La proposition de loi du 6 novembre 2009 visant à mieux garantir le droit à la vie privée à l’heure du numérique rend obligatoire les Correspondants Informatique et Libertés (Cil) lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargés de sa mise en oeuvre.
L’Union européenne s’est dotée, le 14 décembre 2007, d’une charte des droits fondamentaux à l’instar des conventions internationales relatives aux droits de l’homme.Son avenir juridique dépendra de la modification des traités européens en vigueurou éventuellement de la rédaction d’une future Constitution européenne incorporant les dispositions de la Charte.
Informatique et libertés Droit des personnes Profilage des individus : les recommandations du Conseil de l’Europe Le Conseil de l’Europe définit le profilage comme une technique de traitement automatisé des données qui consiste à appliquer un profil à une personne physique, notamment à des fins d’analyse ou de prédiction de ses préférences, comportements et attitudes personnels. C’est sur ce sujet qu’a eu lieu la 19ème réunion du Bureau du Comité Consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel (T-PD), du 18 au 20 novembre dernier. Le développement continu des technologies convergentes pose de nombreux défis en matière de collecte de données à caractère personnel et de leur traitement ultérieur à grande échelle. Il devient de plus en plus aisé de réaliser, à faible coût, un profilage des individus à des fins de prédiction de ses préférences, comportements et attitudes personnels. Le Conseil de l’Europe a alors pris en considération les éléments suivants : la technique du profilage peut avoir un impact sur les personnes concernées en les plaçant dans des catégories de groupes prédéfinis ; les profils attribués génèrent des nouvelles données à caractère personnel qui ne sont pas celles que la personne concernée a communiquées au responsable de traitement ou dont elle peut raisonnablement présumer la connaissance par le responsable de traitement ; le profilage risque de faire peser de graves menaces sur les droits et libertés de l’individu ; le profilage peut présenter des avantages pour l’utilisateur, l’économie et la société dans son ensemble, en enrichissant l’expérience de l’utilisateur lorsqu’il navigue sur la toile et d’autre part, que de nombreux services, contenus et applications sur l’internet sont largement financés par la publicité en ligne ; le profilage d’un individu peut avoir pour conséquence de priver celui-ci de l’accès à certains biens ou services ; le profilage peut exposer les individus à des risques particulièrement élevés de discrimination et d’atteintes à leurs droits personnels et à leur dignité. Le Conseil de l’Europe est donc convaincu qu’il est nécessaire de réglementer le profilage en terme de protection des données à caractère personnel, afin de sauvegarder les libertés et droits fondamentaux des individus, notamment le droit à la vie privée. Il a été rappelé que la mobilité des individus, la mondialisation des marchés et l’utilisation des nouvelles technologies nécessitent des échanges d’informations transfrontières. Dès lors, il conviendra d’harmoniser le niveau de protection des données à tous les Etats membres du Conseil de l’Europe. Le Conseil de l’Europe a donc recommandé aux gouvernements des Etats membres : de prendre des mesures pour que soient reflétés dans leur droit et leur pratique notamment : le respect des droits et libertés fondamentaux comme le droit à la vie privée ; l’absence de mesures discriminatoires ; l’encouragement du développement ; l’utilisation de technologies renforçant la protection de la vie privée ; le respect des conditions régissant la collecte et le traitement des données personnelles relatives au profilage ; la prévision des sanctions et des recours appropriés en cas de manquement aux dispositions du droit interne donnant effet aux principes de la recommandation. d’assurer une large diffusion des principes [ci-dessus mentionné] parmi les individus et organismes qui concourent ou recourent au profilage, notamment dans le domaine des services de la société de l’information, tels que les concepteurs et fournisseurs de logiciels pour les équipement terminaux de communication électronique, les concepteurs de profils, les fournisseurs d’accès à internet et les prestataires de services de la société de l’information, ainsi que parmi les instances compétentes en matière de protection des données et les organismes de normalisation ; d’inciter ces individus, autorités publiques et organismes à promouvoir des mécanismes d’autorégulation, tels que des codes de conduite, qui assurent le respect de la vie privée et à la protection des données, et à mettre en place des technologies inspirées de l’annexe à la présente recommandation. COE Projet de recommandation du 24 09 2009 (Mise en ligne Janvier 2010)
