La Cnil a publié, le 26 mars 2009, un rapport du 5 février 2009 sur la publicité ciblée en ligne. Dans ce rapport, la Cnil rappelle que les systèmes de publicité en ligne mis en place par les acteurs de l’Internet sont soumis aux dispositions relatives à la protection des données à caractère personnel, dans la mesure où les données traitées peuvent être rattachées à un individu identifié ou identifiable.
Les sociétés faisant de la prospection commerciale par télécopie doivent avoir recueilli préalablement le consentement des personnes démarchées. C’est en effet ce qu’a rappelé la Cnil dans une délibération portant sanction à l’encontre d’une société qui avait envoyé des milliers de fax sans l’accord des prospects.
Biométrie Examen des caractéristiques génétiques d’une personne Le décret du 4 avril 2008 a profondément modifié la partie réglementaire du Code la santé publique relative à l’examen des caractéristiques génétiques d’une personne ou à l’identification par empreintes génétiques à des fins médicales (nouveaux articles R.1131-1 et suivants du Code de la santé publique). Ces nouvelles dispositions du Code de la santé publique précisent notamment, les conditions de prescription, les conditions dans lesquelles doit être recueilli le consentement du patient, ainsi que les conditions d’agrément des praticiens et des laboratoires habilités à réaliser ce type d’examen. Ainsi, pour réaliser des examens sur les caractéristiques génétiques d’une personne, il convient, conformément à l’article R. 1131-6 du Code de la santé publique d’être un praticien agréé. La demande d’agrément est formulée par le professionnel de santé concerné auprès du Directeur général de l’Agence de la biomédecine, selon un dossier préétabli sur lequel devront apparaître les justifications suivantes : le praticien doit être un médecin ou un pharmacien ; il doit avoir obtenu un diplôme d’études spécialisées en biologie médicale ou un diplôme de niveau équivalent ; il doit justifier d’une formation spécialisée ainsi que d’une expérience professionnelle dans la catégorie d’analyses concernées par la demande d’agrément, et dont la valeur sera appréciée par le Conseil d’orientation de l’Agence de biomédecine ; si les analyses sont pratiquées dans un laboratoire d’analyses de biologie médicale, le praticien qui en a la charge doit également être le directeur ou le directeur adjoint du laboratoire.A titre exceptionnel, le décret prévoit que le praticien non titulaire du diplôme d’études spécialisées, pourra être agréé s’il justifie de « titres ou de travaux spécifiques dans les domaines des analyses définies aux 1° et 2° de l’article R. 1131-2 du Code de la santé publique » (analyses de cytogénétique, de cytogénétique moléculaire et de génétique moléculaire).Décret n°2008-321 du 4 avril 2008 (Mise en ligne Avril 2008) Autres brèves L’interdiction de toute recherche sur les embryons (Mise en ligne Janvier 2008)
La Cnil adopte trois autorisations uniques relatives aux techniques biométriques. L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre. En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel. Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil. Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif. Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006 (Mise en ligne Avril 2006)
Une société a mis en œuvre un outil d’évaluation des salariés qui prévoit un plan de développement professionnel et un plan individuel de développement. Elle a consulté les institutions représentatives du personnel (IRP) pour avis, qui ont refusé de se prononcer.
