Est-ce que votre site Internet est en règle avec la CNIL ?

Est-ce que votre site Internet est en règle vis à vis de la loi informatique et libertés ?

La loi du 17 mars 2014 relative à la consommation donne à la CNIL la possibilité de procéder à des contrôles en ligne.

Cela veut dire que que non seulement la CNIL peut vérifier contrôler à distance si votre site Internet est en règle et aussi du coup très simplement vérifier si votre organisme est à jour de ses déclarations sans compter qu’elle peut même vous verbaliser à distance.

Depuis le 13 juin 2014, les décrets d’application de la loi Hamon relative à la consommation sont entrés en vigueur dont ceux consacrés aux sites de commerce électronique.

Cela signifie que de nouvelles règles de vente par internet doivent être respectées.

Contacts,
Adresses e-mails,
Statistiques de consultation,
Cookies…
Quasiment tous les professionnels gèrent ce type d’information et la Loi Informatique et Libertés les considère comme étant des données soumises à déclaration auprès la CNIL.

Vous souhaitez vérifier si vous êtes en règle ?
Vous souhaitez vous mettre en règle ?
N’hésitez pas à me consulter

Denis JACOPINI

LORSQUE J’ANIME DES CONFÉRENCES,
CERTAINES REMARQUES SONT RÉGULIÈREMENT FAITES :

Je n’ai pas de site Internet, suis-je concerné?
Réponse : Avec ou sans site Internet, tout professionnel est soumis aux déclaration de la CNIL à partir du moment où il traite des coordonnées telles qu’une adresse e-mail, un numéro de téléphone.

Je ne suis pas la NASA et n’ai rien de très confidentiel à protéger…
Réponse : Chaque personne qui vous confie ne serait-ce que son adresse e-mail ou son numéro de téléphone vous confie une information appelée « données personnelle ». En tant que professionnel, à partir du moment ou vous prenez connaissance de cette information, vous devenez garant de la sécurité, de la confidentialité et du respect de la Loi Informatique et Libertés concernant le traitement de cette information (la consulter, la stocker, la supprimer…).

Comment se fait-il que je n’ai jamais été informé de cette loi et de ses obligations ?

Réponse : Lorsque vous avez créé votre structure professionnelle, vous vous êtes engagés à respecter l’ensemble des réglementations en vigueur. La loi Informatique et Libertés existe depuis 1978. Cependant, devant le flot des lois, décrets et règlements, le chef d’entreprise s’intéresse prioritairement aux lois relatives à son métier, au social et à la fiscalité. Les autres lois ne sont pas toujours connues et on s’y intéresse lorsque quelqu’un qu’on connait s’est fait sanctionner.

Je n’ai pas de salariés suis-je concerné ?
Réponse : Tout professionnel est concerné, avec ou sans salarié…

Je n’ai pas envie de dévoiler mes contacts à la CNIL. Comment faire ?
Réponse : Vous ne communiquez pas vos données à la CNIL mais seulement les caractéristiques relatives à leur traitement, pas le contenu.

J’ai déjà quelqu’un qui s’est occupé de mes déclarations. Suis-je en règle ?
Réponse : Il ne suffit pas de déclarer un traitement de données personnelles pour être en règle.
Encore faut-il que TOUS les traitement soumis à déclaration l’aient été mais ET que ces traitements soient licites et respectent scrupuleusement la Loi Informatique et Libertés du 6 janvier 1978.

Un professionnel s’est occupé de mon site Internet. Suis-je en règle ?
Réponse : Ce n’est pas parce que un site Internet a été réalisé par un professionnel qu’il est forcément en règle. Comme tout professionnel, celui qui vous a fait votre site Internet a un devoir d’information (c’est encore mieux s’il peut vous mettre en relation avec une personne compétente).
En tant que propriétaire vous êtes par défaut le responsable de traitement vis à vis de la CNIL (En d’autres termes, vous êtes la personne pénalement responsable en cas de non respect de la réglementation).
ATTENTION : Si le professionnel  vous a dit qu’il s’occupait de tout, il y a de fortes chances qu’il n’ai rien fait en règle. Pire, s’il vous a simplement fait signer une déclaration, il y a de fortes chances que non seulement il n’ai rien fait en règle, mais en plus que la déclaration soit du coup une fausse déclaration… En effet, déclarer un traitement de données à la CNIL doit répondre à de nombreuses conditions relatives à la Loi Informatique et Libertés et ses 72 articles à ce jour. Ne pas respecter ces conditions et déclarer le contraire s’appelle faire une fausse déclaration… (3 ans d’emprisonnement et 45 000 € d’amende).

