Informatique et libertés

Droits des personnes, Informatique et libertés

Les modalités de délivrance du nouveau abel diversité

/

Informatique et libertés Droit des personnes Les modalités de délivrance du nouveau « label diversité » Un décret, édicté le 17 décembre 2008, instaure un label en matière de promotion de la diversité et de prévention des discriminations dans le cadre de la gestion des ressources humaines, dénommé « label diversité ». Le nouveau dispositif réglementaire vise à promouvoir les bonnes pratiques de recrutement, d’évolution professionnelle et de gestion des ressources humaines des entreprises ou des employeurs de droit public ou privé, en vue de développer la diversité et de prévenir les discriminations. La délivrance de ce nouveau label est subordonnée à la consultation préalable de la commission de labellisation, en charge de l’examen des rapports d’instruction établis par l’organisme de labellisation. Ce dernier est tenu d’intégrer l’avis rendu par la commission dans les conclusions définitives adressées au candidat à l’obtention du label diversité. Le présent décret détermine également la composition, ainsi que les modalités d’organisation de la commission. Décret 2008-1344 du 17 décembre 2008 (Mise en ligne Décembre 2008)

Informatique et libertés, Secteur santé

Accès aux données anonymisées des assurés sociaux

/

Santé et Biotechnologies Données de santé Extension de l’accès aux données anonymisées des assurés sociaux Les organismes de protection complémentaires de l’assurance maladie se voient désormais accorder un droit d’accès aux données anonymisées de remboursement des assurés sociaux, collectées par le SNIIRAM. Un arrêté en date du 16 octobre 2008 afférent à la « mise en œuvre du système national d’information interrégimes de l’assurance maladie » en réglemente en effet l’accès, sous le contrôle de la Cnil. La consultation des données individuelles des assurés sociaux était requise par les organismes complémentaires en vue d’affiner leurs analyses au regard notamment de l’impact du déremboursement de certains médicaments sur leurs dépenses. Arrêté du 16 octobre 2008 (Mise en ligne Décembre 2008)

Informatique et libertés, Informatique et libertés Contentieux, NIR RNIPP et données sensibles

Condamnation de la politique britannique de fichage ADN

/

La Cour européenne des droits de l’homme a condamné, le 4 décembre 2008, la politique de fichage ADN du Royaume-Uni. La législation britannique, instituant le premier fichier ADN d’Europe, permet de conserver pour une durée indéterminée les prélèvements biométriques effectués sur une personne arrêtée, quelle que soit la gravité de l’infraction.

Actualités, Informatique et libertés, Ligne éthique

Les chartes éthiques et dispositifs d’alerte professionnelle

/

Informatique et libertés Ligne éthique L’encadrement juridique des chartes éthiques et dispositifs d’alerte professionnelle Récents instruments de gouvernance de l’entreprise, les chartes éthiques et codes de conduites se sont progressivement développés afin de permettre, « à l’inverse du règlement intérieur dont le champ est légalement limité, de réunir en un seul document (…) les engagements et obligations respectifs de l’employeur et des salariés dans le cadre de l’exécution du contrat de travail« . Ils sont parfois associés à la mise en place d’un dispositif d’alerte professionnelle en vue d’optimiser les performances de l’entreprise dans le cadre d’une démarche de prévention des risques. Un rapport traitant de cette problématique, établi à l’initiative de Messieurs Paul-Henri Antonmattei et Philippe Vivien, a été remis le 6 mars 2007 au ministre délégué à l’emploi, au travail et à l’insertion professionnelle des jeunes. Il est permis de s’interroger sur le régime juridique applicable à ces dispositifs éthiques, ainsi que sur les modalités du contrôle administratif, notamment concernant les clauses relatives à la discipline. La Direction générale du travail, aux termes d’une circulaire en date du 19 novembre 2008, précise la nature juridique de ces « documents éthiques » en distinguant les règlements intérieurs des notes de services, chartes et codes éthiques. Définissant leur champ d’application, elle précise également l’étendue du contrôle des inspecteurs et contrôleurs du travail qui peuvent avoir connaissance des dispsitifs éthiques à l’occasion d’une transmission par l’employeur, lors d’un contrôle sur place ou encore du fait de la saisine d’un salarié ou d’un représentant du personnel. La circulaire détermine également les modalités de mise en œuvre des dispositifs d’alerte professionnelle qui, de par leur caractère facultatif, n’entrent pas dans le champ du règlement intérieur. En conséquence, il incombe à l’Inspection du travail de rappeler, le cas échéant, à l’employeur les prérogatives des instances représentatives du personnel et de vérifier la conformité du dispositif aux prescriptions du code du travail. La licéité du dispositif d’alerte professionnelle présuppose l’accomplissement des formalités déclaratives préalables auprès de la Cnil, la consultation du comité d’entreprise, ainsi que l’information individuelle préalable des salariés. DGT, Circulaire 2008/22 du 19 novembre 2008 (Mise en ligne Décembre 2008)