Constructeurs ITE – Libertés publiques Vidéosurveillance Modification des modalités de mise en œuvre d’un dispositif de vidéosurveillance Le régime de la vidéosurveillance dans les lieux publics ou les lieux ouverts au public est défini par la loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité dite « loi Pasqua » et son décret d’application n°96-926 du 17 octobre 1996 relatif à la vidéosurveillance pris pour l’application des articles 10 et 10-1 de la loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. L’installation de dispositifs de vidéosurveillance est subordonnée à une demande d’autorisation préalable auprès du représentant de l’Etat dans le Département et, à Paris, du Préfet de police. Le décret n°2009-86 du 22 janvier 2009 modifiant le décret n°96-926 du 17 octobre 1996 relatif à la vidéosurveillance apporte des nouvelles précisions sur les documents et les pièces à transmettre à la préfecture lors du dépôt de la demande et sur les obligations qui incombent au titulaire de l’autorisation. Il est prévu que lorsque la demande porte sur l’installation d’un système de vidéosurveillance comportant moins de huit caméras, le rapport « peut se borner à un exposé succinct des finalités du projet et des techniques mises en œuvre ». Le plan de masse des lieux est nécessaire si les opérations de vidéosurveillance portent sur la voie publique, tandis que le plan de détail est réservé aux dispositifs de vidéosurveillance portant sur la voie publique ou comportant au moins 8 caméras. Pour tout dispositif de vidéosurveillance, il revient désormais au titulaire de l’autorisation préfectorale de porter à la connaissance de l’autorité préfectorale la date de mise en service des caméras. Décret du 22 janvier 2009 (Mise en ligne Janvier 2009) Autres brèves Vidéosurveillance : la Cnil prône une redéfinition du cadre juridique (Mise en ligne Novembre 2007) De nouvelles normes techniques pour les systèmes de vidéosurveillance (Mise en ligne Août 2007)
La collecte de données à caractère personnel nécessite le consentement préalable des personnes concernées faute de quoi elle est illicite.
La recherche médicale devrait accélérer grâce à la base de données constituée par Google, à l’aide d’informations recueillies de manière anonyme (1).
Le site Notrefamille.com propose des produits et services autour de la famille, des racines et de la généalogie et recense les noms de famille de 1891 à 1990 par commune de naissance, à partir d’un fichier statistique de l’Insee issu des données de recensement et dont il a acquis le droit d’exploitation par licence.
De nombreuses entreprises et collectivités territoriales établissement actuellement, sous l’impulsion des pouvoirs publics, un plan de continuité d’activité (PCA), afin de faire face à une épidémie grippale de grande ampleur. L’élaboration d’un PCA ayant pour objectif de maintenir l’activité économique au niveau le plus élevé possible tout en protégeant les personnels exposés, est d’ailleurs imposé aux administrations de l’Etat et établissements publics placés sous sa tutelle par la circulaire du 3 juillet 2009.
Informatique et libertés Secteur police, gendarmerie et douane Publication d’un rapport parlementaire sur les fichiers de police Le 24 mars dernier a été publié le rapport parlementaire de Mme Delphine Batho et M. Alain Bénisti sur les fichiers de police, à l’issue d’une mission d’information initiée en septembre 2008 par la Commission des lois de l’Assemblée nationale dans le cadre des débats sur le fichier de renseignement « EDVIGE » (exploitation documentaire et valorisation de l’information générale). Ce document présente 57 recommandations portant notamment sur la simplification du cadre juridique afférent à la création et au fonctionnement des fichiers de police, la protection des données sensibles, la garantie de l’exactitude des données traitées, l’efficacité accrue des contrôles, le respect des finalités, le contrôle de la transition entre fichiers de police, ainsi que l’accompagnement de leur éventuelle destruction. Les deux rapporteurs se sont vu confier la rédaction d’une proposition de loi visant à la mise en oeuvre des mesures d’ordre législatif préconisées. Assemlée nationale, Rapport d’information du 24 mars 2009 (Mise en ligne Avril 2009) Autres brèves La Cnil contrôle pour la première fois le STIC (Système de Traitement des Infractions Constatées) (Mise en ligne Janvier 2009) La Suisse entre dans l’espace Schengen (Mise en ligne Décembre 2008) Vers un renforcement du contrôle et de l’encadrement juridique des fichiers de police (Mise en ligne Décembre 2008) Retrait du décret portant création du fichier EDVIGE (Mise en ligne Décembre 2008) Rejet du référé-suspension contre le fichier Edvige (Mise en ligne Novembre 2008) Quant EDVIGE est rebaptisé EDVIRSP… (Mise en ligne Octobre 2008) Quel avenir pour les fichiers des renseignements généraux ? (Mise en ligne Juin 2008)