Le pompon ? 
Comme depuis le mois de mail 2014 la CNIL peut maintenant faire des contrôles à distance
(http://www.lenetexpert.fr/la-cnil-peut-maintenant-effectuer-des-controles-a-distance) sans se déplacer la CNIL pourra vérifier si la déclaration est conforme à la réalité…

Vous souhaitez vérifier si vous êtes en règle ?
Vous souhaitez vous mettre en règle ?
N’hésitez pas à me consulter

Denis JACOPINI – Le Net Expert

Quels sont les risques à ne pas respecter la loi Informatique et Libertés ?
Depuis 1978, les entreprises sont soumises à des obligations en terme de déclaration de traitements de données personnelles à la CNIL. Ne pas se soumettre à ces obligations, rend pénalement responsable le chef d’entreprise et passible d’une amende jusqu’à 300 000 euros. Une loi et des obligations quasiment systématiquement oubliées.

Pourquoi parle-t-on de la CNIL si souvent aujourd’hui ?
Parce qu’elle tire la sonnette d’alarme devant les changements de nos habitudes et l’évolution de la technologie Fait très important qui s’est passé depuis le début des années 80 : L’informatique s’est répandue dans quasiment tous les domaines sans réellement tenir compte de la sécurité des données. Peu savent que depuis les années 90, Internet qui s’impose à nous utilise un protocole de communication qui à la base ne sont pas sécurisées . Ensuite, nous sommes entrés dans l’ère des objets connectés avec un risque permanent de se faire « pomper » nos données. On ne va plus seulement parler de coordonnées postales téléphoniques ou bancaires, mais aussi de données de santé, d’habitudes alimentaires, de sommeil, de sortie, de loisirs… Que vos joujoux hi-tech connectés, votre smartphone ou votre ordinateur soient perdus ou piratés, les données qu’ils stockent sont librement accessibles… De plus, il ne se passe pas un jour sans qu’un opérateur, une société Web, une entreprise se fasse pirater son système informatique et par la même occasion les données de ses clients. Il y a deux types de cibles : celles qui ont beaucoup de trésorerie à se faire voler, et les millions de malchanceux qui dont le manque de sécurité a été automatiquement détecté qui vont être la proie de cybercriminels. Pour vous donner une idée, 144 milliards d’emails sont échangés chaque jour et 68,8% d’entre eux sont des spams et nombreux cachent des réseaux cybercriminels. 400 Millions de personnes sont concernées par des cyberattaques chaque année. Vous comprenez maintenant pourquoi il devient urgent de canaliser tous ces usages et déjà les premier débordements avant que ça continue à s’aggraver.

Est-ce risqué de ne pas respecter la Loi Informatique t Libertés
Même si en référence la loi du 29 mars 2011 relative au défenseur des droits, la CNIL peut rendre publiques les sanctions pécuniaires qu’elle prononce, il n’y a jusqu’à maintenant eut que très peu de sanctions prononcées. En 2013, 414 contrôles ont aboutit à 14 sanctions.

On eut en avoir  liste sur http://www.cnil.fr/linstitution/missions/sanctionner/les-sanctions-prononcees-par-la-cnil/

Cependant, le niveau de risque devrait exploser en 2015 ou du moins, dès la mise en application du règlement européen relatif aux traitements de données à caractère personnel. Selon les infractions, le montant des sanctions peut aujourd’hui s’élever jusqu’à 300 000 euros. Cenpendant, compte tenu de leur chiffre d’affaire démesuré, certaines entreprises peuvent continuer à sourire avec de telles amendes (par exemple google et ses 60 milliards de chiffre d’affaire, ou Facebook, Appel, Orange…) .

