiques de la fréquentation de sites. En effet, la Cnil, 15 jours après la publication de ce guide, a modifié sa communication de novembre 2011 sur les cookies pour préciser sa position concernant les cookies d’analyse et de statistiques de fréquentation des sites internet. En effet, si une interprétation stricte de l’article 32 II de la loi Informatique et libertés plaide en faveur d’une application de l’obligation de recueil du consentement pour les cookies d’analyse et de statistiques de fréquentation des sites internet, confirmée d’ailleurs par les premières analyses effectuées par la Cnil, il apparaît que cette dernière semble adopter une position équilibrée, conciliant la protection de la vie privée des utilisateurs et le recours quasi systématique de ce type d’outils sur internet. Dans sa fiche pratique, mise à jour le 28 avril 2012, intitulée « Ce que le « Paquet Télécom » change pour les cookies », la Cnil, en raison de la finalité de ces cookies et du risque limité qu’ils font encourir à la vie privée, a fait part de sa position « de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées ». Cependant, elle soumet cette exemption à certaines conditions particulières en termes d’information, de droit d’accès, de droit d’opposition, de finalité et de durée de conservation. Concernant l’adresse IP, la Cnil précise en outre que « l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville ». Elle doit également être supprimée ou anonymisée, « une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ». Si cette position peut laisser songeur le juriste, en revanche le professionnel de l’internet ne peut que se féliciter de cette position de la Cnil, qui crée un équilibre entre les intérêts en présence. Cependant, il conviendra de surveiller la position du groupe de l’article 29 et des tribunaux, comme l’y invite la Cnil. Affaire à suivre donc… Céline Avignon (1) Directive 2009/136/CE du 25-11-2009 (2) Ordonnance n° 2011-1012 du 24-8-2011
Le concept de Privacy by Design
Le concept de « Privacy by Design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Il implique également le respect de ces valeurs tout au long du cycle de vie de la technologie concernée. Ce concept est une tendance très marquée, principalement dans les groupes internationaux, et est amené à se développer de plus en plus chez les éditeurs. La pratique du Privacy by Design constitue en effet, un nouvel outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients. Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données. L’implémentation d’une politique de Privacy by Design permet, en effet, aux entreprises de s’assurer de la conformité des traitements qui seront mis en œuvre à la réglementation Informatique et libertés et constitue ainsi un outil de management du risque juridique. La mise en œuvre d’une politique de Privacy by Design nécessite, dans un premier temps, l’élaboration d’une méthodologie permettant de l’intégrer concrètement dans les projets technologiques. Elle implique dans un deuxième temps, d’analyser le traitement envisagé. Cela permettra enfin, de déterminer très précisément dans le cahier des charges, au regard de la réglementation applicable, les caractéristiques de l’application afin que celles-ci soient en adéquation avec les modalités du traitement (durée de conservation, type de donnée pouvant être collectées, etc.). Chloé Torres
Des contrôles en matière de failles de sécurité prévus par la Cnil en 2012
Le 19 février 2012, la Cnil a fait part de son intention d’effectuer durant l’année des contrôles sur les failles de sécurité.
L’obligation de notification des failles de sécurité
Le décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.
La directive européenne données personnelles bientôt révisée…
La Commission européenne a adopté, le 25 janvier 2012, un projet de règlement européen relatif à la protection des données personnelles. Ce projet de règlement vise à réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. S’agissant d’un règlement européen, il ne fera pas l’objet d’une transposition dans le droit national, mais sera d’application immédiate. Il est donc important d’appréhender, en amont, les modifications induites par ce texte, afin d’assurer la conformité de vos entreprises au regard de la règlementation Informatique et libertés, dès l’entrée en vigueur des nouvelles dispositions. D’après mes informations, l’adoption du texte pourrait avoir lieu d’ici un an et demi. La version définitive du texte pourrait, bien entendu, être sensiblement différente de celle publiée le 25 janvier dernier et sur laquelle je base aujourd’hui mon analyse. Il importe donc de suivre l’évolution du projet de règlement de façon régulière. En premier lieu, le projet de règlement apporte des modifications substantielles concernant l’information qui doit être fournie aux personnes concernées. Ainsi, aux termes de l’article 12 du projet de règlement, en sus des informations déjà exigées par l’article 32 de la loi Informatique et libertés, le responsable de traitement devra informer les personnes sur : les coordonnées du responsable du traitement et le cas échéant, du Cil ; les termes du contrat ou les conditions générales concernées, si le traitement est fondé sur l’exécution d’un contrat ou de mesure précontractuelle ; la durée de conservation des données ; le droit de déposer une plainte auprès de l’Autorité nationale de protection des données et les coordonnées de cette dernière ; l’origine des données, lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Par ailleurs, le projet de règlement requiert du responsable de traitement qu’il établisse des politiques de protection des données transparentes et facilement accessibles. L’article 21 du projet de règlement consacre également la notion de co-responsables du traitement. Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement. En outre, aux termes de l’article 30 du projet de règlement, une nouvelle obligation, qui pourrait vous concerner, est mise à la charge du responsable de traitement. En effet, lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles. Pratiquement, cette obligation s’impose notamment lorsque : les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc. ; le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, la santé, le comportement, etc. L’évaluation préalable devra contenir une description générale du traitement envisagé, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures qui seront mises en œuvre pour assurer la protection des données collectées. De plus, les personnes concernées ou leurs représentants devront être consultés pour avis avant le début du traitement et l’évaluation préalable effectuée devra être accessible au public. Enfin, le projet de règlement rend obligatoire la désignation d’un Cil pour le responsable de traitement et le sous-traitant lorsque : le traitement est mis en œuvre par une autorité ou un organisme public ou une entreprise qui emploie au moins 250 personnes ; ou lorsque le traitement mis en œuvre exige un suivi régulier et systématique des personnes concernées et présente ainsi des risques particuliers au regard des droits et libertés. Au regard de ce qui précède, les actions suivantes seraient à effectuer afin de permettre d’anticiper l’entrée en vigueur du règlement : A1 : analyse et, le cas échéant, modification de la politique de protection des données personnelles ; A2 : modification des mentions d’information ; A3 : analyse et, le cas échéant, modification des contrats liant votre entreprise à ses partenaires co-responsables de traitement ; A4 : analyse des traitements nécessitant la réalisation d’une évaluation d’impact et, le cas échéant, établissement des évaluations d’impact. Chloé Torres Proposition de règlement 2012/0011 (COD) du 25-1-2012
Le droit à l’oubli numérique : un droit de l’homme
Droit à l’oubli numérique – La disponibilité instantanée des données, conjuguée à leur conservation illimitée, rendent plus que jamais nécessaire l’instauration d’un droit à l’oubli numérique ou au remord.