Informatique et libertés Secteur justice Application du bracelet électronique dans le cadre d’une surveillance de sûreté La Cnil a été saisie pour avis d’un projet de décret afférent au placement sous surveillance électronique mobile (PSEM) de condamnés libérés dans le cadre de la mise en oeuvre d’une surveillance de sûreté. Le projet de modification de décret vient en complément de l’article R.61-12 du code de procédure pénale, qui spécifie la finalité du traitement, en vue d’en harmoniser les dispositions avec celles de la loi n°2008-174 du 25 février 2008 relative à la rétention et à la surveillance de sûreté. Le placement sous surveillance électronique mobile ne pouvait être instauré que « dans le cadre d’un suivi sociojudiciaire, d’une surveillance judiciaire ou d’une libération conditionnelle ». Il est proposé par le nouveau dispositif d’adopter le PSEM dans le cadre d’une « surveillance de sûreté« , voire d’une « persmission de sortie accordée au cours d’une rétention de sûreté« . Aux termes d’une délibération rendue le 3 juillet 2008, la Cnil a précisé que le projet de texte n’appellait pas d’observations particulières. Délibération 2008-183 du 3 juillet 2008 Décret 2008-1130 du 4 novembre 2008 (Mise en ligne Décembre 2008) Autres brèves Rétention de sûreté : premier décret d’application ! (Mise en ligne Décembre 2008) Extension de l’accès au Fijais (Mise en ligne Novembre 2008) Le renforcement de la lutte contre la criminalité transfrontalière (Mise en ligne Octobre 2008) Fichier judiciaire national automatisé des auteurs d’infraction sexuelles (Mise en ligne Décembre 2005)
Un avertissement de la Cnil a été adressé à une société pour avoir manqué à son obligation de sécurité,
Informatique et libertés Secteur Banque Transferts bancaires Europe – Etats-Unis La Cnil vient d’apprendre l’ouverture de nouvelles négociations entre la Commission européenne et les Etats-Unis en vue de l’adoption d’un accord, aux termes duquel les autorités américaines auraient finalement accès aux données stockées par SWIFT sur le serveur en Suisse, initialement conçu pour éviter un tel accès. Le Président de la Cnil, qui préside également le groupe des Cnil européennes (G29), s’étonne de n’être ni consulté ni informé des termes des négociations. Il craint une remise en cause des garanties négociées au printemps 2007, par la Commission et le Conseil européen avec le gouvernement américain. Cnil, Communiqué de presse du 16 septembre 2009 (Mise en ligne Septembre 2009) Autres brèves Collecte d’informations statistiques par la Banque centrale européenne (Mise en ligne Septembre 2009) La Commission européenne rend public le rapport sur le réseau Swift (Mise en ligne Février 2009) Credit scoring : simplification des formalités imposées aux établissements de crédit (Mise en ligne Décembre 2008) La Cnil modifie l’autorisation unique « crédit scoring » (Mise en ligne Octobre 2008) La Cnil organise le traitement des impayés par chèque bancaire (Mise en ligne Avril 2008) Les fichiers détenus par les banques et organismes de crédit intéressent la Cnil… (Mise en ligne Novembre-Décembre 2007) Transferts bancaires internationaux (Mise en ligne Novembre 2006) Une autorisation unique relative au scoring (Mise en ligne Février 2006) La Cnil lutte contre le blanchiment de capitaux (Mise en ligne Décembre 2005) La Cnil a réalisé un audit des principaux sites internet de banque en ligne (Mise en ligne Novembre 2005) Le ratio « Mac Donough » de solvabilité de la clientèle bancaire (Mise en ligne Mars 2005)
La Cnil a prononcé une sanction pécuniaire à l’encontre d’un établissement bancaire à la suite d’une plainte concernant l’inscription d’un de ses clients au Fichier national des incidents de remboursement des crédits aux particuliers (FICP) plus de seize ans après la survenance de l’incident de paiement.
L’autorisation unique sur le « crédit scoring » a fait l’objet de modifications visant à intégrer la loi du
La loi Informatique et libertés confère à la Cnil le pouvoir de prononcer une sanction pécuniaire proportionnée à la gravité des manquements commis ou aux avantages tirés du manquement. La sanction peut atteindre 150 000 à 300 000 euros selon les cas (art. 45).
