Informatique et libertés

Informatique et libertés, Vidéosurveillance - Vidéoprotection

La vidéosurveillance et le contrôle des salariés

/

Par délibération n° 2102-12 du 17 janvier 2012, la Cnil a décidé de rendre publique la mise en demeure n° 2011-36 du 16 décembre 2011 adoptée à l’encontre d’une société afin de modifier son dispositif de vidéosurveillance. Dans cette mise en demeure, la Cnil relève un manquement aux obligations suivantes : de définir une finalité déterminée, explicite et légitime du traitement ; de veiller à l’adéquation, à la pertinence et au caractère non excessif des données ; de définir une durée de conservation des données proportionnée à la finalité du traitement ; d’informer les personnes conformément à la loi Informatique et libertés ; d’obtenir une autorisation préfectorale préalablement à la mise en œuvre d’un dispositif de vidéoprotection La Cnil a donné à la société un délai de six semaines pour se conformer à la mise en demeure et lui en justifier. Cnil, rubrique Actualité, article du 2 février 2012

Cnil : organisation et pouvoirs, Informatique et libertés

La Cnil sanctionne l’ absence de réactivité à ses mises en demeure

/

La Cnil sanctionne l’ absence de réactivité à ses lettres de mises en demeure. Elle a récemment eu l’occasion de rappeler que ses courriers et lettres de mise en demeure ne doivent pas rester lettre morte. La formation contentieuse de la Commission a ainsi sanctionné d’un avertissement une agence immobilière à qui elle avait adressé plusieurs courriers, dont la plupart étaient demeurés sans réponse. L’absence de réactivité et le caractère succinct de la réponse du service juridique de l’organisme, suite au quatrième courrier, a engendré le prononcé d’une sanction de la Commission, marquant ainsi le fait qu’il ne s’agit pas de simples observations à titre indicatif et que ses demandes doivent faire l’objet d’une attention toute particulière. Il convient donc que les organismes objets de demande spécifique de la Cnil fassent preuve de réactivité dans leur réponse et que celle-ci soit complète, circonstanciée et intervienne dans un délai raisonnable. Cnil, rubrique Actualité, article du 6 décembre 2011

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Protection des données en Europe : une harmonisation complète

/

En matière de protection des données en Europe, une législation nationale ne peut rendre plus restrictives, au regard de la directive 95/45, les conditions dans lesquelles un traitement de données à caractère personnel peut être effectué sans le consentement de la personne. C’est en substance ce qu’a jugé la Cour de justice de l’Union européenne dans un arrêt du 24 novembre 2011. En l’espèce le droit espagnol a ajouté, à la condition tirée de l’intérêt légitime au traitement des données sans le consentement de la personne concernée, une condition qui n’existe pas dans la directive (art.7 f de la directive), à savoir que les données figurent dans les sources accessibles au public. La CJUE a considéré que le droit espagnol a dépassé les limites du texte en ajoutant des conditions supplémentaires à celles qui étaient prévues par la directive, en rappelant que l’harmonisation recherchée par la directive ne se limitait pas à une harmonisation minimale mais en principe complète au sein de l’union. La cour déclare, par ailleurs, que la disposition visée dans la directive est suffisamment précise et possède un effet direct permettant à un particulier de l’invoquer. Cet arrêt met en lumière les différences de transposition de la directive au sein des Etats membres de l’Union européenne contraignant les entreprises intervenant dans plusieurs pays de l’Union à tenir compte des spécificités locales et plaide en faveur d’une harmonisation complète des dispositions relatives à la protection des données, comme le défend la vice-présidente de la Commission Viviane Reding dans le cadre de la modification de la directive 95/46. CJUE 24-11-2011 aff. C-468/10 et C-469/10 Asnef et Fecemd c./ Espagne

Biométrie, Informatique et libertés

Expérimentation de collecte des données biométriques pour les visas

/

Le décret du 9 novembre 2011 autorise l’expérimentation de collecte des données biométriques. L’expérimentation aura lieu pour une durée d’un an à compter du 14 novembre 2011. Elle couvre la collecte de données biométriques des demandes de visa déposées auprès des consulats généraux de France à Alger (République algérienne démocratique et populaire), Istanbul (République de Turquie) et Londres (Royaume-Uni). Les personnels des prestataires agréés chargés de cette collecte sont individuellement habilités par ces mêmes autorités. Décret n° 2011-1490 du 9-11-2011 Arrêté du 12-11-2011

identification et authentification numérique
Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Informatique et libertés et contrats informatiques

/

Informatique et libertés et contrats informatiques – Par une décision rendue le 4 octobre 2011, la Chambre commerciale de la Cour de cassation a reproché à la Cour d’appel de Paris de ne pas avoir examiné la licéité de l’objet d’un contrat portant sur la location d’un système de contrôle biométrique. Celui-ci n’avait pas fait l’objet d’une autorisation de la Commission nationale de l’Informatique et des libertés (Cnil). Informatique et libertés et contrats informatiques Dans cette espèce, une société avait conclu un contrat d’installation, de location et de maintenance d’un système de contrôle d’accès biométrique avec le fournisseur de cette solution. Le système de contrôle objet du contrat n’avait pas été autorisé par la Cnil, contrairement aux dispositions Informatique et libertés applicables. Quelques mois plus tard, et pour une toute autre raison, la société utilisatrice du dispositif a dénoncé le contrat et a ainsi cessé le versement des mensualités. A l’occasion de la vente d’un de ses fonds de commerce par cette dernière, la société propriétaire des matériels a alors formé opposition au paiement du prix de vente de ce fonds, invoquant une créance certaine à son égard. Pour demander la mainlevée de cette opposition, la société utilisatrice du dispositif faisait valoir que le contrat de location du système de contrôle d’accès biométrique était nul comme portant sur un objet illicite en ce qu’il n’avait pas été autorisé par la Cnil. Location d’un système biométrique non autorisé Cassant l’arrêt par lequel la Cour d’appel de Paris avait rejeté la demande de mainlevée de l’opposition, la Cour de cassation lui reproche de ne pas s’être prononcée sur cet argument. S’il ne peut pas être déduit de la motivation de l’arrêt que le contrat de location aurait nécessairement dû être annulé, la Cour de cassation demande a minima à la Cour d’appel de renvoi de se prononcer sur la licéité de l’objet du contrat de location du dispositif biométrique en l’absence d’autorisation de la Cnil. Cass com 4-10-2011 n° 10-21954

Cloud computing, Contrat, Informatique, Informatique et libertés

La protection des données personnelles face au cloud computing

/

Afin d’envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection des données personnelles dans le cadre du Cloud computing, la Cnil lance une consultation auprès des professionnels, clients et prestataires d’offres de Cloud computing. Protection des données personnelles dans les nuages Cette consultation ne concerne pas les offres de Cloud computing proposées aux particuliers. La Commission aborde de nombreuses problématiques liées au Cloud Computing : la définition du Cloud computing ; la qualification des parties ; le droit applicable ; l’encadrement des transferts ; la sécurité des données. La consultation est ouverte depuis le 17 octobre et prendra fin le 17 novembre 2011. A l’issue de la consultation, l’ensemble des contributions sera exploité pour en dégager les principales orientations. Elles seront publiées sur le site de la Cnil en même temps que les solutions qu’elle aura dégagées. En se rendant sur le site de la Cnil, les participants sont invités à télécharger un formulaire et à le renvoyer par courrier électronique ou postal. Cnil, Consultation du 17-10-2011

risques psychosociaux
Actualités, Informatique et libertés, Système d'information Ressources humaines

Suspension judiciaire d’un dispositif d’alerte professionnelle

/

Par arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle. La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite. Les limitations d’un dispositif d’alerte professionnelle Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance. Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version. Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français. L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption. Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles. Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale. Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés. Un dispositif d’alerte professionnelle pas assez encadré Cependant, en l’espèce, et alors même que : le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ; des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ; les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ; le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ; les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement. La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante. Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée. CA Caen 23-09-2011 n° 09-00287

Actualités, Informatique et libertés, Secteur internet

La Cnil sanctionne la collecte des données des profils publics sur les réseaux sociaux

/

La Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux. Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire. Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction. Les profils publics sur les réseaux sociaux Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées. Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite. Les manquement reprochés Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que : le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ; le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ; le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail. La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement. Cnil, délibération n° 2011-203 du 21-9-2011

Retour en haut