Informatique et libertés Sécurité Le Groupe de l’article 29 publie un avis sur la modification de la directive vie privée et communications électroniques Le Groupe de l’article 29, qui réunit les représentants des autorités européennes de protection des données, a publié, le 10 février 2009, un nouvel avis sur la proposition de directive visant à modifier, notamment, la directive 2002/58/CE « vie privée et communications électroniques« . Il indique, notamment, qu’il est favorable à un accroissement de la responsabilité des fournisseurs des services de la société de l’information en matière de protection des données. Ces derniers pourraient bientôt être tenus de notifier aux autorités, aux abonnées et aux particuliers concernés les violations de données à caractère personnel susceptibles d’avoir des conséquences négatives pour les abonnés et particuliers. Cette obligation pourrait être assortie de sanctions pénales. Le Groupe de l’article 29 se déclare également favorable à l’inclusion des technologies telles que MMS, RFID et NFC dans le champ d’application de la directive vie privée et communications électroniques, notamment s’agissant de l’envoi de communications non sollicitées. Enfin, le Groupe de l’article 29 encourage le renforcement des droits des citoyens grâce à la possibilité qui pourrait leur être offerte d’agir en justice en cas de violation des dispositions nationales transposant la directive. Groupe de l’article 29, Avis du 10 février 2009 (Mise en ligne Mars 2009) Autres brèves Début du voyage pour le passeport biométrique (Mise en ligne Novembre 2008) Les nouveaux visas sécurisés : vers une Europe forte et indépendante ? (Mise en ligne Octobre 2008) Les nouvelles préconisations de la CNIL sur l’archivage électronique dans les entreprises (Mise en ligne Octobre 2005)
Dans son communiqué du 2 décembre dernier, la Cnil prend acte des récentes décisions du Conseil d’Etat et annonce qu’elle va désormais procéder à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi Informatique et libertés.
La Commission européenne a de nouveau appelé les pays de l’UE à lutter de manière plus déterminée contre les « spam ». Une étude publiée la 8 octobre 2009 et commandée par la Commission européenne a montrée que si plusieurs pays de l’UE ont pris ces dernières années des mesures pour que l’interdiction du spam soit respectée,
10 conseils Cnil pour sécuriser son système d’information ont été publié sur son site : « 10 conseils pour sécuriser votre système d’information ».
Informatique et libertés Droit des personnes Une proposition de loi sur le droit à la vie privée à l’heure du numérique Une proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique a été déposée le 6 novembre 2009. Elle fait suite au rapport d’information sur la vie privée à l’heure des mémoires numériques que les auteurs de la présente proposition de loi ont rendu public le 27 mai dernier. Pour que le citoyen puisse devenir acteur de sa propre protection, il ne suffit pas qu’il ait été sensibilisé, dès son plus jeune âge, aux enjeux du numérique au regard du droit à la vie privée ; encore faut-il que la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « informatique et libertés », offre des garanties renforcées dans ce domaine. C’est pourquoi la présente proposition de loi modifient la loi « informatique et libertés » afin de traduire les recommandations de portée législative contenues dans le rapport d’information précité. La secrétaire d’État Nathalie Kosciusko-Morizet, s’en est également fait l’écho lors de l’atelier « Droit à l’oubli » organisé à Sciences Po-Paris, le 12 novembre 2009. Les articles 2 à 12 modifient la loi Informatique et libertés. Les principales modifications proposées sont les suivantes : rendre obligatoires les correspondants informatique et libertés lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre ; imposer au responsable du traitement de délivrer, avant tout traitement de données, une information spécifique, claire et accessible portant sur : – la durée de conservation des données ; – la possibilité pour la personne concernée d’exercer ses droits de suppression, d’accès et de rectification par voie électronique, dès lors que le responsable du traitement dispose d’un site internet. L’article 6 de la proposition de loi impose également au responsable du traitement disposant d’un site internet d’y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions obligatoires prévues à l’article 32 de la loi Informatique et libertés, à savoir : l’obligation de notification à la Cnil des failles de sécurité ; l’obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de la donnée. De plus, la proposition de loi renforce les pouvoirs de sanction de la Cnil. En effet, l’article 47 de la loi informatique et libertés limite la sanction financière à 150 000 euros, ou 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Ces montants seraient portés respectivement à 300 000 et 600 000 euros, ce dernier montant correspondant au niveau maximum de sanction susceptible d’être prononcé par l’agence espagnole de protection des données. Il en va de même dles possibilités d’actions juridictionnelles de la Cnil et des personnes en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi informatique et libertés. Enfin, il convient de noter que plusieurs mesures permettent de donner une plus grande effectivité au droit à l’oubli numérique telles que : l’information donnée aux personnes, avant tout traitement, mais également de manière permanente, sur le site Internet du responsable du traitement, de la durée de conservation des données ; la possibilité de demander à la Cnil, pour les traitements déclarés auprès d’elle, la durée de conservation des données. L’article 14 prévoit l’entrée en vigueur de la loi six mois à compter de sa publication afin de laisser le temps aux entreprises et administrations de s’adapter aux nouvelles dispositions. Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, Doc. Sénat n° 93 du 6 novembre 2009 (Mise en ligne Novembre 2009)
Vidéosurveillance, géolocalisation et biométrie font désormais partie de la panoplie sécuritaire des espaces privés ou publics. Aujourd’hui, l’accès à une salle d’examen ou un bloc opératoire peut ainsi être soumis à l’obligation de scanner le réseau veineux palmaire du candidat ou du personnel médical (1).
Depuis septembre 2009, même en l’absence de Cil et de déclaration de fichier de gestion du personnel, les responsables d’un traitement mis en œuvre dans le cadre de l’établissement et du suivi du plan de continuité de l’activité permettant de faire face à un épidémie grippale de grande ampleur ne sont plus tenus d’effectuer de formalités préalables,
Informatique et libertés Biométrie Biométrie sur le lieu de travail autorisée par la Cnil La Cnil a adopté une autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieux de travail. Elle considère que la gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation, peut s’effectuer grâce à la biométrie. Cnil, Autorisation unique AU-019 du 7-5-2009 Paru dans la JTIL n°29/2009 p.5 (Mise en ligne Septembre 2009)
La Cnil a procédé à un contrôle sur place auprès de la société délégataire du service public des transports urbains de la ville de Rennes, mettant en œuvre ce dispositif de billettique par carte RFID.
Informatique et libertés Secteur internet Règles applicables aux réseaux sociaux : le G29 se prononce Afin de préciser et d’harmoniser les règles européennes, le G29 (groupe des CNIL européennes) a adopté un avis sur les réseaux sociaux sur internet. Cet avis vise également à renforcer, par les recommandations énoncées, la protection des données à caractère personnelles collectées auprès des internautes. Une réponse des principaux réseaux sociaux est préconisée par le G29, qui pourrait procéder à leur audition en fin d’année. Avis du G29 sur les réseaux sociaux
La Cnil a publié une recommandation sur la communication d’informations à titre de preuve dans les procédures judiciaires américaines dite de « DISCOVERY ». La procédure dite de « DISCOVERY » est une phase d’investigation et d’instruction préalable au procès civil ou commercial, essentielle pour toute action en justice aux Etats-Unis.
Street view est un service de Google permettant d’obtenir des photographies sur 360 degrés des certains lieux. A l’occasion du lancement de ce nouveau dispositif, « Street View », déjà déclaré à la Cnil, a été modifié afin d’améliorer l’information des personnes et la protection de leur vie privée.
Informatique et libertés Vidéosurveillance Le projet LOPPSI fait réagir la Cnil Alors que l’étude du projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure est en cours à l’assemblée nationale (un avis de la Commission de la défense vient d’être rendue le 22 juillet 2009), la Cnil vient de publier son avis du 16 avril 2009 sur ce texte. Cet avis revêt une importance particulière, tant sur la forme que sur le fond. Sur la forme, d’abord, car cet avis est le premier rendu public sur le fondement de l’article 11 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, récemment modifié par la loi 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d’allègement des procédures. Cet article, que la Cnil qualifie d’« innovation nécessaire au débat démocratique », prévoit désormais qu’à la demande du président de l’une des commissions permanentes de l’Assemblée nationale, l’avis de la Cnil sur tout projet de loi peut être rendu public (les avis de la Cnil étaient, jusqu’à présent, considérés comme des actes préparatoires du gouvernement et de ce fait, non publics). Sur le fond, ensuite, cet avis est important, en ce qu’il permet à la Cnil de rappeler certains principes juridiques fondamentaux de la protection des données à caractère personnel. La Cnil se prononce, tout d’abord, sur le dispositif, envisagé par le projet de loi, de captation de données informatiques, dans le cadre de la lutte contre la criminalité organisée. A cet égard, elle rappelle notamment que, s’il est impossible de réaliser un tri dans la collecte des données, entre ce qui est utile ou non à la manifestation de la vérité, il convient, néanmoins, de limiter le contenu des procès verbaux aux seuls enregistrements utiles à la manifestation de la vérité, les séquences de vie privée étrangères aux infractions en cause ne devant, en aucun cas, être conservées dans le dossier de procédure. Elle ajoute également que la mise en place de dispositifs de captation des données, dans des points d’accès publics à internet, doit : garantir la proportionnalité de la mesure de surveillance par rapport aux objectifs poursuivis ; se faire dans le respect du principe selon lequel le législateur doit assurer la conciliation entre, d’une part, la prévention des atteintes à l’ordre public et la recherche des auteurs des infractions, et d’autre part, l’exercice des libertés constitutionnellement garanties au nombre desquelles figure le respect de la vie privée. La Cnil précise, également, que ce nouveau dispositif devra être particulièrement sécurisé, afin de protéger les données contre des risques d’utilisation à des fins détournées et recommande, à cet égard, la mise en place d’outils de traçabilité (par exemple, journalisation des accès). La Cnil se prononce, en outre, sur les différentes modifications proposées par le projet de loi relativement à certains fichiers, notamment pour ce qui concerne le STIC (système de traitement des infractions constatées), pour lequel il est prévu une extension des données potentiellement enregistrables aux données recueillies dans le cadre d’enquêtes sur les causes d’une mort ou d’une disparition. La Commission rappelle que ces données sont recueillies dans le cadre de procédures, dans lesquelles il est seulement envisagé la possibilité qu’une infraction ait pu être commise, et qu’elles devront donc être effacées, dès lors que l’enquête aura permis de retrouver la personne disparue ou d’écarter toute suspicion de crime ou de délit. Ces données devront, en outre, être clairement distinguées, au sein du fichier, par rapport aux autres données. La Cnil se positionne, ensuite, relativement aux traitements d’analyse sérielle (aux fins de lutte contre la récidive) que le projet de loi souhaite étendre à d’autres infractions que celles qui sont aujourd’hui concernées. Elle tient, à cet égard, à rappeler son extrême réserve sur ce projet, ainsi que l’usage qu’elle ferait de ses missions de contrôle, si ces dispositions venaient à être adoptées (contrôle a priori, dans le cadre de l’avis qu’elle serait tenue d’émettre sur le traitement envisagé, et contrôle a posteriori, par des missions de vérification, sur place et sur pièces). Cet avis est aussi l’occasion, pour la Cnil, de préciser son aversion pour l’utilisation des fichiers judiciaires, dans le cadre d’enquêtes de police administrative. Elle rappelle, à cet égard, les dispositions de la loi Informatique et libertés, selon lesquelles « aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le fondement d’un traitement automatisé de données destiné à définir le profil de l’intéresser ou à évaluer certains aspects de sa personnalité ». Il convient, enfin, de préciser que la Cnil n’avait pas été saisie de l’intégralité des dispositions du projet de loi, notamment des dispositions relatives à la vidéoprotection, sur lesquelles elle aurait pu, éventuellement, se prononcer. Cnil, Communiqué de presse du 24 juillet 2009 (Mise en ligne Septembre 2009)
Informatique et libertés Secteur collectivité territoriale La Cnil annonce son programme des contrôles pour l’année 2009 La Cnil a dévoilé son programme des contrôles et vérifications des traitements de données à caractère personnel pour l’année 2009. Le secteur des collectivités locales (communes, communautés d’agglomération, conseils généraux ou régionaux), qui a fait l’objet de plusieurs missions de contrôle en 2008, fera l’objet d’opérations de contrôle supplémentaires en 2009 visant à vérifier la conformité à la réglementation Informatique et libertés. Les collectivités sont en effet détentrices de nombreux fichiers, aux finalités variées et souvent spécifiques (état civil, listes électorales, action sociale, police municipale, gestion foncière, inscriptions scolaires, etc. ), qui comportent le plus souvent des données personnelles détaillées et parfois sensibles, concernant les administrés ou les usagers des services proposés. En conséquence, le traitement des données doit faire l’objet d’une attention toute particulière de la part des collectivités. Cnil, Communiqué du 11 juin 2009