Saisie d’une plainte attirant son attention sur les pratiques d’une étude d’huissiers de justice qui enregistrait de nombreuses informations dans sa base de données « clients » sans lien direct avec la finalité du traitement, la Cnil a procédé à un contrôle sur place.
La Cnil a publié sa décision sanctionnant une société pour manque de coopération et de transparence. N’ayant pas satisfait aux demandes d’information de la Commission, le groupe a été mis en demeure de répondre à ses questions ou d’indiquer à la Cnil que le traitement avait été abandonné.
La Cnil use de nouveau de ses pouvoirs de sanctions, attribués par la loi du 6 janvier 1978 modifiée en 2004 (art. 45 et s.). Elle a prononcé, le 11 décembre 2007, une sanction pécuniaire d’un montant de 40 000 euros à l’encontre d’une société.
Après réception d’une plainte d’un particulier, la Cnil a procédé à des investigations auprès d’une société de distribution. La plainte dénonçait l’enregistrement de commentaires dans le champ « remarques » de la base de données de la société, visant à constituer une liste de clients indésirables.
Une société, spécialisée dans la compilation d’annonces immobilières sur internet, a été condamnée, le 26 février 2009, par la formation contentieuse de la Cnil, à une amende de 40 000 euros. La pratique de la société consistait à compiler les annonces immobilières de particuliers pour les revendre à des professionnels.
La Cour de cassation vient de rejeter le dispositif d’alerte professionnelle mis en place par un grand groupe français. Dans cette affaire, une société avait élaboré, en 2004, puis en 2007, à la suite de la loi américaine dite « Sarbanes Oxley », un code de conduite des affaires applicable dans le groupe dénommé « Code of Business Conduct » prévoyant un dispositif d’alerte interne par la société.
Informatique et libertés Ligne éthique Alerte professionnelle : la Cnil va restreindre l’autorisation unique Dans un arrêt du 8 décembre 2009, la chambre sociale cour de cassation s’est prononcée sur le code de bonne conduite et le dispositif d’alerte professionnelle institués par un groupe international pour se conformer à la loi Sarbanes Oxley. L’un des principaux points en débat portait sur le périmètre de l’alerte professionnelle, qui pouvait s’appliquer en l’espèce, non seulement aux manquements sérieux au code éthique en matière comptable, financière ou de lutte contre la corruption, mais également en cas de manquements graves à ce code, mettant en jeu l’intérêt vital du groupe ou l’intégrité physique ou morale d’une personne, notamment en cas de divulgation d’informations strictement confidentielles, de discrimination, de harcèlement moral ou sexuel. La cour de cassation a considéré que la délibération de la Cnil du 8 décembre 2005 portant autorisation unique des traitements automatisés de données à caractère personnel, mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, ne s’applique qu’aux seuls systèmes qui répondent à une obligation législative ou réglementaire visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption. L’article 3 de la délibération de la Cnil précitée admet que le système d’alerte serve aussi à signaler des faits mettant en jeu l’intérêt vital de l’entreprise (conflits d’intérêts, atteintes grave à la santé publique…) ou l’intégrité physique ou morale de ses employés (harcèlement moral ou sexuel…). Un tel dispositif entre dans le champ d’application de l’autorisation unique n°4. La cour de cassation a, dans son arrêt du 8 décembre 2009, remis en cause cette souplesse introduite par la Cnil, en concluant au caractère illicite du dispositif d’alerte litigieux. Elle a en effet estimé qu’un dispositif d’alerte professionnelle faisant l’objet d’un engagement de conformité à l’autorisation unique n°4 doit se limiter aux seuls domaines financier, comptable, bancaire et de lutte contre la corruption. Compte tenu de cette décision, la Cnil a annoncé qu’elle s’apprêtait à modifier l’autorisation unique. Dans l’intervalle, les groupes concernés devront auditer leur dispositif d’alerte professionnel à la lumière de cet arrêt et réaliser, le cas échéant, une autorisation normale auprès de la Cnil. Cnil, Communiqué du 27 01 2010
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |