Informatique et libertés

Biométrie, Informatique et libertés

La Cnil commente la loi antiterrorisme

/

Informatique et libertés Biométrie La Cnil commente la loi « antiterrorisme » La Commission nationale Informatique et libertés publie un échos des séances le 16 février 2006 dans lequel elle revient sur la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. La Cnil constate que certaines de ses propositions ont été prises en compte lors de l’adoption de cette loi mais que d’autres sont restées lettre morte. La loi « antiterroriste » prévoit ainsi la mise en place de nouveaux traitements de données à caractère personnel permettant la vidéosurveillance et la transmission aux services de police de données sur les passagers se rendant dans des pays situés hors de l’Union européenne ou en provenance de ces pays. Elle prévoit également la lecture des plaques minéralogiques et la photographie des occupants des véhicules, l’accès aux données de connexion internet et téléphonie conservées par les opérateurs de communications électroniques et les cybercafé et la consultation par les services antiterroristes de fichiers administratifs détenus par le Ministère de l’intérieur. Sur recommandation de la Cnil, la loi a été amendée et précise les services de police et de gendarmerie qui pourront accéder aux données collectées. Elle limite également dans le temps certains dispositifs de surveillance et prévoit l’élaboration d’un rapport d’évaluation annuel au Parlement. Cependant la Cnil avait exprimé des réserves, non suivies d’effe,t relatives à la prise systématique de photographies des occupants de l’ensemble des véhicules empruntant certains axes de circulation, à la multiplicité des finalités attachées au dispositif de lutte contre le terrorisme et à la constitution d’un fichier central de contrôle des déplacements en provenance ou à destination d’états hors de l’Union européenne La Cnil devrait être de nouveau saisie pour avis lors de l’élaboration des textes d’applications de la loi « antiterrorisme ». Elle devrait donc avoir l’occasion de repréciser les finalités que devrait avoir chacun des traitements de donnés, la nature des données traitées, leurs durées de connexion et la sécurité qui y est attachée. Loi n°2006-64 du 23 janvier 2006 (Mise en ligne Janvier 2006)

Actualités, Informatique et libertés, Ligne éthique

La Cnil simplifie la déclaration des dispositifs de whistleblowing

/

Informatique et libertés Ligne éthique La Cnil simplifie la déclaration des dispositifs de whistleblowing La Cnil fixe les conditions de mise en œuvre des dispositifs d’alertes et de dénonciation «(whistleblowing) au sein des entreprises. La procédure d’autorisation unique n’est ouverte qu’aux dispositifs considérés comme légitimes par la Cnil, c’est-à-dire ceux répondant à une obligation légale d’ordre public économique, national ou international. La Norme précise aussi certaines exigences en terme de proportionnalité et de transparence du dispositif, ainsi qu’en matière de protection des personnes. La mise en conformité avec la norme implique de mettre en place des processus de sécurisation juridique des dispositifs (structures dédiées au traitement des alertes, respect des droits de personnes…). L’adoption par la Cnil d’une norme d’autorisation unique laisse entrevoir la perspective de contrôles a posteriori, susceptibles de mettre en jeu la responsabilité pénale des responsables de traitements. Norme d’autorisation unique n°AU-004 du 8 décembre 2005 (Mise en ligne Décembre 2005)

Cnil : organisation et pouvoirs, Informatique et libertés

Cnil : les blogs sont dispensés de déclaration

/

Informatique et libertés Formalités préalables hors CIL Les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi Le développement considérable des blogs et les risques présentés par ce nouvel outil de communication en termes de protection des données à caractère personnel a conduit la Commission nationale de l’informatique et des libertés à mener une réflexion approfondie sur ce sujet. Ainsi, dans une recommandation du 22 novembre 2005 publiée le 30 janvier 2006, la Cnil a précisé que les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi. Les règles applicables aux blogs et, dans le même temps, a décidé de les dispenser de déclaration à la Cnil. Parallèlement à cette dispense de déclaration, la Cnil a lourdement insisté sur le fait que les règles de la loi de 1978 s’appliquent aux blogs diffusant ou collectant des données à caractère personnel. Ainsi, la diffusion sur les blogs d’informations personnelles n’est possible qu’avec le consentement préalable de la personne concernée, qui pourra ultérieurement s’opposer à toute diffusion d’information la concernant. De la même manière, la Cnil attire l’attention sur le fait que les données dites sensibles ( comme par exemple sur les orientations sexuelles, la religion ou la santé ) ne peuvent être diffusées sur les blogs. La Cnil recommande aux auteurs de blogs diffusant des photographies de personnes de restreindre l’accès à ces images à leur seul entourage, compte tenu des risques de captation d’image. Enfin, la Cnil rappelle que la diffusion d’images de mineurs ne peut s’effectuer qu’avec leur accord et l’autorisation express de leurs parents ou représentant. Concernant la collecte de données à caractère personnel qui peut être réalisée au moyen d’un blog, la Cnil considère que les droits des personnes sur leurs données doivent être respectées par les responsables de blog procédant à de telle collecte. En conséquence, les auteurs de blogs n’ont pas à déclarer leurs sites à la Cnil et leur responsabilité ne pourra être engagée du fait de cette non-déclaration. Cependant, les auteurs de blogs devront être particulièrement vigilants quant au respect de la législation Informatique et libertés dans l’utilisation de leur blog. En effet, la Cnil ayant dispensé les blogs de déclaration, il est très probable qu’elle exerce un contrôle a posteriori particulièrement approfondi sur les blogs. Recommandation CNIL du 22 novembre 2005 (Mise en ligne Novembre 2005)

Informatique et libertés, Secteur public

La Cnil consultée sur la proposition de loi relative à la déclaration domiciliaire

/

Informatique et libertés Secteur collectivité territoriale La Cnil consultée sur la proposition de loi relative à la déclaration domiciliaire La Cnil a été saisie par un député et un sénateur pour rendre un avis sur la proposition de loi relative à la déclaration domiciliaire déposée en termes identiques devant l’Assemblée nationale (n° 2642) et le Sénat (texte n° 25) en 2005. La loi informatique et libertés prévoit une telle obligation pour les projets de lois ou de décrets relatifs « à la protection des personnes à l’égard des traitements automatisés » (art. 11). Mais il n’est pas prévu de consulter préalablement la Cnil en ce qui concerne les propositions de loi qui pourrait avoir un impact en cette matière, comme en l’espèce. Si les parlementaires ont néanmoins tenus à le faire, c’est en raison du retentissement d’un tel projet. Il concerne en effet l’obligation des personnes récemment installées dans une commune de déclarer en mairie leur nouveau domicile comme le font actuellement les ressortissants étrangers. Ces déclarations domicilaires seraient enregistrées dans des registres informatisés tenus par les communes pour « la bonne organisation et l’optimisation du fonctionnement des services communaux ainsi que la prévention des risques ». Nul doute, que la création d’un tel registre domiciliaire doit nécessairement être assortie de garanties quant à la protection des données à caractère personnel, raison pour laquelle la Cnil est consultée.

Informatique et libertés, Système d'information Ressources humaines

Les traitements de gestion du personnel

/

Informatique et libertés SI Ressources humaines Les traitements de gestion du personnel Les traitements de données personnelles effectués dans le cadre des ressources humaines et de gestion du personnel sont des traitement qu’il convient tout particulièrement de surveiller au regard des obligations posées par la loi Informatiques et libertés modifiée en août 2004. En effet, ces traitements revêtent un large périmètre et sont susceptibles de mettre en jeu les principes clés de la loi Informatique. Lors de leur mise en œuvre, il convient de prêter une attention particulière aux conditions de licéité posées par la loi modifiée. A ce titre, la Cnil vient de fournir de nouveaux repères en publiant la norme simplifiée n°46 relative à la gestion des personnels. Cette nouvelle norme facilite les déclarations de traitements là où auparavant il s’avérait nécessaire de réaliser plusieurs déclarations normales. Le recours à la norme simplifiée n°46 implique préalablement de s’assurer que le traitement de données envisagé relève bien du périmètre de la nouvelle norme. Ce périmètre est extrêmement large puisqu’il couvre des finalités de traitements ou fichiers qui vont au-delà de la simple gestion des personnels : mise à disposition des personnels d’outils informatiques, gestion de la messagerie électronique et de l’accès à l’internet/intranet, gestion des autorisations d’accès aux applications et aux réseaux, gestion des carrières et de la formation des personnels, etc. Cependant, sont notamment exclus les traitements permettant un contrôle individuel de l’activités des employés ainsi que les traitements comportant la transmission de données hors Union européenne. Ainsi, les groupes internationaux doivent porter une attention particulière à cette dernière exclusion. La norme n°46 demeure une opportunité de simplification et doit être déployée au cas par cas. Son non-respect pouvant faire encourir un risque pénal, les spécificités de chaque organisme doivent être prises en compte. Délibération 2005-277 du 17 novembre 2005 Délibération 2005-002 du 13 janvier 2005 (Mise en ligne Novembre 2005)

Correspondant à la protection des données, Informatique et libertés

Le correspondant informatique et libertés à l’heure des bilans et des contrôles

/

Le 20 octobre 2005, paraissait le décret d’application de la loi Informatique et libertés autorisant la désignation d’un Correspondant Informatique et Libertés (Cil). Deux ans après, se pose tout particulièrement la question du contrôle a posteriori de la Cnil, qui a vu ses pouvoirs étendus dans ce domaine par la loi du 6 août 2004.

Correspondant à la protection des données, Informatique et libertés

Le dispositif du Cil enfin dévoilé

/

Le décret d’application a été adopté le 20 octobre 2005, achevant ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. S’agissant de la désignation d’un Cil « externe » , il instaure un seuil à l’intérieur duquel un organisme peut uniquement désigner un correspondant interne et au-delà, la possibilité d’optimiser la désignation d’un correspondant.

Informatique et libertés, Secteur marketing direct

Conformité des codes de déontologie relatifs à la prospection commerciale

/

Informatique et libertés Secteur marketing direct Conformité des codes de déontologie relatifs à la prospection commerciale La Cnil a reconnu conforme à la loi informatique et libertés modifiée, deux codes de déontologie présentés par des professionnels du marketing direct relatifs à la prospection électronique. Le premier code concerne le Syndicat National de la Communication Directe (SNCD) et porte sur la communication directe électronique. Le second code concerne l’Union Française du Marketing Direct (UFMD) et porte sur l’utilisation de coordonnées électroniques à des fins prospection directe. Délibération n°2005-051 du 30 mars 2005 Délibération n°2005-047 du 22 mars 2005 (Mise en ligne Mars 2005)

Informatique et libertés, Secteur marketing direct

Le secteur de la prospection B to B bénéficie de dérogations

/

Informatique et libertés Secteur marketing direct Le secteur de la prospection « B to B » bénéficie de dérogations La Commission nationale de l’informatique et des libertés (Cnil) a considéré en mars 2005 que l’opt-in créé par la loi pour de la confiance dans l’économie numérique (LCEN) en matière de publipostage par voie électronique ne s’applique pas à la prospection vers les professionnels. Cette disposition inscrite dans le Code de la consommation et dans celui des postes et communications électroniques peut être lourdement sanctionnée à l’échelle d’une campagne. La loi ne précise pas les notions de « coordonnées d’une personne physique » ou de « biens et services analogues ». Elle ne précise pas d’avantage si la prospection vers les professionnels peut être totalement ou partiellement exclue des ces dispositions. L’opt-in constitue le consentement libre et éclairé de la personne auprès de laquelle ont été collectées les coordonnées. Art. L34-5 du Code des postes et communications électroniques Art. L121-1 du Code de la consommation (Mise en ligne Mars 2005)

Géolocalisation, Informatique et libertés

Guide de la géolocalisation des salariés

/

Informatique et libertés Géolocalisation Guide de la géolocalisation des salariés La Cnil a élaboré un guide pratique concernant les droits et obligations en matière de géolocalisation des salariés dans lequel elle met en garde les entreprises contre les risques d’atteinte à la liberté d’aller et de venir et à la vie privée. Elle précise qu’un tel type de traitement est légitime, sous réserve que l’information des salariés soit correctement effectuée et que les finalités du traitement, ainsi que les conséquences résultant de l’analyse de ces données pour les salariés, soient clairement indiquées à la CNIL. Elle rappelle également que ce type de services doit être apprécié à la lumière du principe de proportionnalité posé par l’article L.120-2 du Code du travail. A ce titre, un arrêt du 26 novembre 2002 de la Chambre sociale de la Cour de Cassation faisant application de cet article a jugé qu’une filature organisée par l’employeur pour contrôler et surveiller l’activité d’un salarié constituait un moyen de preuve illicite, dès lors qu’elle impliquait nécessairement « une atteinte à la vie privée de ce dernier, insusceptible d’être justifiée, eu égard à son caractère disproportionné, par les intérêts légitimes de l’employeur ». La surveillance systématique des déplacements des salariés via la mise en œuvre d’un dispositif GPS/GSM pourrait être assimilée par les juridictions compétentes à une filature électronique. Cnil, Guide de la géolocalisation des salariés (Mise en ligne Mars 2005)

Géolocalisation, Informatique et libertés

Une norme simplifiée couvrant les services de téléphonie fixe et mobile

/

Informatique et libertés Géolocalisation Une norme simplifiée couvrant les services de téléphonie fixe et mobile La Cnil a adopté le 3 février 2005 une nouvelle norme simplifiée n° 47 relative à l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail qui abroge la norme n° 40 sur les autocommutateurs. La norme exclut les traitements permettant l’écoute ou l’enregistrement d’une communication ou la localisation d’un employé. Délibération 2005-019 du 03 février 2005 (Mise en ligne Février 2005)

Informatique et libertés, Secteur internet

La Cnil autorise un système de détection du piratage sur internet

/

Informatique et libertés Secteur internet Peer to peer : la Cnil autorise un système de détection du piratage sur internet La Cnil autorise le Syndicat des éditeurs de logiciels de loisirs (Sell) à mettre en œuvre des traitements automatisés de détection des infractions au Code de la propriété intellectuelle (1). La loi permet en effet aux sociétés de gestion collective de droits d’auteur (comme la SACEM) et aux organismes de défense professionnelle de mettre en place des outils collectant les adresses IP d’utilisateurs se livrant à des actes de contrefaçon (2). Ces adresses sont des données de connexion indirectement nominatives et ne peuvent donc pas identifier les internautes. Seul un rapprochement entre l’adresse IP et l’identité de l’abonné à qui le fournisseur d’accès à l’Internet (FAI) a attribué cette adresse permet une identification. L’obtention des données d’identification des personnes connectées au réseau ne peut s’opérer que sur réquisition du juge (3). Grâce à l’autorisation de la Cnil, le SELL pourra scanner le web à la recherche des clients de réseau p2p, collecter leur adresse IP (ou pseudos de connexion) et leur envoyer des messages sur le caractère illégal de leurs actes et les sanctions encourues. Les adresses IP ne pourront pas être conservées ni utilisées pour dresser un procès-verbal d’infraction. Toutefois, dans les cas limités, caractérisés par la gravité de l’infraction, les adresses IP recueillies permettront à la SELL de saisir la justice afin que les FAI fournissent les identités cachées derrière les adresses IP. (1) Délibération n°2005-005 du 18 janvier 2005 (2) Loi n°78-17 du 6 janvier 1978 modifiée, Article 9 (3)Code des postes et communications électroniques, Article L.32-3 (Mise en ligne Janvier 2005)

Informatique et libertés, Système d'information Ressources humaines

Une norme simplifiée étendue pour la gestion du personnel

/

Informatique et libertés SI Ressources humaines Une norme simplifiée étendue pour la gestion du personnel La Cnil a adopté le 13 janvier 2005 une nouvelle norme simplifiée n° 46 pour la gestion du personnel. La norme comporte des limites en excluant notamment tous les traitements permettant un contrôle de l’activité des employés comme la cybersurveillance. Délibération n°2005-002 du 13 janvier 2005 (Mise en ligne Janvier 2005)

Informatique et libertés, Secteur public

Simplification des formalités des marchés publics

/

Informatique et libertés Secteur public (approche générale) Dématérialisation des marchés publics et simplification des formalités La CNIL envisage de simplifier à bref délai le régime de déclaration des procédures de dématérialisation des marchés publics. Depuis le 1er janvier 2005, les organismes publics sont tenus d’être capables de recevoir les candidatures par voie électronique. Or, ces traitements doivent faire l’objet d’une déclaration. Dans l’immédiat, la CNIL ne prend aucune déclaration des traitements liés à ces procédures à faire. Délibération 2004-098 du 09 décembre 2004 (Mise en ligne Décembre 2004)

Articles, Correspondant à la protection des données, Informatique et libertés, Publication

Le Cil : un maillon important de la réforme

/

L’Allemagne, nation pionnière avec la France en matière de protection de la vie privée, avait mis en oeuvre un tel système permettant de porter au coeur des organismes gestionnaires de grands fichiers la nécessité d’établir un équilibre stable entre le développement des usages nominatifs des données informatisées et le respect de l’intimité binaire….

Actualités, Droits des personnes, Informatique et libertés

La réforme des formalités de déclaration des fichiers nominatifs

/

Informatique et libertés Périmètre légal La réforme des formalités de déclaration des fichiers dits « nominatifs » La nouvelle loi Informatique et libertés modifiée le 6 août 2004 réforme profondément les formalités de déclaration des fichiers dits « nominatifs ». Huit catégories génériques de traitements, considérés comme générateurs de risques pour les droits et libertés, sont désormais soumis à l’autorisation préalable de la CNIL du fait de la nature des données concernées et de leur finalité. Il peut notamment s’agir des traitements de segmentation de la clientèle de type CRM, profiling, scoring, lutte contre la fraude et listes noires, cybersurveillance des salariés, biométrie ou encore de géolocalisation. Les transferts de données hors d’Europe seront dans tous les cas en régime d’autorisation. En parallèle, la loi instaure un régime déclaratif extrêmement simplifiées réservé aux traitements les plus courants. La loi propose aux entreprises de nommer un correspondant à la protection des données à caractère personnel permettant à ces dernières d’être exonérées des obligations déclaratives dès lors qu’elles tiennent un registre interne et garantissent la conformité des traitements à la loi. Cet allégement des formalités trouve sa contrepartie dans l’augmentation des pouvoirs de la CNIL qui pourra infliger aux entreprises des sanctions financières pouvant se situer entre 150 000 et 300 000 € selon la gravité des manquements. Loi n°78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004 (Mise en ligne Août 2004)

Informatique et libertés, Informatique et libertés Contentieux, NIR RNIPP et données sensibles

Condamnation d’une société qui avait collecté des données personnelles sensibles

/

En juin 2004, le Tribunal correctionnel de Nanterre a condamné, sur dénonciation de la Cnil (1), le dirigeant d’une société qui avait adressé un courrier électronique présenté sous la forme d’un sondage politique anonyme pour, en fait, recueillir des adresses électroniques et d’autres données personnelles (2).

Retour en haut