Un guide Cnil pour le téléphone
Le 6 mars 2012, la Cnil a publié un guide consacré uniquement à la téléphonie et accessible sur son site www.cnil.fr.
Modalités d’installation des systèmes de vidéoprotection
Le décret du 27 janvier 2012 relatif à la réglementation des systèmes de vidéoprotection, paru au JO du 29 janvier 2012, est entré en vigueur le 30 janvier 2012.
A chacun son contrôle : La surveillance des salariés en plein essor
La surveillance des salariés connaît un essor sans précédent. Les nouvelles technologies permettent un regard à 360° du comportement des salariés.
Téléservice-absences : consultation en ligne des absences légitimes des élèves
Le ministère de l’éducation nationale a créé le traitement automatisé de données à caractère personnel appelé « Téléservice-absences » qui permet aux parents de collégiens et lycéens, ainsi qu’aux élèves eux-mêmes, de contrôler par internet leurs absences au sein de l’établissement scolaire du second degré dans lequel ils sont inscrits. Ce traitement de données, qui est entièrement facultatif, permet aux élèves de collège et lycée, ainsi qu’à leurs responsables légaux, de consulter grâce à internet les absences considérées comme légitimes. Il concerne notamment les absences dues à des cas de maladie de l’enfant, de maladie transmissible ou contagieuse d’un des membres de la famille de l’élève ou encore à une réunion solennelle de la famille… Téléservice-absences n’a en effet pas pour objectif de lutter contre l’absentéisme scolaire. Ce traitement de données porte sur les nom et prénom, les identifiants et les mots de passe choisis par les élèves et leurs responsables légaux, ainsi que sur la classe et le nombre de demi-journées d’absence légitime des collégiens et lycéens. Les destinataires du traitement sont les élèves, leurs responsables légaux, les enseignants et le chef d’établissement. Un droit d’accès et de rectification est prévu, qui s’exerce auprès du chef d’établissement. Les données collectées ne pourront être conservées que pendant une durée d’un an. Arrêté du 19-1-2012 Cnil, Délibération n° 2011-398 du 8-12-2011
Sites d’analyse des activités parlementaires : rappels de la Cnil
Le 7 février 2012, la Cnil a publié un article rappelant que les « sites d’observation et d’analyse de l’activité parlementaire », qui mesurent notamment l’assiduité des élus, sont soumis à la loi Informatique et libertés. Dans cet article, la Cnil apporte des précisions sur la manière dont s’articulent la liberté d’expression, le droit du public à l’information et la protection des données à caractère personnel. Les sites visés sont ceux établissant des statistiques sur l’assiduité des élus, le nombre d’interventions effectuées, de questions écrites posées au gouvernement ou encore de rapports et propositions de lois déposés, se fondant sur les informations publiques fournies notamment par l’Assemblée nationale ou le Sénat. Si la Cnil ne remet pas en cause les traitements de données à caractère personnel effectués, ces sites sont néanmoins soumis aux obligations de la loi Informatique et Libertés, nonobstant le caractère public des informations utilisées. La Cnil rappelle que « la collecte d’informations sur des sites publics est déloyale quand elle s’effectue à l’insu des intéressés ». Ainsi, selon la Cnil, « même si l’accès à certaines données est libre, la loi impose d’informer au préalable les personnes concernées de l’utilisation de leurs données personnelles », ce qu’elle préconise de faire par le biais d’une information individuelle, par exemple sous forme de courrier électronique, en précisant les objectifs de la collecte, le traitement statistique et la diffusion des données, ainsi que l’existence et les modalités d’exercice du droit d’opposition, d’accès et de rectification. Les éditeurs de ces sites sont tenus de faire droit aux demandes tendant à l’exercice de ces droits. Les éditeurs de ces sites doivent également respecter l’interdiction du traitement de données sensibles, telles que les opinions politiques. Cependant, la Cnil précise que, dans le cas où la personne a elle-même rendu publiques ses données, comme c’est la cas pour « les élus communiquant naturellement sur leurs opinions politiques, ces informations peuvent donc être licitement collectées ». Enfin, concernant les formalités préalables à ces traitements, « dans la mesure où les données sensibles sur lesquelles ils portent ont été rendues publiques par les personnes concernées », c’est le régime de la déclaration qui s’applique. Cnil, rubrique Actualité, article du 7 février 2012