Informatique et libertés, Secteur communication électronique

prospection commerciale bluetooth cnil avis protocole

/

Informatique et libertés Secteur communication électronique La Cnil prend position sur la prospection commerciale via bluetooth Selon la Cnil, la loi Informatique et libertés est applicable aux données techniques traitées dans le cadre du protocole de communication bluetooth. C’est ce qu’elle a annoncé lors d’une séance plénière, en qualifiant l’adresse physique de l’interface du portable et l’identifiant bluetooth du téléphone de données à caractère personnel. Elle considère également que l’envoi de messages publicitaires sur des téléphones mobiles via la technologie bluetooth constitue une prospection directe au moyen d’un courrier électronique, soumise aux dispositions de l’article L.34-5 du code des postes et communications électroniques. Par ailleurs, elle précise que les envois de messages demandant à l’utilisateur s’il accepte l’établissement d’une connexion bluetooth n’est pas une modalité satisfaisante de recueil du consentement, dans la mesure où cette procédure intervient trop tardivement. La Cnil réaffirme le principe selon lequel l’envoi systématique de messages publicitaires à tous les utilisateurs se trouvant dans une zone de couverture ne doit pas être la règle. En revanche, elle se montre plutôt favorable à l’utilisation de solutions permettant aux seules personnes réellement intéressées par le contenu publicitaire d’être sollicitées telles que, par exemple, le recours à une solution nécessitant que l’utilisateur approche son portable de l’affiche pour recevoir de la publicité. En effet, la Cnil considère qu’avec cette procédure le consentement de la personne est matérialisé. Cnil, Communiqué de presse du 12 novembre 2008 (Mise en ligne Novembre 2008)

Informatique et libertés, Système d'information Ressources humaines

Parution du guide Cnil pour les employeurs et les salariés

/

Informatique et libertés SI Ressources humaines Le guide pour les employeurs et les salariés est paru ! La Cnil se propose, par la diffusion d’un « guide pour les employeurs et les salariés » (Guide Cnil du 17-11-2008), de parfaire l’information des salariés sur les droits dont ils disposent et de conseiller les employeurs pour une utilisation optimisée des outils et fichiers constitués en matière de gestion des ressources humaines. La loi du 6 janvier 1978 modifiée, dite loi Informatique et libertés, encadre en effet la collecte et le traitement des données à caractère personnel afférentes aux salariés en vue de garantir le respect de leur vie privée et de prévenir toute atteinte aux droits et libertés individuelles. Les employeurs étant susceptibles de voir leur responsabilité, notamment pénale, engagée du fait de l’inobservation des dispositions de la présente loi, la Cnil a souhaité mettre à leur disposition un guide précisant, en une cinquantaine de pages, les conditions de mise en oeuvre des diverses technologies. Il comporte en outre une douzaine de fiches pratiques portant notamment sur le contrôle de l’utilisation d’internet et de la messagerie, la vidéosurveillance sur les lieux de travail, la gestion de la téléphonie, les dispositifs de géolocalisation gsm/gps, l’utilisation de badges ou de la biométrie sur le lieu de travail. Cnil, guide du 17 novembre 2008 (Mise en ligne Novembre 2008)

Informatique et libertés, Secteur marketing direct

La Cnil prend position sur la prospection commerciale via bluetooth

/

Informatique et libertés Secteur marketing direct La Cnil prend position sur la prospection commerciale via bluetooth Selon la Cnil, la loi Informatique et libertés est applicable aux données techniques traitées dans le cadre du protocole de communication bluetooth. C’est ce qu’elle a annoncé lors d’une séance plénière, en qualifiant l’adresse physique de l’interface du portable et l’identifiant bluetooth du téléphone de données à caractère personnel. Elle considère également que l’envoi de messages publicitaires sur des téléphones mobiles via la technologie bluetooth constitue une prospection directe au moyen d’un courrier électronique, soumise aux dispositions de l’article L.34-5 du code des postes et communications électroniques. Par ailleurs, elle précise que les envois de messages demandant à l’utilisateur s’il accepte l’établissement d’une connexion bluetooth n’est pas une modalité satisfaisante de recueil du consentement, dans la mesure où cette procédure intervient trop tardivement. La Cnil réaffirme le principe selon lequel l’envoi systématique de messages publicitaires à tous les utilisateurs se trouvant dans une zone de couverture ne doit pas être la règle. En revanche, elle se montre plutôt favorable à l’utilisation de solutions permettant aux seules personnes réellement intéressées par le contenu publicitaire d’être sollicitées telles que, par exemple, le recours à une solution nécessitant que l’utilisateur approche son portable de l’affiche pour recevoir de la publicité. En effet, la Cnil considère qu’avec cette procédure le consentement de la personne est matérialisé. Cnil, Communiqué de presse du 12 novembre 2008 (Mise en ligne Novembre 2008)

Biométrie, Informatique et libertés

Début du voyage pour le passeport biométrique

/

Informatique et libertés Biométrie Début du voyage pour le passeport biométrique « Plus de rapidité, de facilité, et de sécurité » voilà résumés les avantages décrits par le Ministre de l’intérieur lors de la remise à un administré de Chantilly, le 31 octobre dernier, du premier passeport biométrique. Conformément au règlement n°2252/2004 du 13 décembre 2004 du conseil européen, la France devra être en mesure de délivrer sur son territoire des passeports biométriques contenant les empreintes digitales numérisées de leur titulaire. Le dispositif juridique mis en place notamment par le décret n°2008-426 du 30 avril 2008, qui modifie le décret n°2005-1726 du 30 décembre 2005, a été validé par la Cnil en décembre 2007 qui a demandé, d’une part, des garanties techniques pour renforcer la protection des données qui seront ainsi centralisées sur un serveur parisien et d’autre part, un encadrement par le Conseil d’Etat. Le déploiement des machines a connu des difficultés et a pris du retard. L’Etat, qui a investi dans 4000 machines permettant de numériser la photo et quatre empreintes digitales du titulaire, doit les déployer dans près de 2000 mairies d’ici juin 2009, date butoir fixée par l’union Européenne. Egalement, le projet de loi sur la protection de l’identité, qui doit conférer aux communes une compétence spécifique à l’instruction des demandes de passeports, ne sera examiné devant le Parlement qu’en début d’année 2009. Certains élus ont fait savoir que le dispositif mis en place pose des interrogations, notamment s’agissant d’un système qui ne pourra couvrir l’ensemble du territoire ou encore sur la sécurité des liaisons informatiques concernant les données à caractères personnel. Dans ce contexte, les informations des cinq départements pilotes (Gironde, Aube, Loire-Atlantique, Nord et Oise) devraient permettre de répondre à ces questions, d’évaluer également le temps de traitement des demandes face à de nouvelles exigences en matière biométrique qui concernent la sécurité des données. Pour les maires, il apparaît nécessaire de revoir le montant et le déclenchement de l’indemnisation des communes, fixé à 3 200 euros par machine et par an pour les frais qu’elles engageront pour les demandeurs d’un passeport qui ne résideraient pas sur leur territoire. Le directeur de l’agence nationale des titres sécurisés a, par ailleurs, précisé, le 29 octobre dernier, que des machines supplémentaires seraient mise à dispositions des communes et que serait financé des projets d’accessibilité des mairies dans la limite de 4000 euros par projet. Communiqué du Ministère de l’intérieur du 31 octobre 2008 (Mise en ligne Novembre 2008)

Géolocalisation, Informatique et libertés

Adoption d’une recommandation sur la géolocalisation des véhicules des employés

/

La Cnil a adopté le 16 mars 2006 une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d’un organisme privé ou public. La recommandation définit le cadre dans lequel peuvent être mis en œuvre des outils de géolocalisation au sein du contexte professionnel.

Informatique et libertés, Secteur public

CD-rom cadastre impôts mise à jour actualisation 2007

/

Informatique et libertés Secteur établissement public Mises à jour 2007 des cédéroms de la DGI (cadastre ou rôles des impôts) Les communes qui reçoivent pour la première fois ces cédéroms, ou qui n’ont pas déclaré les versions précédentes, doivent établir une déclaration de conformité à la norme simplifiée n° 44 (cadastre) ou à la norme simplifiée n° 45 (rôles des impôts locaux : taxes foncières, taxe d’habitation et taxe professionnelle), par téléprocédure sur le site de la Cnil. Délibération n° 04-074 du 21 septembre 2004 (norme simplifiée n°44) Délibération n° 04- 083 du 04 novembre 2004 (norme simplifiée n°45) (Mise en ligne Septembre 2007) Autres brèves Dispense de déclaration des traitements de gestion des rémunérations (Mise en ligne décembre 2004)  

Informatique et libertés, Secteur internet

Vives critiques sur Google Maps

/

Informatique et libertés Secteur internet Vives critiques sur Google Maps Google Maps, à l’origine, moteur de recherche de cartes et de plans, a développé une nouvelle application qui offre aux utilisateurs la possibilité de participer au développement des produits et services de Google, en leur permettant de donner leur avis sur les établissements et les professionnels référencés sur Google. Cette nouvelle application suscite de vives critiques. Ainsi, des professionnels de santé ont été consternés de voir apparaître sur leur profil, des commentaires anonymes désobligeants concernant leurs pratiques professionnelles ou des incidents survenus dans leur établissement, et ce d’autant plus que le contenu ne peut être supprimé. Les professionnels concernés ont immédiatement averti le Conseil National de l’ordre des Médecins, qui est intervenu récemment à propos d’un problème similaire concernant le site « not2bib», le site de notation des médecins. Ce dernier avait suspendu ses activités en raison notamment de l’impossibilité d’identifier les auteurs des commentaires. La Cnil devrait également se prononcer sur cette problématique et rappeler le droit de tout individu de s’opposer et de rectifier les données à caractère personnel le concernant. (Mise en ligne Octobre 2008)

Informatique et libertés, Secteur internet

Les français jugent insuffisante la protection de la vie privée

/

Informatique et libertés Secteur internet Les français jugent insuffisante la protection de leur vie privée sur internet La Cnil a publié, le 13 octobre 2008, sur son site internet les résultats d’un sondage réalisé par IPSOS sur la perspection par les français de la protection de leur vie privée dans les fichiers en général, et sur internet en particulier. Il en ressort que 71% des personnes interrogées jugent insuffisante la protection de leur vie privée. Communiqué Cnil du 13 10 2008 (Mise en ligne Octobre 2008)

Biométrie, Informatique et libertés

Pas de contrôle biométrique à base d’empreintes digitales dans les écoles

/

Informatique et libertés Biométrie Pas de contrôles biométriques à base d’empreintes digitales dans les écoles En juin 2008, la Cnil a refusé d’autoriser un dispositif biométrique reposant sur l’empreinte digitale pour contrôler l’accès à un établissement scolaire ainsi que la présence des élèves. C’est ce que vient d’annoncer la Cnil dans un communiqué paru le 25 septembre sur son site. Le dispositif repose sur la reconnaissance des empreintes digitales avec un stockage sur une base de données pour contrôler l’accès à un lycée et la présence des élèves. Pour justifier son refus, la Cnil considère que la mise en place d’un tel dispositif n’est pas justifiée compte tenu de l’absence d’un « fort impératif de sécurité ». Il ne s’agit pas en l’espèce de sécuriser l’accès d’un nombre limité de personnes à une zone bien déterminée, « représentant un enjeu majeur dépassant l’intérêt strict de l’organisme » (type centrale nucléaire, aéroport, etc.). La délibération de refus n’est pas encore parue au journal officiel. Communiqué Cnil du 25 septembre 2008 (Mise en ligne Septembre 2008)

Informatique et libertés, Secteur internet

Google prêt à réduire à 9 mois la conservation des données

/

Informatique et libertés Secteur internet Google prêt à réduire à 9 mois la conservation des données de ses utilisateurs Dans son avis du 4 avril 2008 sur les moteurs de recherche, le groupe de l’article 29 qui regroupe les autorités européennes de protection des données préconisait l’effacement au bout de 6 mois des données personnelles enregistrées par les moteurs de recherche. Dans une réponse adressée le 8 septembre aux mêmes autorités européennes, Google annonce qu’il va réduire à 9 mois la conservation des données de ses utilisateurs. A cette occasion, il déclare que les adresses IP associées aux requêtes effectuées sur le moteur seront désormais anonymisées à l’expiration d’un délai de 9 mois (au lieu de 18 actuellement), sans toutefois spécifier les mécanismes d’anonymisation. Par ailleurs, pour informer clairement et sensibiliser les internautes à la protection des données, un lien vers sa politique de confidentialité figurera désormais sur sa page d’accueil. Mais sur le fond, le moteur de recherche n’est pas encore prêt à se soumettre à la législation européenne sur la protection des données. Il considère en effet qu’elle ne lui est pas applicable, alors même qu’il dispose de serveurs et d’établissements en Europe. Les autorités européennes doivent mener prochainement des auditions au cours desquelles elles aborderont les points de discorde avec Google. Le chemin est encore loin avant de pouvoir garantir les droits des internautes et assurer le respect de leur vie privée. A suivre… Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 Communiqué de presse du G29 sur la réponse de Google, 8 septembre 2008 (Mise en ligne Septembre 2008)

Informatique et libertés, Secteur internet

Le traitement des données personnelles par les moteurs de recherche

/

Informatique et libertés Secteur internet Traitement des données personnelles par les moteurs de recherche : quelles sont les limites ? Dans son avis du 4 avril 2008 sur les moteurs de recherche (1), le groupe de l’article 29, qui regroupe les autorités européennes de protection des données, précise que les données à caractère personnel enregistrées par les moteurs de recherche doivent être effacées au plus tard au bout de 6 mois. Ce délai n’est toutefois fondé sur aucun cadre juridique existant dans l’Union européenne et peut sembler bien trop court pour constituer une règle efficace. Actuellement, le statut des moteurs de recherche ne fait l’objet d’aucune disposition spécifique dans la loi sur le commerce électronique (LCEN) (2), pas plus que dans la directive qu’elle a transposée (3). Bien au contraire, il a été prévu la remise d’un rapport sur l’application de la directive qui examinerait la nécessité de présenter des propositions relatives à la responsabilité des fournisseurs de liens hypertextes et de services de moteurs de recherche. En fait, la détermination de la loi applicable aux moteurs de recherche (à défaut de statut) trouve sa source à la fois dans la LCEN et dans la loi informatique et Libertés. La première assimile les moteurs de recherche aux activités de commerce électronique, lesquelles sont soumises à la loi de l’Etat membre sur le territoire duquel la personne qui l’exerce est établie. La seconde, modifiée en août 2004, retient le critère de « l’établissement stable » pour déterminer la loi nationale qui s’impose au responsable de tout traitement de données à caractère personnel (celui qui en détermine les finalités et les moyens). En l’absence d’établissement stable sur le territoire européen, la loi dispose que le responsable d’un tel traitement est néanmoins soumis à la loi nationale lorsqu’il recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire. Or, les moteurs de recherche détiennent de nombreuses données (Fichiers log, adresse IP, cookies, etc.), dont ils assurent la conservation pour des durées indéterminées. Les moteurs de recherche non établis en Europe doivent donc désigner un représentant établi sur chaque territoire national afin de se soumettre aux exigences de la loi locale. (1)Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 (2) Loi du 21/06/2004 (3) Dir. CE n°2000/31 du 08/06/2000 Paru dans la JTIT n°80/2008 p.7 (Mise en ligne Septembre 2008)

Droits des personnes, Informatique et libertés, Informatique et libertés Contentieux

Une amende de 7000 euros pour non-respect du droit d’accès

/

La formation contentieuse de la Cnil a infligé une amende de 7 000 euros à un fournisseur d’accès à internet en raison du non respect du droit d’accès. Ce dernier n’avait répondu que partiellement aux demandes réitérées d’une cliente souhaitant accéder à ses informations personnelles détenues par la société.

Correspondant à la protection des données, Informatique et libertés

Le nouveau logo de la Cnil pour les Cil

/

La Cnil innove en créant un logo qu’elle met à disposition des sociétés ayant désigné un Correspondant Informatique et Libertés (Cil). Ce logo permet aux entreprises d’afficher, sur l’ensemble de leurs supports, leur politique de transparence et de conformité informatique et libertés. Un précieux outil qui peut être utilisé comme facteur de différenciation.

Cnil : organisation et pouvoirs, Informatique et libertés

Désigner un Correspondant Informatique et libertés Monde

/

Informatique et libertés Cnil : Organisation et Pouvoirs Désigner un Correspondant Informatique et libertés « Monde » La loi Informatique et libertés permet, depuis 2004, de désigner au sein d’un groupe international un CIL. La création de cette fonction a principalement pour objectif de faciliter les formalités de mise en œuvre des traitements et de mener une politique mondiale de protection des données au sein du groupe. La désignation d’un CIL apporte aussi au groupe d’autres avantages. Elle lui permet notamment de faciliter les relations avec la CNIL et de créer un dialogue continu avec elle, de mettre en œuvre une approche qualité et de diminuer les risques liés à l’application de la loi. Toute la difficulté consistera, pour le groupe, à trouver, en interne ou en externe, la meilleure personne pour assurer cette fonction. Cette personne doit, en effet, avoir une maîtrise complète de la loi Informatique et libertés et être susceptible de développer des contacts harmonieux et productifs avec la CNIL pour que le groupe puisse développer une véritable stratégie autour de ces questions. Avant de désigner un Correspondant Informatique et libertés au niveau du groupe, il convient d’adopter un code de bonne conduite « Informatique et libertés » qui permettent de définir et de finaliser les lignes directrices du groupe en cette matière. Le CIL aura ensuite pour tâche d’implémenter les règles internes permettant de gérer notamment les flux transfrontières au sein du groupe. Il convient de rappeler que, pour les pays tiers n’ayant pas une protection suffisante, les flux transfrontières ne sont licites que s’ils entrent dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978 modifiée, à défaut de quoi, une autorisation de la Cnil est nécessaire. Elle s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou des règles internes. Le CIL devra mettre en place un plan d’action non seulement pour l’implémentation dans chaque filiale étrangère, des règles internes mais également pour s’assurer du bon respect de ces règles. Pour cela, le CIL devra avoir des relais dans chacune des sociétés du groupe située hors union européenne. Cela passera notamment par des actions de sensibilisation des personnels et des plans de formation, mais également par la mise en place de points de contrôle et d’audit. Décret n°2005-1309 du 20 octobre 2005 Paru dans la JTIT n°77/2008 p.6 (Mise en ligne Juin 2008)

Informatique et libertés, Secteur internet

Marketing électronique – Moteurs de recherche

/

Marketing électronique Moteurs de recherche Attention avant de recourir aux services d’un moteur de recherche ! Le groupe des 27 Cnil européennes a adopté, le 4 avril, à l’unanimité, un avis précisant que les données personnelles enregistrées par les moteurs de recherche, doivent être effacées au plus tard au bout de 6 mois (1). Cet avis présente un ensemble de conclusions et recommandations sur les obligations des moteurs de recherche et les droits des internautes. L’un des points principaux de l’avis concerne la durée de conservation des données personnelles par les moteurs de recherche. Force est de constater que les pratiques actuelles des grands acteurs du secteur font état de durées de conservation bien plus longues (de l’ordre de 13 ou 18 mois). Or contrairement aux fournisseurs d’accès internet ou aux opérateurs de télécommunications, les moteurs de recherche ne sont pas légalement tenus de conserver des informations sur les connexions des utilisateurs. La conservation de l’historique des recherches sert en fait à enrichir le profil des internautes (à des fins notamment de ciblage commercial) et à utiliser les historiques de recherche pour envoyer des publicités ciblées. L’avis rappelle que l’activité de profilage nécessite le consentement des internautes qui doivent, par ailleurs, être clairement informés de l’ensemble de leurs droits (droits d’accès, de rectification et de suppression des données). Les entreprises qui ont recours, gratuitement ou non, aux divers services proposés par les moteurs de recherche sont également concernées par cet avis en tant que responsables des traitements de données. Leur responsabilité est, en effet ,engagée, même si les données font l’objet d’une opération de traitement de la part d’un sous-traitant. Elles doivent, notamment, vérifier si ce dernier présente des garanties suffisantes pour assurer la mise en œuvre de l’obligation de sécurité (2). La violation de l’obligation de sécurité est assortie de sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Pour les personnes morales, la peine d’amende encourue est quintuplée et peut donc aller jusqu’à 1 500 000 euros. Quoiqu’il en soit, un dialogue devra s’engager avec les principaux acteurs du marché (Google, Yahoo, Microsoft et les moteurs nationaux) pour éviter l’explosion de plaintes de la part des internautes. (1) Avis du G29 sur les moteurs de recherches (version anglaise) ; (2) Loi du 6-1-1978 art.35 ; (3) C. pén. art. 226-17. Paru dans la JTIT n°76/2008 p.4

Retour en haut