Informatique et libertés

Actualités, Informatique et libertés, Secteur public

Un accord UE-USA pour les transferts des données des dossiers de passagers (PNR)

/

Informatique et libertés Secteur transport Un accord UE-USA pour les transferts des données des dossiers de passagers aux autorités américaines (« Passenger Name Records » dit PNR) Le 5 octobre, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers (« Passenger Name Records » dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transfert de telles données. « Passenger Name Records » dit PNR (Mise en ligne Juillet 2007)

Informatique et libertés, Système d'information Ressources humaines

Le vote électronique pour l’élection des IRP au comité d’entreprise

/

Informatique et libertés SI Ressources humaines Précisions sur le vote électronique pour l’élection des IRP au comité d’entreprise Le Journal officiel vient de publier un arrêté (1) pris en application du décret du 25 avril 2007 relatif aux conditions et modalités de vote par voie électronique pour l’élection des délégués et des représentants du personnel au comité d’entreprise et modifiant le code du travail. Deux articles sont créés : l’article R.423-1-2 pour l’élection des délégués du personnel et l’article R.433-2-2 pour celle des représentants du personnel du CE. Ces deux articles précisent les modalités pratiques de mise en œuvre du vote électronique. La LCEN (2) avait déjà ouvert la voie au vote électronique pour les élections des représentants du personnel au sein de l’entreprise. (1) Arrêté du 25 avril 2007, JO, 27 avril 2007 (2) L.2004-575 du 21 juin 2004, art. L.423-13 et L.433-9 C. trav Paru dans la JTIT n°65/2007 p.7 (Mise en ligne Juin 2007)

Cnil : organisation et pouvoirs, Informatique et libertés

Modification du décret du 20 octobre 2005

/

Informatique et libertés Cnil : Organisation et Pouvoirs Modification du décret d’application de la loi Informatique et libertés Le décret du 20 octobre 2005 vient d’être modifié et complété par un ensemble de dispositions. Certaines entrent dans le détail de l’organisation, du fonctionnement et des procédures de la Cnil afin de lui permettre de tenir compte de l’accroissement considérable de son activité résultant des nouveaux régimes de formalités préalables introduits par la loi du 6 août 2004 (délai prolongé, assouplissement de l’organisation interne du travail de la commission…). D’autres dispositions visent à tenir compte de la loi du 23 janvier 2006 contre le terrorisme (restriction des informations appelées à figurer dans les demandes d’avis soumises à la Cnil pour les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique, suppression du droit d’accès indirect à ces fichiers) ou à modifier certaines obligations incombant aux responsables des traitements (adaptation de l’obligation d’information pour les collectes par téléphone, orale et à distance, n’informer du niveau de protection offert par les pays tiers que lorsque la personne concernée le demande…), y compris en ce qui concerne les formalités préalables incombant aux responsables de traitements envisageant un transfert de données à caractère personnel. Enfin, il introduit une disposition spécifique au secteur public permettant à une personne fichée cherchant à exercer son droit d’accès de saisir le juge administratif d’un référé dit de « mesures utiles » en cas de risque de dissimulation ou de disparition de données par l’Etat, une collectivité territoriale, toute autre personne publique. Décret n° 2007-451 du 25 mars 2007 Délibération n° 2006-218 du 28 septembre 2006 (Mise en ligne Mars 2007)

Actualités, Informatique et libertés, Ligne éthique

Etat des lieux et perspectives sur les chartes d’éthique et les systèmes d’alerte professionnelle

/

Informatique et libertés Ligne éthique Etat des lieux et perspectives sur les chartes d’éthique et les systèmes d’alerte professionnelle Le rapport très attendu sur les dispositifs d’alerte professionnelle (« whistleblowing ») vient d’être rendu public. Il avait été commandé l’année dernière par le ministère du travail pour étudier la régularité des chartes et dispositifs d’alerte professionnelle au regard du droit du travail (la CNIL n’étant pas compétente sur cet aspect). Rappelons que ces dispositifs sont issus de loi américaine Sarbannes-Oxley du 30 juillet 2002, qui oblige toutes les entreprises cotées à la bourse de New York à mettre en place des procédures d’alerte permettant aux salariés de dénoncer, sans crainte de représailles, des comportements frauduleux de dirigeants, en ce qui concerne les questions de comptabilité, de contrôles comptables internes ou d’audit. Concernées par cette obligation, des entreprises françaises et les filiales françaises de sociétés américaines cotées sur ces marchés vont donc devoir s’y plier. Le rapport permet de répondre à de nombreuses questions laissées en suspend, en particulier en ce qui concerne le respect du Code du travail. Les conclusions qu’en tirent leurs auteurs et la liste des propositions faites méritent attention. Après avoir analysé le « traitement de la juridicité « sociale » des chartes d’éthique et la « réglementation de l’alerte professionnelle », les auteurs concluent qu’il n’est pas nécessairement urgent de légiférer en la matière. Le rapport a aussi pour ambition de nourrir l’analyse et d’inciter au respect de certaines pratiques, afin d’écarter la discorde et, partant, rendre moins urgente une intervention législative. Les rapporteurs précisent, cependant, qu’il semble nécessaire de s’entendre sur une définition unique de la notion de « dispositif d’alerte professionnelle », de préciser les conditions dans lesquelles il doit être mis en place et ses règles d’organisation et de formaliser une protection de celui qui aurait, de bonne foi, utilisé le système d’alerte. Même si, aujourd’hui, le droit du travail, le droit pénal ou encore le droit boursier, permettent de mettre en œuvre un tel système et que les prérogatives du chef d’entreprise l’autorise, sans aucun doute, à y recourir, il n’en reste pas moins vrai qu’il souffre de sa mauvaise image. Cette dernière ne sera pas compensée par un texte législatif, mais celui-ci permettrait d’éviter que le droit soit construit par la seule jurisprudence. Un droit des systèmes d’alerte professionnelle est sans doute « éthiquement » souhaité. Son contenu porterait assurément sur les différentes propositions avancées par les rapporteurs (caractère obligatoire ou facultatif, anonymat ou confidentialité, etc.), à l’exception, sans doute, du traitement de la responsabilité de son utilisateur. Non pas qu’il ne faille pas le protéger, mais parce qu’en pratique, la mise en œuvre d’un tel système fait intervenir quatre types d’acteurs (utilisateur du système, personne dénoncée, employeur et personne en charge de traiter l’alerte) et que l’on ne saurait traiter la responsabilité de l’un, sans traiter celle des autres. Enfin sur la responsabilité de l’utilisateur, il semble clair qu’à défaut de définir une sanction pénale en cas d’abus, nous aurons le plus grand mal à faire adhérer les salariés à la démarche. Dans bon nombre d’environnements ou un « droit de notification » a été mise en place, celui-ci s’est accompagné d’une pénalisation des « notification abusive », qui a largement fait preuve de son efficacité, par exemple, en matière de signalement de contenus illicites sur internet. Rapport sur les chartes d’éthique (Mise en ligne Janvier 2007)

Actualités, Informatique et libertés, Secteur public

Une norme d’autorisation unique pour le traitement des infractions dans les transports publics

/

Informatique et libertés Secteur transport Une norme d’autorisation unique pour le traitement des infractions dans les transports publics La Cnil a adopté l’autorisation unique n°12, qui permet aux sociétés de transports publics, mettant en œuvre des fichiers de suivi de contravention, de déclarer leur traitement, en conformité à la norme d’autorisation unique. Le traitement ainsi mis en œuvre permet d’assurer le suivi des procès-verbaux émis par les agents habilités à constater les infractions, dans les transports publics de voyageurs. La Cnil exige que les destinataires de ce fichier soient limitativement déterminés. De plus, la conformité à la norme d’autorisation implique de respecter un délai de conservation restreint. Cette nouvelle norme d’autorisation unique, sur un sujet particulièrement sensible qu’est celui des fichiers d’infraction pénale, montre, une nouvelle fois, la volonté de la Cnil de simplifier au maximum les formalités de mise en œuvre de traitement. Cnil, Décision d’autorisation unique n° AU-012 (Mise en ligne Janvier 2007)

Biométrie, Informatique et libertés

Biométrie et sécurité des systèmes d’information

/

La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles (Mise en ligne Janvier 2007) La CNIL adopte trois autorisations uniques relatives aux techniques biométriques (Mise en ligne Avril 2006) 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie (Mise en ligne Mars 2006) Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires (Mise en ligne Janvier 2006)

Informatique et libertés, NIR RNIPP et données sensibles

Autorisation de croisement des fichiers informatiques pour lutter contre la fraude

/

Informatique et libertés NIR et NRIPP Autorisation de croisement des fichiers informatiques pour lutter contre la fraude Le projet de loi de financement de la sécurité sociale pour 2007 comporte toute une série de mesures destinées à lutter contre la fraude et les abus en matière de prestations sociales comme l’autorisation du croisement des fichiers informatiques des administrations et organismes sociaux chargés du remboursement de l’assurance maladie ou du versement des allocations sous conditions de ressources (CMU, RMI, prestations familiales, etc.). Il est créé un répertoire national commun aux organismes chargés de la gestion d’un régime obligatoire de sécurité sociale, aux caisses assurant le service des congés payés et aux aux organismes servant aux salariés des prestations et avantages de toute nature. Ce répertoire sera également accessible aux collectivités territoriales pour les procédures d’attribution d’une forme quelconque d’aide sociale (RMI notamment). Les moyens des organismes de contrôle sont considérablement renforcés par des dispositions permettant de prendre en compte, les éléments de train de vie (comme le patrimoine mobilier ou immobilier) pour le versement des allocations. La saisine du Conseil constitutionnel le 1er décembre 2006 retardera d’autant la promulgation de la loi. Le Conseil constitutionnel doit statuer dans le délai d’un mois sauf en cas d’urgence, ce délai peut être ramené à 8 jours à la demande du Gouvernement. Projet de loi adopté le 30 novembre 2006 (Mise en ligne Novembre 2006)

Actualités, Droits des personnes, Informatique et libertés

Dépôt d’un projet de loi modifiant la convention du 28 janvier 1981

/

Informatique et libertés Périmètre légal Projet de loi modifiant la  » convention mère  » du 28 janvier 1981 Un projet de loi autorisant l’approbation du protocole additionnel à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, a été déposé au Sénat le 24 octobre 2006. Il est destiné à renforcer la mise en oeuvre des principes contenus dans la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et entrée en vigueur le 1er octobre 1985. L’ajout de deux dispositions importantes à la  » convention mère  » a été décidé : imposer l’instauration par les États Parties d’une ou plusieurs autorités de contrôle, renforçant ainsi la protection des droits et libertés de l’individu à l’égard du traitement des données à caractère personnel. encadrer soigneusement les flux transfrontières de données à caractère personnel vers les pays ou organisations n’étant pas Parties à la convention. Projet de loi n°37 du 24 octobre 2006 (Mise en ligne Octobre 2006)

Informatique et libertés, Secteur internet

internet, un outil de démocratie directe

/

Informatique et libertés Secteur internet L’internet, un outil de démocratie «directe» encadré par la Cnil La Cnil applique au domaine politique le principe de l’opt-in posé en matière commerciale par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004. Elle fixe également certains garde-fous à cet outil de démocratie directe qu’est l’internet. Elle vient de mettre à jour les règles qu’elle avait successivement élaborée en 1991 et en 1996, alors que le spamming ne faisait pas encore partie de la panoplie des candidats à une élection. Elle a ainsi établi de nouvelles règles en ce qui concerne la gestion des fichiers internes des élus et partis politiques et l’organisation d’opérations de communication politique et d’opérations de parrainage. La principale nouveauté de cette recommandation concerne l’organisation d’opérations de parrainage, c’est-à-dire d’opérations par lesquelles les partis cherchent à s’adresser « directement » à une personne dont les données leur ont été communiquées par un tiers (collecte indirecte). Dans ce cas, la personne parrainée doit recevoir « un seul et unique message » qui devra préciser l’identité du parrain. Les coordonnées ainsi collectées devront être effacées à l’issue de l’envoi du message. S’agissant des opérations de communication, l’e-mailing politique ne peut concerner que des « personnes ayant exprimé leur consentement à être démarchées », principe de l’« opt-in » posé par la LCEN du 21 juin 2004 en matière de prospection commerciale « directe ». Un parti, un groupement à caractère politique, un élu ou un candidat peut donc utiliser, à des fins de communication politique, les fichiers commerciaux détenus par des tiers (fichiers de clients ou de prospects) ainsi que ceux qu’il détient à la condition toutefois que les personnes soient averties, au moment du recueil de leurs données, de la possibilité d’une telle utilisation et qu’elles ont par ailleurs, la possibilité de notifier leur accord ou leur refus. Cette contrainte pose des difficultés pour les bases de données constituées sur le principe de l’accord du destinataire (opt out). La CNIL recommande alors aux gestionnaires de ces bases de recontacter les personnes concernées en leur adressant un courrier électronique pour les informer que leur adresse électronique est dorénavant « susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer ». Dans son guide pratique intitulé « L’utilisation des fichiers dans le cadre d’activités politiques : obligations légales et préconisations de la Cnil » (téléchargeable sur son site), l’autorité de contrôle ajoute une règle qui ne figure pas dans sa délibération et qui est pourtant lourde de conséquences : « il appartient au parti ou à l’élu de vérifier que les sociétés ont adressé un courrier électronique à chacune des personnes (…) » ! Elle déduit cette obligation du fait qu’au regard de la loi Informatique et libertés, c’est lui qui est responsable du fichier utilisé dans le cadre d’une opération de prospection politique, même s’il a recours à des prestataires techniques, notamment pour l’envoi de messages. Il est le « maître du fichier ». En conséquence, il devra gérer cette obligation au niveau du contrat avec les prestataires. La Cnil prévoit également des limitations dans la gestion des radiations exprimées par les personnes, réservée uniquement « aux sociétés prestataires, afin que les partis ne tirent pas de conclusions des orientations politiques des internautes ». Enfin la Cnil rappelle que si les fichiers utilisés à des fins de communication politique doivent être déclarés, ils peuvent faire l’objet d’une formalité allégée d’engagement de conformité à la nouvelle norme 34 adoptée par la Cnil en même temps que sa recommandation. Délibération n°2006-229 du 5 octobre 2006 portant adoption de la norme simplifiée numéro 34 Délibération n°2006-228 du 5 octobre 2006 portant recommandation (Mise en ligne Octobre 2006)

Actualités, Informatique et libertés, Secteur public

Transferts de données des dossiers de passagers aux autorités américaines : le G29 s’inquiète

/

Informatique et libertés Secteur transport Transferts de données des dossiers de passagers aux autorités américaines : le G29 s’inquiète Un nouvel avis du Groupe de travail sur la protection des données dit « G29 » vient d’être rendu sur le dossier « Passenger Name Records » dit PNR. Ainsi dénommé car établi par l’article 29 de la directive 95/46/CE, le G29 est l’organe consultatif indépendant de l’UE sur la protection des données et de la vie privée. Dans un avis du 27 septembre 2006, le G29 insiste sur l’urgence qu’il y a de conclure un accord transitoire EU-US au 1er octobre 2006, l’accord international en vertu duquel les compagnies aériennes européennes pouvaient transférer de telles données autorités américaines ayant été annulé par un jugement de la Cour de justice européenne (CJCE) du 30 mai 2006. Rappelons qu’à la suite des attentats du 11 septembre 2001, les Etats-Unis ont adopté une législation prévoyant que les compagnies aériennes communiquent au service des douanes et de sécurité américain des informations relatives à leurs passagers sous peine de contrôles renforcés, d’amendes ou d’interdiction du droit d’atterrir. Ces dispositions pouvant entrer en conflit avec la législation communautaire en matière de protection des données personnelles, la Commission européenne avait conclut en mai 2004, un accord avec les États-Unis reconnaissant que les données relatives aux passagers communiquées aux autorités américaines bénéficiaient d’une protection adéquate (décision d’adéquation 2004/496). La Cour de justice européenne ayant annulé cette décision pour défaut de compétence en ce domaine, l’Union européenne et les Etats-Unis doivent négocier une nouvelle base d’accord. Le G29 rappelle ici les conséquences en cas d’échec des négociations dans les délais impartis, à savoir un vide juridique à partir du 1er octobre 2006 conduisant les autorités nationales de protection des données (dont la Cnil) à se saisir de cette question. Avis 9/2006 du 27 septembre du G.29 : Opinion 9/2006 on the Implementation of Directive 2004/82/EC of the Council on the obligation of carriers to communicate advance passenger data, Doc. WP 127, 5 p. (Mise en ligne Septembre 2006)

Actualités, Droits des personnes, Informatique et libertés

La Déclaration de Monaco du 5 septembre 2006

/

Informatique et libertés Coopération et Autorités de régulation Déclaration de Monaco Les autorités indépendantes francophones chargées de la protection des données personnelles se sont réunies le 5 septembre 2006 à Monaco. Dans une déclaration commune, elles ont décidé de créer l’Association des autorités francophones, dont le but est de favoriser le développement et la consolidation du droit de la protection des données à caractère personnel. Déclaration de Monaco du 5 septembre 2006 (Mise en ligne Septembre 2006)

Droits des personnes, Informatique et libertés, Informatique et libertés Contentieux

Des notaires sur liste noire

/

La Ligue européenne de défense des victimes de notaires avait publié, à leur insu, sur son site internet, entre janvier 2003 et juin 2004, une liste de tous les notaires de France pour lesquels la Ligue avait un dossier concernant un client confronté (ou l’ayant été) à des préjudices causés par ces derniers dans l’exercice de leur profession.

Cnil : organisation et pouvoirs, Informatique et libertés

Adoption du nouveau règlement intérieur de la Cnil

/

Informatique et libertés Cnil : Organisation et Pouvoirs Adoption du nouveau règlement intérieur de la CNIL La Cnil a adopté le 23 mai 2006 un nouveau règlement intérieur dans lequel sont apportées des précisions sur le décret du 20 octobre 2005. Il précise, entre autre, la communicabilité des décisions de la Cnil et les règles d’incompatibilité pour les agents amenés à faire des contrôles. Délibération n°2006-147 du 23 mai 2006 (Mise en ligne Mai 2006)

Informatique et libertés, Secteur internet

Suppression du formulaire spécifique de déclaration de sites internet

/

Informatique et libertés Secteur internet Suppression du formulaire spécifique de déclaration de sites internet Le formulaire spécifique de déclaration de sites internet a été supprimé par la Cnil. Les sites internet doivent désormais faire l’objet, selon le cas, d’une déclaration normale complétée par des annexes, d’une déclaration simplifiée en référence à la norme n° 48 relative à la gestion des fichiers de clients et de prospects ou d’une déclaration de conformité à une dispense de déclaration tel que celles qui existent pour les sites personnels ou les sites d’associations. (Mise en ligne Mai 2006)

Cnil : organisation et pouvoirs, Informatique et libertés

La Cnil dispense de déclaration les fichiers de membres et donateurs d’associations

/

Informatique et libertés Formalités préalables hors CIL La Cnil dispense de déclaration les fichiers de membres et donateurs d’associations Jusqu’à présent, les fichiers de membres et donateurs d’associations devaient être déclarés auprès de la Cnil sous une forme simplifiée en référence à la norme 23. le 9 mai 2006, la Cnil a décidé de dispenser de déclaration les fichiers de membres et donateurs d’associations. Les fichiers concernés sont au nombre de quatre. Il s’agit de la tenue de fichier de donateurs, de la diffusion sur internet de l’annuaire des membres de l’association (à la condition que les personnes concernées aient été informées et mises en mesure de s’y opposer), des sites internet des associations et de l’utilisation à des fin de prospection d’un fichier des membres et des donateurs, à l’exclusion d’opérations de prospection politique et à condition que les droits des personnes aient été respectés. Les fichiers de membres et donateurs d’associations qui ne respectent pas le cadre fixé par cette décision de dispense restent soumis à une déclaration préalable auprès de la Cnil. Tel est le cas, par exemple, des fichiers comportant des données relatives aux difficultés sociales et économiques des personnes ou le numéro de sécurité sociale. Délibération n°2006-130 du 9 mai 2006 (Mise en ligne Mai 2006)

Biométrie, Informatique et libertés

L’encadrement des dispositifs biométriques

/

Informatique et libertés Biométrie L’encadrement des dispositifs biométriques Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises. Sont en effet mis en œuvre après autorisation « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie. En ce qui concerne la méthodologie pratique, il suffira d’un simple engagement de conformité, qui peut être effectué en ligne, pour déclarer les traitements répondant aux normes d’autorisations uniques. Le première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail (1). La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires (2). La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (3). Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements peuvent procéder à la déclaration de conformité à l’aide d’un formulaire accessible sur le site de la Cnil. Ces normes d’utilisation unique répondent à une utilisation croissante des dispostifs biométriques. Ces autorisations permettent d’alléger considérablement les lourdeurs administratives liées aux procédures d’autorisation ; cependant, afin de garantir une protection adéquate des libertés individuelles, ces autorisations uniques ne concernent que des traitements biométriques sans dangers, puisque concernant uniquement des dispostifs sans traces. (1)Norme AU-007, Délibération n°2006-101 du 27 avril 2006 (2)Norme AU-009, Délibération n°2006-103 du 27 avril 2006 (3)Norme AU-008, Délibération n°2006-102 du 27 avril 2006 (Mise en ligne Avril 2006)

Articles, Correspondant à la protection des données, Informatique et libertés, Publication

L’entrée en fonction des correspondants Cnil

/

Chloé Torres, interviewée par Xavier Biseul pour 01 Informatique le 10 mars 2006, témoigne de son action en qualité de Cil au sein du cabinet Alain Bensoussan. Si le correspondant à laprotection des données garantit la conformité des pratiques de l’entreprise à la loi Informatique et libertés, contribuant ainsi à accroître la sécurité juridique et à augmenter  » le degré de confiance de l’entreprise vis-à-vis de ses clients et de ses salariés « , il participe également à la diffusion de la culture Informatique et libertés dans l’entreprise.

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux, Proportionnalité

La Cour de cassation définit la collecte déloyale de données

/

Dans le courant de l’année 2002, la Cnil a procédé à une analyse des nombreux courriers électroniques reçus sur son adresse « spam@cnil.fr » dans le cadre de l’opération « boîte à spam » et a dénoncé au Parquet certains dossiers relatifs à des sociétés soupçonnées de collecte illicite.

Informatique et libertés, Secteur internet

La collecte déloyale de données à caractère personnel sur les espaces publics de l’internet

/

Informatique et libertés Secteur internet La collecte déloyale de données à caractère personnel sur les espaces publics de l’internet Aux termes de l’article 6 de la loi Informatique et libertés modifiée en août 2004, « les données sont collectées et traitées de manière loyale et licite ». Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Pour les personnes morales, la peine d’amende encourue est quintuplée, soit 1 500 000 euros, et s’accompagne des peines prévues à l’article 131-38 du Code pénal. Il n’existe pas de définition légale de la collecte déloyale. Le caractère déloyal de la collecte est donc laissé à l’appréciation du juge. La collecte d’informations auprès de tiers, à l’insu des intéressés, constitue une manœuvre déloyale, ces derniers n’ayant pas la possibilité de faire jouer leur droit d’opposition à la collecte. Dans une décision du 14 mars 2006 la Cour de cassation a considéré que la collecte d’adresses électroniques personnelles dans les espaces publics de l’internet constituait une collecte déloyale. La Cour estime déloyal le fait de collecter des adresses sans en avertir les titulaires, en ne les mettant pas en mesure de consentir à cette collecte et de faire valoir leurs droits à ce moment. Cette position de la Cour de cassation contraint toutes les entreprises susceptibles de telles collectes à mettre les personnes concernées en mesure de faire valoir leurs droits sur leurs données, lors de la collecte. La présence d’une donnée à caractère personnel sur un espace public ne signifie pas que cette dernière soit libre d’utilisation. Lors de la collecte, il convient de s’assurer que les données peuvent être utilisées librement. (Mise en ligne Mars 2006)

Informatique et libertés, NIR RNIPP et données sensibles

Refus d’utiliser le NIR par des organismes de recouvrement de créances

/

Informatique et libertés NIR et NRIPP Refus d’utiliser le NIR par des organismes de recouvrement de créances La Cnil fait mention de cinq refus d’autorisation adopté lors de sa séance plénière du 23 février 2006 relatifs à l’utilisation par des organismes de gestion de produits d’épargne, de crédit ou de recouvrement de créances, du numéro d’inscription au répertoire national d’identification des personnes physiques(1). Compte tenu du risque de « tracer les individus dans tous les actes de la vie courante », le législateur a modifié la loi Informatique et libertés en 2004 pour soumettre à l’autorisation de la Cnil les traitements des organismes privés portant sur des données parmi lesquelles figure le NIR(2). La Cnil a donc considéré, concernant le projet de mise en place de tels traitements par des organismes de recouvrement de créances et des établissements de crédit, que la lutte contre la fraude, l’homonymie ou la gestion de la relation commerciale ne justifie pas l’utilisation du NIR et qu’un identifiant spécifique doit être créé par les organismes concernés pour chacune de ces fonctions. (1)Délibération n°2006-043 du 23 février 2006 Délibération n°2006-044 du 23 février 2006 Délibération n°2006-045 du 23 février 2006 Délibération n°2006-046 du 23 février 2006 Délibération n°2006-055 du 23 février 2006 (2)Loi n°78-17 du 6 janvier 1978 modifiée, art. 25 5° (Mise en ligne Février 2006)

Articles, Correspondant à la protection des données, Informatique et libertés, Publication

Le décret du 20 octobre 2005 : l’acte de naissance du Cil

/

Il y a dix-huit mois, la nouvelle loi Informatique et libertés innovait en permettant aux entreprises et organisations de s’affranchir des formalités déclaratives les plus courantes devant la Cnil par la désignation d’un correspondant à la protection des données à caractère personnel (Cil), une innovation qui s’inscrit dans le prolongement de la directive 95/46 du 24 octobre 1995 relative à la protection des données à caractère personnel…

Retour en haut