Devant ces situations, la Commission Européenne décidé de frapper un grand coup avec un règlement européen et au travers de deux principales actions répressives :

1) Augmenter plafond des amendes jusqu’à 5% du chiffre d’affaire ( ça pourrait donner 3 milliards de dollars d’amende maximale par infractions pour google)

2) Rendre Obligatoire pour toute entreprise, de déclarer sous 24h à la CNIL le moindre incident de sécurité (virus, perte données, perte ou  vol de matériel, piratage…), laquelle pourra vous obliger d’informer tous vos clients que la sécurité de leurs donées personnelles a été compromise. Cette obligation existe déjà depuis juin 2013 mais seulement pour les OIV (Opérateurs d’importance Vitale).
Souvenez-vous l’affaire du piratage d’Orange en janvier et avril 2014 et les articles de presse peux valorisants pour la marque et inquiétant pour ses clients. Le règlement européen prévoir d’obliger toutes les entreprises d’informer l’ensemble des propriétaires dont la sécurité a été compromise suite à un piratage, une perte ou à un vol de données personnelles ou de matériel contenant des données personnelles. Ainsi, on ne parle plus d’un risque financier, mais d’un risque de mauvaise réputation des entreprises face à leurs clients et concurrents…

Concrètement, que faut-il faire pour de mettre en conformité avec la CNIL ?
L’aritcle premier de la Loi définit que l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

L’article 2 précise que la loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Enfin l’article 22 indique que les traitements de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL

En d’autres termes, pour se mettre en conformité, il faut déclarer à la CNIL l’ensemble des traitements de données qui concernent des informations permettant d’identifier des personnes.

Je tiens à préciser qu’on ne déclare pas ou on ne donne pas à la CNIL ses données, on ne déclare que des traitements de données à caractères personnel.

Lien vers le Loi Informatique et Libertés http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

Mon conseil en 4 étapes pour se mettre en conformité avec la CNIL
1) Auditer  l’ensemble des traitements de données permettant d’identifier des personnes.

2) Procéder à l’analyse détaillée de ses traitements et corriger les actions qui ne sont pas conformes à la Loi Informatique et Libertés en terme de sécurité des fichiers, de confidentialité des données, de durée de conservation des documents, d’information des personnes, de demande d’autorisation et de finalité des traitements.

3) Déclarer le traitement à la CNIL ou désigner un Correspondant Informatique et Libetés  qui sera chargé de tenir à jour un registre des traitements sans avoir à les déclaréer séparément.

4) Faire un à deux points par an pour reporter dans le registre les changements sur les traitements existants et les y ajouter les nouveaux.

En cas d’impossibilité d’adapter votre traitement de données personnelles par rapport à la loi Informatique et Libertés, une demande d’avis ou d’autorisation doit être formulée à la CNIL.

Bien évidemment, la réponse de la CNIL doit être attendue avant d’utiliser le traitement concerné.

Une fois ces étapes de « mise sur rails » accomplie, la personne qui aura en charge la fonction de correspondant dans votre entreprise aura obligation de tenir un registre des traitements mis en œuvre au sein de l’organisme (consultable par la CNIL ou tout demandeur sur simple demande) et de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme.

Des difficultés pour vous mettre en conformité ?
Pour vous mettre en conformité avec la CNIL, il vaut mieux être sensibilisé à la loi Informatique et Libertés et aux règles et obligations qui en découlent (obligation d’information, droit d’accès, traitement des réclamations…).

Pour que votre mise en règle se fasse dans de bonnes conditions, nous pouvons nous charger de former et de suivre une personne de votre entreprise qui jouera le rôle de CIL (Correspondant Informatique et Libertés) ou bien, si vous le préférez, pour encore plus de tranquillité, Denis JACOPINI, expert Informatique spécialisé en protection des données personnelles, peut se charger d’être votre CIL externe en se chargeant de prendre en charge l’ensemble des formalités.