Informatique et libertés Secteur transport Le Sénat encadre l’utilisation de la base de données passager (PNR) Le Sénat a adopté, le 30 mai 2009, une résolution sur la proposition de décision-cadre relative à l’utilisation des données des dossiers passagers, dites PNR, à des fins répressives. Les données PNR sont celles recueillies par les compagnies aériennes et les agences de voyage auprès des passagers à l’occasion de la réservation d’un vol. Ce projet européen fait écho au système mis en place par les États-Unis après les attentats de 2001. La proposition de décision-cadre s’est donc efforcée de faire valoir la conception européenne de la protection des données personnelles. Cette proposition de la Commission européenne de novembre 2007 tend à faire obligation aux compagnies aériennes assurant des vols à partir de l’Europe de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir les infractions terroristes et la criminalité organisée. Ainsi, sur la base des observations du contrôleur européen de la protection des données, de l’Agence des droits fondamentaux de l’Union européenne et du groupe de l’article 29 soulignant les lacunes de la proposition de la Commission européenne de novembre 2007 en matière de sécurité juridique et de protection des données, le sénat, à son tour, a identifié les difficultés de ce texte et adopté une résolution. Monsieur Simon Sutour, sénateur du Gard et auteur de la résolution, précise notamment que la constitution d’une base de donnée de passagers doit se faire dans le respect des droits fondamentaux et en particulier, du droit au respect de la vie privée et à la protection des données personnelles. Dans la lignée de ce que préconise la Cnil, il est indiqué que les finalités de ce traitement « PNR » doivent être précisément délimitées et concerner exclusivement la détection, l’instruction, la poursuite et la répression du terrorisme, ainsi qu’un ensemble d’infraction graves déterminées. Cette mesure doit être appréciée au regard de la collecte de ces données, qui repose sur la seule qualité de passager. Cette collecte est indifférenciée et ne concerne donc pas une personne ciblée. La proposition du Sénat précise encore que la transmission aux autorités devra être déclenchée par les transporteurs aériens, afin qu’ils gardent le contrôle de leur données. Les destinataires de ces données appelés « unité de renseignements passagers », ainsi que d’éventuels intermédiaires devront faire l’objet de précisions et de garanties supplémentaires. Quant aux données utilisées, que le groupe de l’article 29 considère comme excessives, le Sénat estime que cette liste de données devra faire l’objet d’un examen supplémentaire, afin que l’utilité des données collectées soit avérée au regard des finalités poursuivies. Dans cette logique, une des mesures importantes de la proposition du Sénat résulte dans l’exclusion d’utilisation des données sensibles (race, origine ethnique, convictions religieuses, opinions politiques, l’appartenance syndicale, santé, orientation sexuelle). Leur utilisation pourrait être néanmoins envisagée dans des cas strictement encadrés. Egalement, la durée de conservation des données qui, dans la proposition initiale de la Commission européenne peut atteindre 13 ans, est considérée par le Sénat comme manifestement disproportionnée par rapport aux objectifs poursuivis et demande, en conséquence, que cette durée soit réduite à un délai raisonnable (estimé de 6 à 10 ans). Enfin, cette proposition insiste sur les conditions de transmission de ces données vers des Etats tiers qui n’offriraient pas les garanties suffisantes. Les transferts ne pourraient, dès lors, s’effectuer qu’au cas par cas et sous réserve que l’Etat tiers assure un niveau de protection adéquat des données et que des garanties soient prévues dans la mise en œuvre du principe de réciprocité. Sénat, Dossier législatif (Mise en ligne Juillet 2009)
Une société spécialisée dans la vente et la pose de portes et de fenêtres a été condamnée par la Cnil à 30 000 euros d’amende pour de nombreux manquements à la réglementation Informatique et libertés.
Informatique et libertés Biométrie La CNIL autorise la biométrie pour lutter contre la fraude La Cnil vient de publier un communiqué dans lequel elle indique qu’elle a autorisé, lors de sa séance plénière du 18 juin 2009 (cette délibération n’a pas encore été publiée), le recours à un traitement de données à caractère personnel fondé sur la reconnaissance du réseau veineux de la paume de la main des candidats à un examen. Ce traitement serait destiné à lutter contre la fraude à l’examen du GMAT (Graduate Management Admission Test), un examen de gestion et de management permettant d’évaluer les compétences des candidats pour intégrer certaines grandes écoles dans le monde entier. Deux arguments principaux ont emporté l’adhésion de la Cnil à la mise en œuvre de ce système biométrique : – la technologie utilisée qui constitue selon la Cnil une biométrie « sans trace » et présente des risques particulièrement réduits d’usurpation d’identité ; – les particularités de l’examen concerné par ce traitement, notamment sa dimension mondiale, les enjeux qui y sont attachés et l’existence de nombreuses fraudes dans le passé. La Cnil tempère toutefois les conséquences de cette décision, précisant qu’elle n’est pas favorable à l’utilisation systématique de dispositifs biométriques pour lutter contre la fraude aux examens d’une manière générale. Communiqué Cnil du 15 juillet 2009. (Mise en ligne Juillet 2009)
Informatique et libertés Biométrie Biométrie sur le lieu de travail La Cnil a adopté une autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieux de travail. Rappelons que de tels dispositifs relèvent de l’article 25-I (8°) de la loi Informatique et Libertés, qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes. La Cnil considère donc que la gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation, peuvent s’effectuer grâce à la mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du réseau veineux des doigts de la main. Autorisation unique AU-019 du 7-5-2009, JO du 21 juin 2009 (Mise en ligne Juillet 2009)
La Cnil vient de publier sur son site une décision par laquelle elle prononce une mise en demeure à l’encontre d’une société éditant un site Internet de notation des professionnels. Ce site permet aux internautes inscrits d’attribuer des notes à différents professionnels, tels que médecins, avocats, chefs d’entreprises, mais également à des personnalités (joueurs de football ou encore hommes politiques).
Informatique et libertés Secteur collectivité territoriale La Cnil renforce les contrôles sur place dans le secteur public La Cnil a augmenté ses contrôles en direction des collectivités territoriales durant l’année 2008 (10 contrôles sur place contre 4 en 2007). Elle a constaté que la réglementation Informatique et libertés n’était pas toujours bien assurée au sein des collectivités territoriales qui ont été contrôlée. Les collectivités gèrent de nombreux traitements de données à caractère personnel comme les listes électorales, les fichiers d’état civil, les données cadastrales, ou encore les inscriptions scolaires. De même, les dispositifs de contrôle liés aux nouvelles technologies se multiplient (applications biométriques, géolocalisation ou vidéosurveillance) en particulier grâce au réseau Internet (espaces numériques de travail, téléservices locaux à destination des administrés). L’ensemble de ces applications recense des informations à caractère personnel. Les maires et les présidents d’établissements publics de coopération intercommunale sont responsables de ces traitements informatiques et de la sécurité des données personnelles qu’ils contiennent. Dès lors, ils peuvent ainsi voir leur responsabilité, notamment pénale, engagée en cas de non-respect des dispositions de la loi. Les maires, surtout de petites communes, peuvent en toute bonne foi se rendre coupables d’une « utilisation injustifiée de fichiers », argumente Alex Turk lorsqu’il a incité les communes à opter pour l’adoption d’un CIL en janvier dernier. La Cnil précise notamment qu’au terme de ses missions de vérification, elle a pu observer notamment l’absence d’accomplissement de formalités préalables pour certains des traitements mis en œuvre, absence de durée de conservation des données collectées, information insuffisante des administrés sur leurs droits, voire mise en œuvre de fichiers contraires à la loi (par exemple, constitution d’un fichier de population à l’insu des personnes). Les suites apportées à ces contrôles, précise-telle, peuvent, le cas échéant, donner lieu à un avertissement, rendu public ou non, une mise en demeure, voire une sanction pécuniaire. Echos des séances, Cnil, 24 novembre 2008 (Mise en ligne Décembre 2008)
Informatique et libertés Secteur collectivité territoriale La dispense de déclaration préalable du fichier électoral des communes La Cnil, aux termes d’une délibération adoptée en date du 20 mai 2008, dispense de déclaration les traitements de données à caractère personnel afférents à la gestion du fichier électoral des communes répondant aux conditions prescrites par la présente décision, dont la finalité est circonscrite à l’établissement et la mise à jour des listes électorales, ainsi que l’édition des documents requis pour l’exécution des opérations électorales. En conséquence, il est fait abrogation des normes simplifiées n°24, établies respectivement par les délibérations 81-103 du 15 septembre 1981 et 94-027 du 26 avril 1994. Sont exclus du bénéfice de l’exonération les traitements automatisés impliquant la transmission de données personnelles vers des pays tiers à l’Union européenne, dont la mise en oeuvre présuppose l’accomplissement auprès de la Cnil des formalités déclaratives préalables prescrites par la loi Informatique et libertés. Délibération 2008-116 du 20 mai 2008 Délibération 81-103 du 15 septembre 1981 Délibération 94-027 du 26 avril 1994 (Mise en ligne Mai 2008)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |