Données personnelles : mais à quoi sert la CNIL ? diffusion du mardi 6 octobre 2015

Des espions partout

En France, l’un des principaux acteurs de ce secteur inconnu du grand public est une filiale de La Poste, l’une des entreprises préférées des Français. « Cash Investigation » révèle que même votre facteur collecte des informations pour constituer ces bases de données qui seront vendues à n’importe quelle entreprise qui le demande.

L’enquête se poursuit à la caisse de votre supermarché. Car il y a des espions dans votre portefeuille : les cartes de fidélité. Celles qui vous permettent de bénéficier de petites ristournes. Grâce à ces cartes, les grandes enseignes recueillent des milliers d’infos sur votre consommation, et donc sur vous : l’historique de vos achats, la liste de tout ce qui remplit votre Caddie chaque semaine, sur plusieurs années. Un pic d’achat de couches pour nourrissons ? Félicitations ! Votre magasin sait qu’un heureux événement est venu élargir votre famille. Une info qui peut aussi intéresser, par exemple, les vendeurs de berlines qui vous proposent leurs nouveaux modèles avant même que vous pensiez en avoir besoin.

Tout le monde paie pour Apple…

Dans ce monde merveilleux du marketing, une entreprise impose sa loi : Apple. Les journalistes de « Cash Investigation » ont eu accès à un document ultraconfidentiel. Sous peine de rupture de contrat, la firme californienne oblige les opérateurs français à privilégier les iPhones et les produits Apple au détriment des concurrents. Même les pubs à la télé sont payées par les opérateurs. Un diktat qui leur coûte très cher : 10 millions d’euros pour SFR, par exemple. Et à la fin, ce sont tous les abonnés qui paient la facture, même ceux qui ne possèdent pas d’appareil de la marque américaine.

Pour le dernier volet de cette enquête, direction l’Indonésie. Dans les quartiers pauvres de Jakarta, de nombreux enfants souffrent de malnutrition. En cause, le lait en poudre que l’on donne aux nourrissons. Il augmente les risques de maladie par rapport à l’allaitement au sein. Les sages-femmes poussent les jeunes mères à nourrir leur bébé avec du lait maternisé, en particulier celui vendu par une filiale du géant français Danone. Une pratique proscrite par l’Organisation mondiale de la santé, et désormais interdite par la loi indonésienne. « Cash Investigation » révèle comment, en échange de séances de formation, de fournitures professionnelles gratuites ou de cadeaux, les sages-femmes se transforment en ambassadrices de la marque. Le marketing n’a décidément pas de limite.

Consultez la vidéo

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.francetvinfo.fr/internet/cash-investigation-donnees-personnelles-mais-a-quoi-sert-la-cnil_1109973.html

Traitements de données personnelles par les partis politiques : Les règles datent de 2006…

JO N°263 du 14 novembre 2006

La Commission nationale de l’informatique et des libertés,

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques, et notamment son article L.34-5 ;

Vu le code électoral, et notamment ses articles L. 28 et R. 16 ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;

Vu la loi n° 88-227 du 11 mars 1988 modifiée relative à la transparence financière de la vie politique ;

Vu la loi n° 90-55 du 15 janvier 1990 modifiée relative à la limitation des dépenses électorales et à la clarification du financement des activités politiques ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu Mme Isabelle Falque-Pierrotin, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives recourent à des traitements de données à caractère personnel pour gérer leurs fichiers de membres, de sympathisants ou de personnes s’étant mises en relation avec eux, organiser des élections internes ou réaliser des opérations de communication politique. Compte tenu du caractère sensible des données traitées, la Commission estime nécessaire de préciser les modalités selon lesquelles les principes de protection des données à caractère personnel doivent s’appliquer à ces traitements afin de garantir pleinement le respect des droits et libertés des personnes. Tel est l’objet de la présente recommandation, qui abroge et remplace la délibération du 3 décembre 1996.

Rappelle :

Au regard de la loi, les partis ou groupements à caractère politique, élus et candidats sont responsables des traitements qu’ils mettent en œuvre et ce, quand bien même ils feraient appel à des prestataires extérieurs. A ce titre, ils doivent veiller au respect de l’ensemble des dispositions de la loi « informatique et libertés » du 6 janvier 1978 modifiée en août 2004 et, en particulier, celles prévues à l’article 8 qui garantit une protection spécifique au traitement des données relatives aux opinions politiques des personnes.

Recommande :

I. Sur la gestion des fichiers internes mis en œuvre par les élus, candidats, partis ou groupements à caractère politique,

Conformément à l’article 8 de la loi du 6 janvier 1978 modifiée, les partis ou groupements à caractère politique qui mettent en œuvre des traitements relatifs à leurs membres ou aux personnes qui entretiennent avec eux des contacts réguliers dans le cadre de leur activité politique (par exemple, les personnes qui versent des fonds, qui soutiennent de manière régulière l’action du parti ou de l’organisme politique concerné ou qui sont abonnées à une lettre d’information éditée par le parti ou le groupement à caractère politique) n’ont pas à effectuer de déclaration auprès de la CNIL ni à recueillir le consentement des personnes dont les données sont traitées.

En revanche, les traitements mis en œuvre par les élus ou les candidats et les traitements mis en œuvre par les partis ou groupements à caractère politique qui comprennent des données relatives aux personnes s’étant occasionnellement mises en relation avec eux (à l’occasion de l’envoi d’une pétition, d’une demande de documentation ou d’une visite sur un « blog » par exemple) doivent être déclarés à la CNIL. Ces traitements peuvent être déclarés en référence à la norme simplifiée n° 34 adoptée par la Commission.

Lorsque ces traitements sont susceptibles de faire apparaître les opinions politiques, réelles ou supposées, des personnes, la loi impose le recueil de leur consentement écrit. L’ensemble des traitements mis en œuvre par un parti, un groupement à caractère politique, un élu ou un candidat doit respecter les conditions suivantes en manière d’information des personnes,  d’exercice de droits des personnes et de confidentialité des informations traitées.

A. l’information des personnes lors de la collecte de leurs données

Les personnes doivent être informées, au moment de la collecte de leurs données :

de l’identité de celui qui procède à cette collecte : s’agit-il d’un parti politique, d’un comité de soutien extérieur au parti, d’un candidat, d’un groupe de sympathisants ? ;

de la ou des finalité(s) de cette collecte : les données collectées sont-elles utilisées à des fins de gestion de l’adhésion et  des cotisations, pour l’envoi de journaux et autres documents de  communication politique ? Les données collectées sont-elles destinées à être diffusées sur un site web de soutien à un candidat ? etc. ;

du caractère obligatoire ou facultatif de leurs réponses et des conséquences en cas de défaut de réponse ;

des destinataires des informations collectées : les données sont-elles uniquement destinées à la fédération locale, sont-elles transmises au siège du parti ?

des modalités selon lesquelles elles peuvent exercer leur droit d’accès, de rectification et de radiation auprès du service ou de la personne désignée pour répondre à ces demandes.

Ces mentions doivent figurer sur les bulletins d’adhésion et sur l’ensemble des supports (tracts, pages web, etc.) permettant un recueil de données à caractère personnel.  En outre, les sites web peuvent utilement comporter une rubrique « informatique et libertés/ protection des données personnelles » accessible dès la page d’accueil.

B. les droits des personnes dont les données sont traitées

Les personnes doivent pouvoir exercer facilement, et dans des délais rapides, les droits qui leur sont reconnus par la loi. En particulier, le droit :

d’obtenir, en justifiant de leur identité, communication et copie de l’ensemble des informations les concernant, ainsi que celui de se faire communiquer l’origine des ces informations ;

d’exiger que les informations les concernant qui sont inexactes, incomplètes, équivoques ou périmées soient rectifiées, complétées, mises à jour ou effacées ;

de s’opposer, à tout moment, à la conservation par l’élu, le candidat, le parti ou le groupement politique des données à caractère personnel les concernant.

L’exercice de ces droits doit être facilité par la mise en place d’une adresse postale ou d’une adresse de courrier électronique spécifiquement dédiée à cet effet dont l’existence aura été portée clairement à la connaissance des personnes intéressées sur les différents supports de collecte des données. Enfin, les données recueillies ne peuvent être cédées à des tiers, sauf accord écrit des personnes concernées.

C. Les conditions de sécurité, d’accès et de communication des données traitées par les partis ou groupements à caractère politique, les élus ou les candidats

La loi impose une obligation de sécurité qui doit conduire le responsable du traitement à prendre toutes précautions utiles pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. La Commission appelle l’attention des élus, candidats, partis ou groupements à caractère politique sur le respect de cette obligation, en particulier au regard de la nature sensible des données collectées.

Ainsi, la Commission recommande que l’accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. En effet, eux seuls peuvent, dans le cadre de leur fonction au plan national ou local, légitimement y prétendre, aux côtés des personnels administratifs habilités à gérer ces traitements.

Les conditions de ces accès devraient être précisées dans les statuts du parti ou du groupement à caractère politique.

Les accès individuels aux traitements devraient être garantis, par exemple, par l’attribution d’un identifiant et d’un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification.

La transmission, à des fins de communication politique, de la liste des adhérents à un candidat à une élection interne à un parti politique est possible sous réserve que ce dernier s’engage à ne pas en faire un usage autre. En cas d’organisation d’une élection interne par vote électronique, la Commission préconise le respect des dispositions de sa recommandation en date du 1er juillet 2003.

L’utilisation de courriers électroniques aux fins de communication et, de façon générale, du réseau internet pour transmettre des fichiers doit s’accompagner des mesures de sécurité adéquates telles que le masquage des adresses de courriers électroniques utilisées ou encore le recours à des moyens de cryptage lors de la transmission du fichier.

II. Sur l’organisation d’opérations de communication politique,

A. L’utilisation de fichiers constitués par le candidat ou le parti politique lui-même,

Un parti, un groupement à caractère politique, un élu ou un candidat  peut  utiliser, à des fins de communication politique, les fichiers qu’il détient dès lors que les données ont été collectées en conformité avec les principes rappelés ci-dessus et sous réserve de permettre aux personnes démarchées de s’opposer à tout moment à la réception de nouveaux messages et de se faire radier, le cas échéant, du fichier utilisé.

B. L’interdiction d’utiliser les fichiers des administrations ou des collectivités locales,

Les fichiers mis en œuvre dans les administrations et les collectivités locales ne peuvent être utilisés que pour les seules finalités pour lesquelles ils ont été constitués dans le cadre des missions de service public qui leur sont imparties. Toute autre utilisation est susceptible de constituer un détournement de finalité, constitutive d’une infraction pénale. Dès lors, l’utilisation de ces fichiers à des fins de communication politique ne peut être admise. Ainsi, à titre d’exemple, les registres d’état civil, les fichiers de taxes et redevances, les fichiers d’aide sociale, les fichiers de parents d’élèves, les adresses de courrier électronique collectées à partir d’un site web institutionnel et, d’une façon générale, les fichiers d’administrés et d’usagers ne peuvent en aucun cas être utilisés à des fins de communication politique.

C. L’utilisation de la liste électorale,

Aux termes de l’article L. 28 du code électoral, tout électeur, tout candidat et tout parti ou groupement politique peut prendre communication et copie de la liste électorale auprès des communes concernées, à la condition de ne pas en faire un usage commercial. Cette disposition n’interdit pas aux élus, candidats ainsi qu’aux partis et groupements politiques, d’utiliser les informations issues des listes électorales à des fins de recherche de moyens de financement. Il est possible d’opérer, à partir des listes électorales obtenues, des extractions en fonction de l’âge ou du bureau de vote de rattachement des électeurs afin d’effectuer une opération de communication politique ciblée. En revanche, la Commission estime qu’un traitement consistant à opérer des tris sur la base de la consonance du nom des électeurs, sur leur département ou leur lieu de naissance afin de s’adresser à eux en raison de leur appartenance, réelle ou supposée, à telle communauté ethnique ou religieuse, ne constitue pas, au regard des articles 6 et 8 de la loi, une collecte loyale et licite de données. Un tel traitement doit donc être proscrit car comportant un risque de sélection et de discrimination susceptible de porter atteinte aux droits et libertés des personnes. La Commission recommande que tout courrier adressé à un électeur à partir de la liste électorale indique l’origine des informations utilisées pour le lui faire parvenir.

D. L’utilisation des fichiers commerciaux,

Seuls les fichiers loués ou cédés à des fins de prospection commerciale (fichiers de clients ou de prospects) peuvent être utilisés par un candidat, un élu ou un parti politique à des fins de communication politique.

Ainsi, les fichiers de gestion interne (par exemple, les fichiers de gestion et de paie du personnel) ne peuvent être utilisés à des fins de communication politique.

L’élu, le candidat ou le parti ou le groupement à caractère politique est responsable du traitement mis en œuvre dans le cadre d’une opération de prospection politique, quand bien même l’organisation de cette campagne ne le conduit pas à traiter directement les données à caractère personnel des personnes démarchées, c’est-à-dire lorsqu’il fait appel aux services de sociétés extérieures qui gèrent elles-mêmes l’organisation et la réalisation technique de l’opération de prospection.

A ce titre, il doit procéder à la déclaration du traitement à la CNIL et s’assurer, notamment par l’insertion de clauses spécifiques dans le contrat de location du fichier dont l’utilisation est envisagée, que les personnes ont été informées de l’utilisation à des fins de prospection politique de leurs données et des droits qui leur sont ouverts au titre de la loi « informatique et libertés ». Une sélection des personnes à démarcher, notamment sur la base de leur centre d’intérêt (par exemple, la politique), de leur âge ou de leur résidence géographique est possible à la condition qu’elle ne se base pas sur la consonance des noms des personnes ou sur leur lieu de naissance et qu’elle ne fasse pas apparaître, directement ou indirectement, les origines raciales, ou ethniques ou les opinions politiques, réelles ou supposées, des personnes concernées.

La particularité des opérations de prospection politique conduit la Commission à recommander une information particulière des personnes dont les données sont traitées, d’une part, lors de la collecte de leurs données, d’autre part, lors de la réception du message.

1. la nécessité d’une information claire et transparente des personnes lors de la collecte de leurs données

La Commission recommande que les personnes soient averties, lors du recueil de leurs données par le prestataire détenteur du fichier dont l’utilisation est envisagée, de la possible utilisation de leurs données à des fins de prospection politique.

concernant l’organisation d’opérations de prospection par voie postale ou téléphonique,

Les personnes doivent, en outre, être averties de leur droit de s’opposer à cette utilisation et à la transmission à des tiers de leurs données – ici, le parti, le groupement à caractère politique, le candidat ou l’élu – par un moyen simple et immédiat, une case à cocher par exemple.

concernant l’organisation d’opérations de prospection par voie électronique,

La loi pour la confiance dans l’économie numérique du 21 juin 2004 a posé le principe du consentement préalable des personnes concernant la réception de messages de « prospection directe », entendu au sens de commerciale, fournis notamment au moyen de courriers électroniques, mais n’a pas abordé le cas de la prospection politique.

Face au silence de la loi, la Commission estime que ce régime devrait s’appliquer aux opérations de prospection politique opérées par voie électronique et, dès lors, appelle l’attention du Gouvernement sur l’intérêt qui s’attacherait à ce qu’une disposition législative vienne préciser le régime juridique applicable aux opérations de prospection politique opérées par voie électronique.

La Commission estime dès à présent que les opérations de prospection politiques opérées par courrier électronique devraient n’utiliser que des bases de données de personnes ayant exprimé leur consentement à être démarchées, dits fichiers « opt-in ». (exemple de recueil de consentement par une case à cocher : «  Oui, j’accepte de recevoir par e-mail des sollicitations de vos partenaires commerciaux, d’associations ou de groupements à caractère politique »).

Prenant acte du fait que les personnes dont les adresses de courrier électronique sont aujourd’hui contenues dans les fichiers de prospection commerciale n’ont pas été informées de la possible utilisation de leurs données à des fins de prospection politique, la Commission recommande que les gestionnaires de bases de données souhaitant proposer la location de leur base à des fins de prospection politique adressent un courrier électronique à chacune des personnes présentes dans leur base pour les informer que leur adresse électronique est dorénavant susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer.

2. la nécessité de renforcer l’information des personnes lors de la réception d’un message de prospection politique

La Commission préconise que le message envoyé aux personnes sollicitées, quel que soit le support utilisé, précise de façon claire et visible :

l’origine du ou des fichiers utilisés ou du programme de fidélisation auquel elles se seraient inscrites (par exemple : « Vous recevez cet e-mail/ ce courrier parce que vous vous êtes inscrit auprès de ….  Si vous ne souhaitez plus recevoir de messages de sa part, cliquez ici/ écrivez à l’adresse ci-dessous ») ;

le fait que le candidat, l’élu ou le parti à l’origine de la campagne ne dispose pas de l’adresse utilisée mais a eu recours à un prestataire extérieur (par exemple : « Ce message vous a été envoyé par un prestataire pour le compte de notre parti qui n’a pas connaissance de votre adresse ») ;

du droit de s’opposer, à tout moment, à recevoir de tels messages. L’exercice de ce droit doit permettre à l’internaute de ne plus recevoir de message à vocation de prospection politique du fichier à partir duquel ses coordonnées électroniques ont été utilisées.

3. la gestion des radiations exprimées par les personnes

Un parti, un groupement à caractère politique, un élu ou un candidat ne peut traiter lui-même dans un fichier (type « liste rouge ») les données des personnes ne souhaitant plus être démarchées. En effet, la constitution d’un tel fichier pourrait révéler, directement ou indirectement, les opinions politiques des personnes qui y sont inscrites. Il revient donc aux prestataires de gérer le fichier des oppositions exprimées par les personnes, en évitant toute indication susceptible de révéler indirectement les opinions politiques des personnes, à savoir la campagne à l’origine de la demande de désinscription.

4. l’utilisation d’autres moyens de communications électroniques

Au regard du caractère particulièrement intrusif de la prospection opérée par télécopieurs ou par automates d’appel, la Commission recommande que les candidats, élus ou partis et groupements à caractère politique s’abstiennent d’utiliser ces moyens de communication pour effectuer une opération de prospection politique. La Commission relève que le format actuel des messages qui peuvent être envoyés sur les téléphones portables (SMS) ne permet généralement pas de fournir aux personnes démarchées les informations nécessaires dans le cadre d’une opération de prospection politique. En conséquence, elle préconise de ne pas utiliser ce moyen de communication afin de réaliser des opérations de communication politique.

III.   Sur l’organisation d’opérations de parrainage,

Les partis, groupements à caractère politique, élus ou candidats peuvent vouloir organiser des opérations de parrainage leur permettant de s’adresser directement à une personne dont les données leur auront été communiquées par un tiers. Les opérations de parrainage constituant un mode de collecte indirecte de données, la Commission recommande qu’il soit adressé à la personne ainsi parrainée un seul et unique message l’informant de l’identité de la personne lui ayant transmis ses coordonnées (le parrain) et l’invitant à entrer en contact avec le  parti, le groupement à caractère politique, l’élu ou le candidat à l’origine du message et, qu’à défaut, les coordonnées soient effacées à l’issue de cette opération (exemple : « Votre adresse nous a été transmise par M. X. Elle n‘est pas conservée et n’a été utilisée que pour vous faire parvenir ce message vous invitant à rentrer en contact avec nous en nous contactant à l’adresse suivante / par l’intermédiaire de notre site web).

Le président, Alex Türk

Ce que va changer la Loi sur le numérique à propos de la protection des données personnelles

Le tant attendu projet de loi pour la République numérique d’Axelle Lemaire a enfin pris forme. Fruit d’une grande concertation nationale de près d’un an, le projet de loi est désormais soumis à une ultime consultation en ligne jusqu’au 18 octobre. L’occasion pour le JDN de faire le point sur les différents volets de ce projet de loi participatif.

Cette loi est « une loi de progrès du droit », explique le gouvernement. Une loi qui affirme les grands principes nécessaires à la protection des citoyens, en matière de données personnelles notamment, nous promet-on. Ainsi le projet de loi prend-t-il le soin de réaffirmer le fameux secret des correspondances dans un article 22 qui stipule que « tout traitement automatisé d’analyse du contenu de la correspondance en ligne ou des documents joints à celle-ci constitue une atteinte au secret des correspondances, sauf lorsque ce traitement a pour fonction l’affichage, le tri ou l’acheminement de ces correspondances, ou la détection de contenus non sollicités ou malveillants ». Oui, Gmail, Outlook ou Yahoo mail peuvent étudier vos échanges d’emails s’il s’agit de mettre en exergue ceux-qui sont les plus à même de vous intéresser ou, au contraire, de filtrer les spams.

Google ne pourra plus lire vos mails pour des pubs ciblées

« Ces services ne pourront en revanche plus examiner automatiquement le contenu des correspondances privées échangées en leur sein pour des fins commerciales, comme ils pouvaient le faire jusque-là », explique Alan Walter, avocat associé au sein du cabinet Walter Billet. La fin de la publicité ciblée via le scan des mails dans Gmail et consorts ? Les Français pourront en tout cas désormais invoquer l’article 226.1 et suivant du code Pénal pour poursuivre en justice les contrevenants. Mais l’histoire récente montre qu’un tel combat judiciaire ne peut se mener avec succès que s’il est mené à l’échelle européenne. Ne reste plus qu’à espérer qu’il fera effet domino chez nos voisins.

Alors que la quantité des données nous concernant, online, croît de manière exponentielle, la loi veut redonner le contrôle aux individus sur leurs données personnelles. C’est le principe de la « libre disposition de ses données » de l’article 16 qui se veut une alternative à l’absence d’un droit de propriété sur les données. Et dans cette perspective, le projet de loi fait de la Cnil un véritable garde-fou entre l’internaute et les services de traitement de données. Sur le droit à l’oubli des mineurs, celle-ci pourra être saisie en cas d’absence ou d’absence de réponse de la part du responsable de traitement. Elle se prononcera sur la demande dans « un délai de 15 jours », affirme le projet de loi. Un vœu pieux selon Alan Walter qui affirme que « l’institution va vite être dépassée ». Une prédiction que les problèmes rencontrés par Google au moment d’appliquer lui-même le droit à l’oubli (56 jours pour traiter les demandes au début) semble conforter.

Plus de prérogatives pour la Cnil… Mais quid des moyens ?

L’avocat estime qu’il en va de même pour l’article 17 qui propose au président d’assemblée parlementaire de « soumettre à l’avis de la commission une proposition de loi comportant des dispositions relatives à la protection des données à caractère personnel » et l’article 18 qui donne à la Cnil le pouvoir de « certifier la conformité du processus d’anonymisation totale ou partielles de jeux de données à caractère personnel ». « C’est très positif de donner plus de prérogatives à l’institution mais, s’il y a une nette amélioration récemment, on se rend compte que les gens de la Cnil n’ont eux-mêmes pas toujours le temps de répondre à nos sollicitations », explique-t-il. « Et je doute qu’ils soient vraiment outillés pour le faire à un tel rythme et une telle échelle avant quelques années ». D’autant que se profile dans les années à venir une fusion compliquées avec la Cada.

L’article 21 du projet de loi renforce en tout cas la procédure de sanction de la Cnil, qui pourra prononcer « une sanction immédiate lorsque le manquement ne peut pas être réparé. Dans un exercice de pédagogie, le gouvernement donne l’exemple suivant : « la CNIL pourra sanctionner financièrement une entreprise ayant perdu des milliers d’adresses email, ce qui n’est pas possible aujourd’hui (simple mise en demeure) ». Le projet de loi propose également de raccourcir les délais de mise en demeure en cas d’urgence, le ramenant à 24 heures. « On notera quand même que le montant de la sanction pécuniaire ne bouge lui pas », note Alan Walter, un brin taquin. D’un montant maximal de 150 000 euros, et, en cas de récidive, jusqu’à 300 000 euros. Un montant par vraiment dissuassif pour les géants américains.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.journaldunet.com/ebusiness/le-net/1164005-protection-des-donnees-personnelles-loi-sur-le-numerique/

Par Nicolas Jaimes – JDN

Les 10 ans des Correspondants Informatique et Libertés CIL

La convention organisée pour les 10 ans des CIL

A la veille d’un tournant majeur de la réglementation en matière de données personnelles, la CNIL et les CIL ont dressé le bilan des 10 années d’existence de la fonction de CIL. A l’occasion d’un événement organisé le mardi 13 octobre par la CNIL, ils ont échangé sur les bonnes pratiques en matière de conformité et ont envisagé ensemble l’avenir de la profession.

La journée, introduite par la Présidente de la CNIL, Isabelle Falque-Pierrotin, a été ponctuée d’interventions et d’ateliers axés sur la préparation des CIL à un exercice efficace de leurs missions dans un contexte réglementaire renouvelé.

Après la restitution des résultats de l’étude IFOP de juillet 2015 sur la fonction de CIL menée pour la CNIL auprès des correspondants en poste, ont été évoqués les actions, outils, procédures et pratiques contractuelles propres à satisfaire le nouveau principe d’ accountability et, plus particulièrement, l’obligation relative à la sécurité des données personnelles à l’heure du tout connecté.

Enfin, un atelier a été consacré aux techniques de valorisation de la conformité auxquelles peut recourir chaque CIL pour installer et pérenniser une culture « Informatique et Libertés » au sein de son organisme.

L’opportunité a été ainsi offerte aux correspondants de partager leurs retours d’expérience et visions opérationnelles sur des sujets désormais incontournables L’objectif a été donc de prendre collectivement une longueur d’avance sur le règlement européen.

CIL aujourd’hui, délégué à la protection des données demain avec le règlement européen 

10 ans après sa création, le CIL est devenu un métier clé du paysage de la protection des données personnelles. Cette évolution est consacrée par le projet de règlement européen, qui place les futurs « délégués à la protection des données » (Data Privacy Officers ou DPO) au cœur du prochain dispositif de régulation. Ce texte est actuellement en cours de discussion et devrait être finalisé pour la fin de l’année.

Le projet de règlement prévoit : 

• un allègement des formalités préalables à accomplir par les organismes
• un renforcement des droits des personnes concernées,
• une augmentation du montant des sanctions
• la mise en place d’outils et de procédures visant à s’assurer, documenter et ainsi démontrer la prise en compte des principes de protection des données, dans une logique d’engagement responsable (« accountability »).

Dans ce nouveau cadre, la désignation d’un DPO pourrait être rendue obligatoire dans un certain nombre de cas. Son rôle de pilote de la conformité sera consacré au travers d’un renforcement de ses missions et moyens. Il deviendra un véritable « chef d’orchestre » en la matière, chargé :

• de tenir à jour la « documentation Informatique et Libertés »,
• d’informer, de conseiller et de vérifier le respect par l’organisme de ses obligations (en particulier, « privacy by design », études d’impact et notification des violations de données).
• Il sera également le point de contact de l’autorité de régulation, la consultera et coopèrera avec elle si nécessaire.

Qui sont les CIL d’aujourd’hui ?

L’étude IFOP de juillet 2015 menée auprès des CIL sur leur fonction montre que :

53% des CIL font partie du secteur privé et 47% exercent leurs fonctions au sein d’une structure de la sphère publique. La répartition par type d’organisme est la suivante :

• entreprise privée 44%,
• association 9%,
• organisme de sécurité sociale 10%,
• entreprise publique 9%,
• commune 9%,
• établissement de santé 7%,
• Etat 5%,
• EPCI 3%,
• département 2%,
• office HLM 2%,
• région 1%

La quasi-totalité des CIL sont désignés en interne (95%)

Si la plupart des CIL sont issus d’un cursus technique, les profils sont diversifiés :

• 47% sont issus du secteur des TIC/SI,
• 29% occupent ou ont occupé des fonctions juridiques,
• 10% des fonctions administratives
• et 10% des fonctions d’audit ou de conformité.

Les CIL sont principalement rattachés aux instances dirigeantes de leur organismes

• 46% sont rattachés directement au Secrétariat général ou à leur direction générale ou comité exécutif,
• pour 26% ils font partie de la direction informatique
• et 10% de la direction juridique.

Les CIL sont naturellement amenés à collaborer avec de nombreux services qui font appel à leur expertise et à leurs conseils pour la mise en place de traitement de données.

A quoi sert un CIL ? 

Pour permettre aux structures publiques et privées d’exercer leur activité tout en protégeant les données personnelles traitées, il est possible depuis l’adoption du décret n° 2005-1309 du 20 octobre 2005 de désigner un CIL et de disposer ainsi d’un précieux acteur de mise en conformité à la loi Informatique et Libertés.

La désignation d’un CIL témoigne également de la part des organismes d’un attachement aux principes de protection de la vie privée, des droits et libertés, et constitue ainsi un facteur de valorisation de l’image de l’organisme.

Cette désignation présente donc plusieurs bénéfices : 

Un renforcement de la sécurité juridique : la désignation d’un CIL permet d’identifier un référent sur les questions de protection des données personnelles et s’intègre dans les nouvelles pratiques de gouvernance en termes de mise en conformité. Il en découle une réduction des risques de contentieux contractuel, administratif et judiciaire.

Un renforcement de la sécurité informatique : le CIL conseille l’organisme sur les nouvelles manières d’exploiter les données. Il permet d’éviter les erreurs stratégiques lors du lancement de nouveaux services ou produits, et optimiser en conséquence les investissements, la politique d’archivage et d’externalisation, les procédures internes relatives à la sécurité de l’information.

Un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL est de nature à rassurer les personnes extérieures à l’organisme (clients, citoyens, fournisseurs, étudiants, partenaires potentiels, etc.) et le personnel interne sur les garanties prises pour une collecte et un traitement responsable des données.

Un service dédié au sein de la CNIL 

La CNIL propose un accompagnement personnalisé des CIL dès leur désignation, en les préparant à l’exercice de leurs missions et en les guidant dans l’application des textes relatifs à la protection des données :

• réponse rapide aux demandes de conseil juridique,
• ateliers d’information exclusifs et gratuits (en 2014, plus de 1 000 participants ont suivi 34 ateliers),
• outils dédiés (extranet contenant des guides, modèles, réponses-type, référentiels, etc.),
• permanence téléphonique quotidienne.

En 2014, ce sont plus de 2 567 demandes de conseil juridique (+ 17% par rapport à 2013) et 4 808 appels traités par l’équipe du service des CIL, qui concrétise cette volonté forte d’animer et de fédérer le réseau.

Désigner un CIL : une étape vers l’obtention du label « gouvernance » de la CNIL

La désignation d’un CIL fait partie des exigences posées pour obtenir le label CNIL  « gouvernance Informatique et Libertés » qui permet d’indiquer au public que la procédure ou le produit proposé par un organisme corresponde aux exigences de la Commission. Un label de la CNIL est destiné à améliorer la confiance des utilisateurs, en termes de protection de la vie privée, envers des produits et des procédures.

Comme tout professionnel de l’informatique et de l’Internet, il est de mon devoir de vous informer que vous devez mettre en conformité et déclarer à la CNIL tous vos traitement de données à caractère personnel (factures, contacts, emails…).
Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Informatique, conseiller et formateur en entreprises et collectivités et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.cnil.fr/linstitution/actualite/article/article/cil-un-metier-davenir/

Gestion des clients et prospects : quelles formalités à la CNIL ?

• Par une déclaration simplifiée de conformité à la norme n°48, si le fichier correspond aux caractéristiques énoncées dans ce texte;
• Par une déclaration normale si le fichier sort du cadre de cette norme.

A noter : la norme simplifiée n°48 ne s’applique pas aux établissements bancaires ou assimilés, aux entreprises d’assurances, de santé et d’éducation.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit d’abord commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour une mise en conformité CNIL, former un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=DB87C2DC40C5190FF1ABC6E812FA9500?id=541&back=true

Décryptage du Safe Harbor

Le Safe Harbor en deux mots

Europe et États-Unis ont une vision différente de la protection des données personnelles des citoyens. Leurs politiques respectives en la matière sont donc divergentes. L’Europe interdit notamment le transfert des données personnelles vers des pays qui offrent un niveau de protection inférieur au sien (1). Pour ne pas priver les entreprises américaines de cet « or numérique » en provenance de l’Europe, le Département du Commerce des États-Unis (l’équivalent d’un ministère du Commerce) a concocté un cadre juridique qui légalise le transfert de données personnelles : le Safe Harbor, aussi appelé Sphère de sécurité. Les entreprises qui souhaitent en profiter doivent garantir certaines conditions (information des consommateurs sur l’exploitation de leurs données, droit de rectification, sécurité des données, etc.) et obtenir une certification. 4 000 entreprises américaines en sont titulaires, parmi lesquelles Microsoft, Amazon, Google ou encore Facebook.

De quelles données parle-t-on ?

Les données personnelles sont au centre de la plupart des modèles économiques des entreprises du Net. Vos achats, les messages que vous publiez sur les réseaux sociaux, vos habitudes de navigation sur Internet, les mots que vous saisissez dans les moteurs de recherche, ou bien encore les livres et les films que vous achetez en ligne sont autant d’indicateurs qui permettent de définir finement des profils de consommation et de vous envoyer des publicités ciblées, donc efficaces, donc vendues à prix d’or.

Quels sont les fondements de la décision de la CJUE ?

Tout est parti d’une plainte de Maximillian Schrems, un citoyen autrichien, auprès de l’autorité irlandaise de contrôle, l’Office of the Data Protection Commissioner, l’équivalent de notre Cnil (2). Maximillian Schrems utilise Facebook et sait qu’en vertu du Safe Harbor, ses données sont traitées aux États-Unis. Mais les révélations d’Edward Snowden, en 2013, sur la surveillance opérée par la NSA (National Security Agency) prouvent que le pays n’offre pas un niveau de protection suffisant des données. Or le Safe Harbor engage les États-Unis à fournir un niveau de protection au moins équivalent à celui de l’Europe.

La CJUE s’est prononcée sur deux points. D’abord, elle a confirmé qu’une autorité nationale (la Cnil et les autres) a le droit d’enquêter lorsqu’elle est saisie par un citoyen sur le sujet, et ce malgré l’existence du Safe Harbor. Ensuite, elle estime que la Commission européenne a eu tort d’accepter cet accord sans vérifier que les États-Unis n’interdisaient pas les opérations de surveillance généralisée (comme celles de la NSA). Du coup, 15 ans après son entrée en application, la justice suspend le Safe Harbor. Une décision historique.

Cette décision va-t-elle changer quelque chose ?

À court terme, les entreprises du Safe Harbor se retrouvent dans un trou juridique. Elles doivent subitement gérer une situation passée de légale à illégale du jour au lendemain. Les grandes entreprises disposent des armes suffisantes pour poursuivre leurs activités à coup de bras de fer juridiques. Mais quid des entreprises plus modestes ?

À moyen terme, l’Europe réaffirme son attachement à la protection des données personnelles. Cette décision de la CJUE pèsera sans doute dans les discussions sur le projet de Règlement européen sur les données personnelles. Ce texte, actuellement au stade des négociations tripartites entre le Parlement, le Conseil et la Commission, constituera à l’avenir le socle de la politique européenne en matière de protection de la vie privée.

(1) Directive 95/46/CE sur la protection des données personnelles.

(2) Commission nationale de l’informatique et des libertés.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.quechoisir.org/telecom-multimedia/internet/actualite-donnees-personnelles-decryptage-du-safe-harbor

Par Camille Gruhier

Invalidation du « Safe Harbor » : quels sont les changements auxquels on doit s’attendre ?

En quoi consiste Safe Harbor et que dit la Cour de justice de l’Union européenne (CJUE) ?

En Français « sphère de sécurité », le « Safe Harbor » est une décision de la Commission européenne, datant de 2000, qui affirme que le transfert de données personnelles d’Europe vers les Etats-Unis est possible car ce pays présente des garanties suffisantes pour la protection de la vie privée.

Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA. Les adversaires du Safe Harbor, dont Max Schrems, un Autrichien qui a déposé plusieurs plaintes contre Facebook, estimaient que ces révélations montraient que les données personnelles des Européens n’étaient en fait pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans son arrêt rendu mardi, la CJUE estime que le Safe Harbor n’est pas conforme au droit européen, pour plusieurs raisons détaillées sur une trentaine de pages. La Cour a notamment estimé que les recours possibles pour les citoyens européens estimant leurs droits malmenés étaient beaucoup trop faibles. Elle juge également que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens.

Cela veut-il dire que Facebook ne peut plus fonctionner en Europe, ou va devoir stocker les données des citoyens européens en Europe ?

Non : l’arrêt invalide un accord très générique. Facebook peut continuer à fonctionner comme il le faisait jusqu’à aujourd’hui, mais l’entreprise – tout comme Google ou tout autre entreprise qui stocke des données de citoyens européens aux Etats-Unis – ne peut plus s’abriter, en cas de procédure, derrière le fait qu’elle fait partie du Safe Harbor et que ses flux de données entre l’Europe et l’Amérique sont présumés légaux.

Facebook affirme en fait ne pas s’appuyer uniquement sur le Safe Harbor, mais « sur d’autres méthodes recommandées par l’Union européenne pour transférer légalement des données de l’Europe vers les Etats-Unis ».

Il existe en effet d’autres normes de transfert de données, comme par exemple les « clauses contractuelles type »  ou les « règles internes d’entreprise »  (dans le cas de transfert de données entre filiales), le Safe Harbor étant le cadre juridique simplifié et « par défaut ». Certaines entreprises du numérique utilisent déjà ces cadres juridiques alternatifs.

La Commission craint d’ailleurs que la décision de la CJUE ne favorise la multiplication de contrats spécifiques établis entre des entreprises et des pays européens, au détriment d’un cadre générique européen. Frans Timmermans, le vice-président de la Commission, a d’ailleurs annoncé que des « lignes directrices » à destination des autorités de protection des données seraient publiées afin d’éviter un « patchwork avec des décisions nationales ».

Par ailleurs, sans aller jusqu’à ces procédures juridiques, la loi européenne – plus spécifiquement l’article 26 de la directive de 1995 sur la protection des données personnelles – prévoit qu’un transfert vers un pays tiers peut être autorisé dans plusieurs cas. Par exemple, pour assurer la bonne exécution du contrat commercial (dans le cas d’une réservation d’hôtel par exemple, où les coordonnées du client sont nécessaires) ou lorsque intervient le consentement explicite de l’internaute à ce que ses données soient transférées.

Le Safe Harbor va-t-il être renégocié ?

La renégociation de cet accord était déjà en cours avant l’arrêt de la Cour. Malgré l’expiration de plusieurs dates butoirs, les négociateurs ont récemment affirmé qu’ils faisaient des progrès dans les discussions. Mais il sera difficile d’obtenir rapidement un accord qui puisse satisfaire les exigences de la CJUE : cette dernière rappelle dans son arrêt que, pour obtenir un régime de ce type, un pays doit faire la preuve qu’il offre des garanties de protection de la vie privée comparables à celles en vigueur au sein de l’UE.

Cela signifie qu’il faudrait des changements majeurs dans le droit américain pour qu’un nouvel accord ne soit pas, à son tour, invalidé par la Cour.

Que se passe-t-il dans l’immédiat ?

Plus de 4 000 entreprises étaient soumises à l’accord Safe Harbor. Nombre d’entre elles, particulièrement les plus petites, se retrouvent brusquement, au moins jusqu’à l’adoption d’un nouvel accord Safe Harbor, dans un vide juridique.

Les grands acteurs du Web, eux, sont dans l’attente. L’annulation du Safe Harbor semble les avoir pris de court. Dans un communiqué, l’association professionnelle Digital Europe, qui regroupe tous les grands acteurs du secteur (d’Apple à Toshiba en passant par Google, à l’exception de Facebook), « demande de toute urgence à la Commission européenne et au gouvernement américain de conclure leurs négociations pour parvenir à un nouvel accord “Safe Harbor” aussi vite que possible ».

« Nous demandons également à la Commission européenne d’expliquer immédiatement aux entreprises qui fonctionnaient sous le régime du Safe Harbor comment elles doivent opérer pour maintenir leurs activités essentielles durant ce vide juridique », poursuit l’association.

Facebook a, de son côté, estimé également qu’il « fallait impérativement que les gouvernements européens et américain donnent des méthodes légales pour le transfert des données et règlent toutes les questions de sécurité nationale ».

Quelles seront les conséquences plus larges de cette décision ?

Si l’arrêt de la CJUE ne porte que sur le Safe Harbor, il dénonce avec des mots très durs les programmes de surveillance de masse de la NSA américaine, présentés comme incompatibles avec les droits fondamentaux garantis par le droit européen.

Le jugement pourrait aussi influencer deux dossiers européens brûlants dont les négociations arrivent dans leur dernière ligne droite : l’accord « parapluie » sur l’échange de données personnelles pour la coopération policière, entre Europe et Etats-Unis, et le projet de règlement sur les données personnelles.

La commissaire européenne à la justice, Vera Jourova, a indiqué que l’arrêt de la Cour confortait la position de la Commission, notamment sur la nécessité d’avoir « des garde-fous solides » en matière de protection des données.

Washington s’est dit « déçu » par la décision de la justice européenne, estimant qu’elle créait une « incertitude pour les entreprises et les consommateurs à la fois américains et européens et met en péril l’économie numérique transatlantique qui est en plein essor ».

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.lemonde.fr/pixels/article/2015/10/06/safe-harbor-que-change-l-arret-de-la-justice-europeenne-sur-les-donnees-personnelles_4783686_4408996.html

La CNIL entend imposer un droit à l’oubli bien au delà des frontières européennes

La CNIL contre Google. David contre Goliath. A elle seule, l’affiche du duel suscite l’admiration. Il en faut du courage, une noble cause et des convictions bien trempées, pour croiser le fer avec un acteur mondial si puissant.

Le 21 septembre, Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, a confirmé sa décision d’imposer à Google d’effacer, dans le monde entier, les résultats de recherche portant sur le nom d’une personne, lorsque ces résultats ne sont pas jugés nécessaires à l’information du public en France.

D’après le communiqué de la CNIL, cette décision serait la simple conséquence d’un arrêt rendu le 13 mai 2014 par la Cour de Justice de l’Union Européenne (CJUE). La CNIL se bornerait à « demander le plein respect du droit européen par des acteurs non européens offrant leurs services en Europe ». En outre, cette décision ne porterait pas atteinte au droit à l’information du public situé hors d’Europe, puisque les contenus déréférencés sur les moteurs de recherche resteraient toujours accessibles, à condition de les trouver autrement qu’en recherchant le nom d’une personne. Enfin, cette décision serait très strictement encadrée, puisque « placée sous le double contrôle de la CNIL et du juge »… français.

Google entend se conformer strictement à la législation locale

Google, pour sa part, estime devoir se conformer à la législation locale -française et européenne- en respectant les frontières juridiques et territoriales de la loi locale. Le géant américain admettrait de supprimer les résultats de recherche accessibles sur ses services destinés aux internautes européens (« .fr », « .de », « .co.uk », etc), mais pas pour ceux du monde entier.

Tous les arguments de la CNIL sont simples : quand elle demande la désindexation d’une information rapportée par un moteur de recherche et dont se plaint un ressortissant européen, c’est pour le monde entier. Peu importe l’organe de presse ou la liberté d’expression garantie dans le pays diffusant l’information en cause. Peu importe l’endroit du monde depuis lequel un internaute consulterait un moteur de recherche.

On voudrait y croire. Oublier les frontières, exporter nos valeurs, comme au Siècle des Lumières… Mais le faire en 2015, sur Internet, sans un instrument juridique international négocié entre Etats, c’est soit prétentieux, soit voué à l’inefficacité. Ou probablement les deux.

La simplicité ne suffit pas à faire la loi

Le droit européen et français s’impose principalement aux entreprises européennes, ainsi qu’aux entreprises non-européennes qui traitent ou font traiter des données personnelles sur le sol européen. Mais le fait d’offrir des services en Europe n’est pas, à l’heure actuelle, un critère suffisant pour appliquer à un acteur extra-européen nos règles européennes de protection de la vie privée.

On peut en être frustré, mais c’est l’état du droit en vigueur. Cette situation changera probablement dans deux ans, après que l’Union européenne aura adopté un projet de Règlement sur la protection des données personnelles. Ce projet est encore en cours de rédaction et on espère le voir finalisé dans quelques semaines -la fin de l’année 2015.

La CNIL anticipe donc des critères d’application du droit français et européen qui n’existent pas encore. En droit, il s’agit de déterminer si notre loi française « Informatique & Libertés » est une loi dite « de police ». Il s’agit de justifier qu’elle ait des effets contraignants hors de notre territoire national à l’encontre d’un acteur qui ne fabrique pas son moteur de recherches sur le sol européen.

Divergences de jurisprudence

La jurisprudence judiciaire française est divergente sur ce point. Déjà en juin 2011, l’Assemblée nationale, dans son rapport sur les « Droits de l’individu dans la révolution numérique », constatait que « la protection des données personnelles […] n’obéit aujourd’hui à aucun caractère juridique universel et contraignant », soulignant alors la nécessité de réformer le cadre européen adopté en 1995 . Et l’Assemblée de conclure qu’ « il appartient aux pouvoirs publics des États concernés et non aux autorités de contrôle de réfléchir à la nécessité de mettre en œuvre l’adoption d’une convention internationale ».

Le Conseil d’État, pour sa part, dans son rapport d’études pour l’année 2014 , a listé les conditions à réunir : si le futur règlement européen sur la protection des données s’étend aux entreprises établies hors de l’Union européenne au motif qu’elles offrent leurs services en Europe et si les droits en cause sont garantis par la Charte des Droits Fondamentaux de l’Union européenne , on pourra alors qualifier de « lois de police » les règles de protection des données personnelles adoptées par l’Union européenne. Or, ces deux conditions ne sont pas réunies aujourd’hui.

Les autorités européennes elles-mêmes -la CNIL et ses homologues-, ont appelé en novembre 2014, dans une déclaration solennelle , à ce que ces futures règles européennes soient dites « d’ordre public international » – ou « de police » -, car elles devraient avoir des effets partout dans le monde. Mais ces déclarations, qui n’ont aucun caractère normatif, montrent précisément que ce qui « devrait être », n’est pas encore.

Sanctionner avant d’avoir régulé ?

Si Google résiste aux injonctions de la Présidente de la CNIL, cette dernière réunira dans les prochains jours la formation restreinte de la CNIL, qui est seule habilitée à prononcer un avertissement, une amende administrative plafonnée à 150 000 -ou 300 000 euros en cas de récidive-, voire une injonction de cesser le traitement illicite de données. Si la CNIL condamne et si son raisonnement est contesté par Google, ce débat pourra faire l’objet d’un recours devant le Conseil d’Etat, puis rebondir devant la CJUE, conduisant celle-ci à statuer dans quelques années.

Toutefois, la pression juridique exercée sur un acteur privé, fut-il un Léviathan, ne peut pas se substituer à l’absence de règles de droit international ou de traités bilatéraux. Ce débat ne peut donc se limiter longtemps à un rapport de forces entre un régulateur national ou européen et un acteur économique mondial. Car ce rapport de forces serait perdu d’avance par un régulateur impatient. Tout le paradoxe est là : la CNIL pourra prononcer des sanctions, même fortes, cela ne haussera pas le niveau de protection des données personnelles hors de l’Union européenne, tant qu’un accord international entre Etats ne sera pas trouvé.

En initiant un combat homérique deux ans avant d’être confortée par un texte ou contredite par un juge, la Présidente de la CNIL se garantit un feuilleton médiatique à rebondissements. Pour quelle efficacité réglementaire ? A chacun ses objectifs et son agenda.

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.latribune.fr/opinions/tribunes/droit-a-l-oubli-la-cnil-a-la-conquete-du-monde-509984.html

Par Etienne Drouard, avocat au Barreau de Paris

La gestion des comptes personnels de formationencadrés par la CNIL (Commission nationale de l’informatique et des libertés)

Autorisation Unique n° AU-044 – Délibération n° 2015-227 du 9 juillet 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre aux fins de gestion des comptes personnels de formation (AU-44)

Consultez la délibération

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.cnil.fr/documentation/deliberations/deliberation/delib/336/

Les Cnil européennes peuvent-elles condamner un éditeur de site étranger ?

Un site Web, même immatriculé à l’étranger (en l’occurrence dans un autre État membre de l’UE), peut se voir appliquer le droit d’un État membre relatif à la protection des données personnelles, pour peu que l’éditeur de ce site exerce « au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué ». C’est en substance l’arrêt qu’a publié hier la CJUE.

L’affaire opposait un site d’annonces immobilières slovaque et la Cnil hongroise. La société slovaque, refusant de supprimer gratuitement les données personnelles de clients hongrois, avait été condamnée à une amende par la Nemzeti Adatvédelmi és Információszabadság Hatóság (l’équivalent hongrois de notre Cnil). L’éditeur du site a par la suite contesté la compétence territoriale de la NAIH : l’affaire termina devant la Cour suprême de Hongrie, qui a soumis la question à la CJUE.

Compétence territoriale précisée

Laquelle vient de rendre un arrêt on ne peut plus clair sur la compétence territoriale des Cnils européennes. Elle considère que le droit européen « permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé ». Indépendamment de la nationalité des victimes, à la seule condition que « le responsable du traitement des données » exerce une activité dans l’État membre concerné.

En outre, précisent les juges, si l’autorité de contrôle d’un État membre estime que ce n’est pas le droit national qui doit s’appliquer, mais celui d’un autre État membre, « elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire ». Toutefois, elle peut saisir la Cnil du second État membre. Il revient dès lors à la juridiction nationale de déterminer si la société « étrangère » exerce sur son sol, « au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime ».

Evidemment, cet arrêt ne concerne que les éditeurs responsables du traitement de données à caractère personnel établis sur le territoire de l’UE. Mais, considérant qu’un certain nombre de géants du Web disposent de sièges en Europe, la jurisprudence pourrait bien être utilisée contre eux, ce qui suscitera sans aucun doute de nouveaux débats juridiques et, qui sait, une nouvelle jurisprudence.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.linformaticien.com/actualites/id/38047/les-cnil-europeennes-peuvent-elles-condamner-un-editeur-de-site-etranger.aspx

par Guillaume Périssat