Plus de détails sur la CNIL
La CNIL est une AAI (Autorité Administrative Indépendante). C’est une structure gérée par l ‘état qui ne dépent d’aucun ministère et qui peut dresser des procès verbaux et sanctionner sans même à avoir à passer par un juge. La CNIL dépend directement du premier ministre qui peut en dernier recours, directement prendre des mesures pour mettre fin aux manquements.

Quelques chiffres

Autres articles sur la protection des données personnelles et la CNIL :

http://www.lenetexpert.fr/category/protection-des-donnees-personnelles/

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source :  Densi JACOPINI et http://www.cnil.fr

Information importante pour votre site Internet. Les grands changements de 2014

Ainsi, 21% des sites professionnels affichent leurs mentions légales, 5% informent les internautes sur l’usage de leurs données personnelles et moins de 40% affichent des conditions générales de vente.

Si le taux de sites professionnels proposant une e-boutique (avec ou sans e-paiement) est de 15 à 20% selon les pays en général, ce taux n’est que de 8% en France. Ces sites e-commerce sont 60% à afficher des conditions générales de vente, soit un peu mieux que la moyenne de tous les sites mais cela implique que 40% des e-boutiques n’affichent pas leurs conditions commerciales !

Les taux d’information sur l’usage des données personnelles (moins de 10%) et de publication des mentions légales (33%) sont certes meilleures que l’ensemble des sites mais restent très en deçà de ce qu’il faudrait puisque ces mentions sont obligatoires. Même si près de 40% des sites e-commerce ne sont plus vraiment actifs, faute d’une mise à jour depuis 18 mois, ces chiffres restent affolants.

Côté réseaux sociaux, la présence des sites web professionnels reste marginale. Moins d’un quart sont liés à une page Facebook. Le nombre moyen de suiveurs est de 74 (!) avec une information postée par trimestre. Et seulement 0,04% des comptes Facebook professionnels peuvent être considérés comme actifs.

Est-ce que le site Internet de votre entreprise est en règle ?

• Votre site Internet collecte certainement des informations utiles pour établir des statistiques de consultation.
• Il génère probablement automatiquement un ou plusieurs cookies…
• Votre site Internet permet très probablement à des personnes de vous contacter (formulaire de contact ou simple lien de contact par e-mail.
• Les informations collectées vont probablement être ensuite utilisées sur un ordinateur ou tout un système informatique…

La collecte et le traitement de ces données sont sous le coup de la Loi Informatique et Libertés et le traitement des données qu’ils collectent sont soumis à déclaration auprès de la CNIL.

Vous souhaitez vous mettre en règle mais ne savez pas par quoi commencer ?

Posez vos questions à Denis JACOPINI

Quels sont les grands changements survenus en 2014 ?

Le 13 juin 2014 est rentré en vigueur la loi Hamon, destinée avant tout à renforcer la protection des consommateurs sur la vente sur internet. La contre-partie, pour le e-commerçant : un ensemble de nouvelles règles à respecter et de changements à appliquer dans leur site Internet.
Lien vers notre article du 26 mars dernier…

A partir du mois d’octobre, soit 11 mois après la publication de sa recommandation relative aux cookies et autres traceurs, la CNIL va contrôler le respect de la loi sur ces aspects. Elle sera, pour cela, amenée à utiliser ses pouvoirs de vérifications sur place ainsi que ses nouveaux pouvoirs de contrôle en ligne.
Lien vers notre article du 18 août dernier…

La loi du 17 mars 2014 relative à la consommation donne à la CNIL la possibilité de procéder à des contrôles à distance, en ligne…

Lien vers notre article du 24 mars dernier…

Et pour 2015 ?

Le projet de règlement européen relatif à la protection des données à caractère personnel prévoit plusieurs renforcements des contrôles et des sanctions.

Nouveaux moyens de pression, montant maximum des amendes quasiment démesuré… les entreprises ne devront pas prendre à la légère les conséquences que ce projet de règlement européen aura sur leur activité commerciale et économique.

Une fois le règlement européen validé avec une mise en application immédiate, les entreprises qui n’auront pas anticipé leur mise en conformité risquent de rapidement faire les frais de leur laxisme vis à vis de la protection des données personnelles pourtant dictés depuis 1978 par la Loi Informatique et Libertés…

Vous souhaitez vous mettre en règle mais ne savez pas par quoi commencer ?

Posez vos questions à Denis JACOPINI

Le plus risqué pourrait bien venir de là ou on ne l’attend pas

« Payer son amende et on oublie » ne suffira plus.
Vu que les entreprise auront obligation de déclarer sous 24h à l’autorité compétente de leur pays (en France la CNIL) toute faille de sécurité, perte, vol de matériel ou toute attaque virale, malveillance… ayant ne serait-ce que seulement risqué de compromettre la sécurité d’accès à des données de clients, contacts… il auront très probablement aussi l’obligation d’informer leurs client, contacts et du coup aussi leur concurrents qu’ils ont été victime d’une faille de sécurité…
Pas bon pour la réputation ça !

Sources : 
http://www.lemondeinformatique.fr/actualites/lire-les-entreprises-francaises-negligent-leurs-sites-web-58757.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter

Bertrand Lemaire

Denis JACOPINI

Google « discrédite » le droit à l’oubli, selon la Cnil

Si Google a l’obligation, suite à une décision de justice européenne, d’appliquer le droit à l’oubli pour les internautes qui en font la demande, ses méthodes ne font pas l’unanimité. Le moteur a d’ailleurs été récemment condamné par le Tribunal de Grande Instance de Paris à retirer les contenus diffamatoires de ses résultats de recherche.

Google fera probablement appel de cette décision, la question de la portée des déréférencements étant un sujet de débat entre l’entreprise et les différentes Cnil européennes.

La Cnil française justement juge assez sévèrement l’attitude de Google en la matière. Dans un entretien au Figaro, Isabelle Falque-Pierrotin, présidente de la Commission nationale informatique et libertés explique : « Les demandes d’effacement sont prévues par la loi depuis longtemps et sont appliquées par les possesseurs de sites. Google n’était pas considéré comme responsable du traitement de données personnelles ».

Replacer la Cnil au coeur du dispositif
Et d’asséner : « Il y a beaucoup d’habileté et de malice de la part de Google pour entretenir la confusion et discréditer ce droit à l’oubli. Il faut se positionner dans ce débat sans ouvrir le front des menaces de censure. Le droit au déréférencement est complexe. Il faut trouver un équilibre, avec finesse ».

Rappelons que jeudi 25 septembre 2014, s’est tenu à Paris une réunion organisée par Google sur cette question. La Cnil y a assisté en tant qu' »observateur ».

La Commission rappelle d’ailleurs qu »en cas de refus de Google, les Français peuvent saisir la Cnil d’une plainte, en décrivant leur demande et la réponse qu’il ont obtenue. Nous avons reçu une soixantaine de plaintes, que nous allons examiner, avant d’ordonner ou non à Google de retirer ces liens. Nous avons toutefois demandé à ces personnes de patienter, car nous souhaitons nous coordonner avec les autres autorités européennes, pour définir des règles communes ».

Replacer la Cnil au centre de l’exercice du droit à l’oubli est aussi une volonté du gouvernement. Interrogée par ZDNet.fr, Axelle Lemaire, secrétaire d’Etat au Numérique souligne : « Le rôle de la CNIL doit être redéfini, le modèle proposé par Google ne me convient pas ».

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/google-discredite-le-droit-a-l-oubli-selon-la-cnil-39806871.htm

Données personnelles : la Cnil épingle l’opacité des applis mobiles

La collecte de données personnelles par les applis mobiles téléchargées ne donne pas lieu à beaucoup d’informations de la part de leurs éditeurs. C’est le constat issu d’une démarche initiée, en mai 2014, par la Cnil et 26 de ses homologues dans le monde. Celles-ci ont mené un audit en ligne simultané de plus de 1 200 applications mobiles gratuites et payantes.

Leurs vérifications ont porté sur le type de données collectées par les applications, le niveau d’information des utilisateurs et la qualité des explications données par l’application concernant le motif de la collecte de ces données.

Pour la France, la Cnil a examiné 121 applications parmi les plus populaires pour les trois principaux systèmes d’exploitation mobiles (iOS, Android, Windows Phone). Ses conclusions ne diffèrent pas du constat général effectué à l’échelon mondial.

La CNIL a passé au crible 121 applications mobiles les plus populaires en France

Ainsi, 15% des applications examinées ne fournissent aucune information sur le traitement des données collectées. Et même lorsqu’une information est fournie sur la politique de collecte, près de la moitié des applications concernées ne la rendent pas facilement accessible.

La Cnil déplore qu’on impose à l’utilisateur une recherche active sur le site internet de l’éditeur ou dans les différents onglets de l’application : « Il a ainsi été constaté que les mentions d’information de certaines applications à destination d’utilisateurs français ne sont disponibles qu’en anglais. »

Fort des de constat, la Commission recommande aux utilisateurs d’être à la fois curieux, vigilants et exigeants. « Il existe un large choix d’applications offrant des services similaires, détournez vous de celles qui en demandent le plus et en disent le moins ! » conclut-elle.

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.01net.com/editorial/626952/donnees-personnelles-la-cnil-epingle-lopacite-des-applis-mobiles/#?xtor=EPR-1-NL-01net-Actus-20140917

Frédéric Bergé 01net.le 16/09/14 à 19h50

Droit à l’oubli : des directives édictées par le G29 en préparation

Si la loi issue de l’arrêt rendu en mai par la CJUE ne fait plus débat, son application reste encore problématique. Dans les faits, cet arrêt met en place un droit à l’oubli, garantissant aux citoyens des moyens de recours afin de faire déréférencer des informations les concernant et qu’ils ne jugent plus valides ou discriminantes.

Mais si tout le monde s’accorde plus ou moins sur cette décision, la mise en place effective de ce droit fait débat. Google a ainsi rapidement proposé un formulaire afin de transmettre les demandes de déréférencement relatives au droit à l’oubli mais la Cnil voit d’un mauvais œil cette approche unilatérale, qui laisse à Google le soin d’interpréter à sa guise l’arrêt de la CJUE et de s’imposer comme intermédiaire unique.

Axelle Lemaire, secrétaire d’Etat au Numérique, expliquait d’ailleurs à ZDNet.fr que ce modèle « ne lui convenait pas » tout en plaidant pour une redéfinition du rôle de la Cnil.

Une réunion des différentes Cnil européenne avait lieu mercredi et jeudi. A cette occasion, les participants ont annoncé la préparation de directives afin de statuer sur les cas litigieux. Rien de définitif pour le moment, le projet est encore à l’étape de l’élaboration, mais le G29 promet qu’un document complet sera présenté pour le mois de novembre.

Dura lex, sed lex
L’objet de ces directives sera de donner une « boite à outils » pour jauger les cas jugés complexes, c’est-à-dire les cas refusés par Google. Pour l’instant en effet, Google est seul à juger de la validité des demandes de déréférencement qui lui sont adressées. Ces outils se présenteront sous deux formes : d’une part une classification des cas en différentes catégories et d’autre part une compilation des différents arbitrages rendues par les autorités nationales, afin de donner des références pour l’application des jugements futurs.

Au total, 90 réclamations ont été déposées auprès des différentes autorités nationales suite à un refus de déréférencement de la part de Google, dont une vingtaine en France. Google avait annoncé en juillet avoir reçu plus de 90.000 demandes de déréférencement mais ce chiffre progresse et Reuters rapporte que Google aurait déjà traité plus de 120.000 demandes.Nous avons contacté les porte-paroles de Google France à propos de ces chiffres mais nous n’avons pas encore reçu de réponse de leurs part.

Les membres du G29 ont également rencontré différents éditeurs de presse, inquiets des conséquences du déréférencement de leurs articles vis-à-vis du droit à l’information. Outre l’opposition entre Google et les différentes autorités européennes autour de l’application de ce nouveau droit, le débat reste ouvert afin de trouver le « bon équilibre » entre protection des données personnelles et droit légitime à l’information pour le grand public.

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/droit-a-l-oubli-des-directives-edictees-par-le-g29-en-preparation-39806625.htm

Par Louis Adam | Vendredi 19 Septembre 2014

Google aux commandes du droit à l’oubli

Par Laurence NEUER

Rien ne prédestinait le premier moteur de recherche du monde à se mêler des contenus qu’il référence. Et pourtant, depuis le 30 mai, Google propose aux citoyens et résidents européens un formulaire gratuit pour faire valoir leur droit à l’oubli numérique. Et ils étaient déjà après une journée plus de 12 000 à l’avoir rempli et posté !

Formulaire accessible en trois clics
Cette initiative lui a été soufflée par la Cour de justice de l’Union européenne (CJUE) qui, dans une décision du 13 mai 2014, offrait aux internautes la possibilité de s’adresser directement au moteur de recherche pour demander le retrait de certains contenus. Jusqu’à présent, le déréférencement de pages web était ordonné en justice sur le fondement du droit à la vie privée ou des données personnelles. « Le moteur de recherche n’avait pas à arbitrer, le juge remplissait son office », rappelle l’avocat Jean-Sébastien Mariez.

La réactivité quasi immédiate du géant américain peut d’autant plus être saluée que Google est ici aux antipodes de son métier de base. « C’est l’exact opposé de la philosophie sur laquelle le moteur de recherche est construit. C’est comme si vous demandiez à un cuisinier trois étoiles qui concocte des menus pour vingt-cinq couverts de préparer des repas à bas prix pour toute une cantine scolaire, relève Étienne Wéry, avocat aux barreaux de Bruxelles et de Paris. Google aurait pu attendre encore quelques mois, car la Cour n’a fait qu’interpréter le droit européen et a laissé au juge espagnol qui l’a saisie le soin d’en tirer les conséquences dans le cas d’espèce concerné. En théorie, donc, Google pourrait sortir gagnant du procès », note l’avocat.

Mais au lieu de la politique de l’autruche, le géant américain a décidé de prendre les devants. Son formulaire, accessible en trois clics et en français, est très simple d’utilisation. Il suffit de se rendre sur la page d’accueil de Google.fr, de cliquer sur « Confidentialité et conditions d’utilisation » (en bas à droite), puis sur FAQ, et de choisir la troisième question : « Comment puis-je supprimer mes données personnelles des résultats de recherche Google ? »

Mais, attention, prévient Google en amont de la procédure, « supprimer des résultats de la recherche Google n’entraînera pas la suppression des contenus correspondants. Pour que des données n’apparaissent plus sur le Web, vous devez contacter le webmaster du site publiant les informations en question. » Autrement dit, la désindexation d’un contenu n’entraînera pas la disparition de celui-ci des écrans radars du Web. Ainsi, l’internaute qui souhaite voir supprimer son profil sur un réseau social doit contacter directement le webmestre de ce dernier. De Google, il ne pourra obtenir le cas échéant que la suppression du lien vers le site ou vers des pages associées.

Par ailleurs, pour éviter les fraudes, le moteur de recherche exige des requérants la photocopie d’un document prouvant leur identité (carte d’identité, passeport, etc.). Rien de surprenant, selon Me Wery, « le droit d’accès et de rectification des données personnelles étant lui aussi subordonné à la preuve de l’identité de l’intéressé ».

Du « cas par cas »
Reste à convaincre le moteur de recherche du bien-fondé de sa demande. Concrètement, l’internaute doit indiquer « en quoi le lien apparaissant dans les résultats de recherche est non pertinent, obsolète ou inapproprié » conformément aux critères fixés par la CJUE. « L’exercice est d’autant plus délicat que les demandes de déréférencement pourront concerner des contenus qui en soi ne sont pas illicites (photo de vacances postée par un tiers, post sur un blog ou curriculum vitae périmé) et dont le retrait suppose la disparition d’une page web complète (et pas seulement du commentaire faisant référence à la personne concernée ou de l’encart précis) », souligne Me Mariez.

Dans son évaluation, Google devra prendre en compte l’intérêt du public à connaître l’information, en fonction notamment du « rôle joué par le requérant dans la vie publique ». Le moteur de recherche doit notamment veiller à préserver l’équilibre entre le droit individuel à la vie privée et à la protection des données personnelles et le droit à l’information du public, lui aussi protégé par les textes. Autant dire que les experts chargés d’évaluer le bien-fondé des demandes devront chausser des lunettes de fins juristes !

D’autant que, eu égard à la rapidité des recherches, il serait malvenu de laisser patienter trop longtemps les prétendants dans la salle d’attente du droit à l’oubli. Pour l’heure, Google a confié à un comité d’experts indépendants le soin de définir les critères et les moyens à mettre en place pour traiter les demandes au « cas par cas ». Et la question des suites de l’arrêt de la CJUE est à l’ordre du jour du G29 des 3 et 4 juin afin que les « Cnil » européennes adoptent une position commune sur le sujet. « Mais il y aura forcément des erreurs. Google fera des mécontents et se mettra en risque. S’il évalue mal une demande, il pourra faire l’objet de sanctions », pointe Me Wéry.

Les requérants pourront saisir la Cnil comme ils le font déjà après avoir essuyé un refus de la part du site où sont publiés leurs photos, vidéos, textes ou faux profils dont ils ont demandé la suppression. D’ailleurs, les plaintes liées au droit à l’oubli, en hausse de quatre points par rapport à 2012, ont représenté 34 % du nombre total de plaintes en 2013. De plus, les responsables de site qui seraient en désaccord avec la décision du moteur de recherche de supprimer leur page des résultats de recherche pourront aussi se plaindre devant la commission. En dernier ressort, c’est la justice qui tranchera. Et le contentieux promet d’être copieux…

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/google-aux-commandes-du-droit-a-l-oubli-02-06-2014-1830043_56.php

Orange piraté : Le rapport de la Cnil et les sanctions à l’encontre de l’opérateur historique

La Cnil adresse un avertissement, sans sanction financière, à l’encontre d’Orange. L’autorité indique qu’en avril dernier, l’opérateur avait permis d’avoir accès aux noms, prénoms, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile de 1,3 million de clients.

Pour Orange, la plateforme visée servait en particulier pour ses campagnes commerciales, notamment pour l’envoi de courriers électroniques et de SMS. Après que la société a admis ces dysfonctionnements, la Cnil a mené une enquête auprès de l’opérateur. Elle livre désormais ses conclusions.

Elle estime que les dysfonctionnements ayant engendré la faille de sécurité ont certes depuis été corrigés. « Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l’engagement d’une procédure de sanction », précise-t-elle. La Cnil reproche par exemple à Orange de n’avoir pas fait réaliser d’audit de sécurité avant d’utiliser la plateforme technique de son prestataire.

Second point à la charge d’Orange, l’organisme rapporte dans une note que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et « qu’aucune clause de sécurité et de confidentialité des données n’avait été imposée à son prestataire ». La sécurité des données n’était donc pas assurée dans l’ensemble de la chaîne, ce que reproche la Cnil en émettant cet avis à l’encontre d’Orange.

Le rapport de la CNIL du 7/08/2014

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Références : 
http://pro.clubic.com/legislation-loi-internet/cnil/actualite-722731-orange-recoit-carton-jaune-cnil.html?&svc_mode=M&svc_campaign=NL_ClubicPro_New_26/08/2014&partner=-&svc_position=645426165&svc_misc=-&crmID=639453874_645426165&estat_url=http%3A%2F%2Fpro.clubic.com%2Flegislation-loi-internet%2Fcnil%2Factualite-722731-orange-recoit-carton-jaune-cnil.html