Par sanjay.navy le 07/11/12

On sait depuis longtemps que l'employeur ne peut mettre ne place un mécanisme de surveillance de ses salariés qu'à la condition de respecter un certain nombre de conditions.

Parmi ces conditions figurent la nécessité de d'informer le salarié et la CNIL de l'existence et de la finalité du système de surveillance.

Dans un arrêt du 03 novembre 2011, la Cour de cassation a eu l'occasion de préciser les conséquences du non respect de ces conditions.

En l'espèce, l'employeur avait mis en place un système de géolocalisation sur le véhicule de son salairé "afin de permettre l'amélioration du processus de production par une étude a posteriori de ses déplacements et pour permettre à la direction d'analyser les temps nécessaires à ses déplacements pour une meilleure optimisation des visites effectuées".

Or, l'employeur avait utilisé le système de géolocalisation pour calculer la rémunération de l'un de ses salariés.

Saisis d'un litige par le salarié en question, les juges ont rappelé le principe selon lequel "un système de géolocalisation ne peut être utilisé par l'employeur pour d'autres finalités que celles qui ont été déclarées auprès de la Commission nationale de l'informatique et des libertés, et portées à la connaissance des salariés".

Par sanjay.navy le 21/06/11

La mise en garde du président de la CNIL

Alex Türk a indiqué avoir alerté le parti Europe Ecologie Les Verts (EELV) sur les problèmes liés à la régularité des primaires qu'ils mettent en oeuvre pour désigner leur candidat à l'élection présidentielle de 2012 :

- "Les écologistes, quand ils ont annoncé qu'ils allaient faire des primaires, je leur ai téléphoné, je leur ai écrit pour leur dire : attention, si vous souhaitez mettre en place une primaire comme le fait le PS, vous devez faire comme eux, vous devez faire une procédure de déclaration et déposer un dossier auprès de nous dans lequel vous allez décrire votre opération.

A l'heure où nous parlons, ils sont en pleine illégalité, c'est-à-dire qu'ils bâtissent un projet sans mettre en place la procédure de déclaration".

La réponse d'EELV

Le parti a reconnu son erreur dans un communiqué précisant que "le fichier des adhérent-e-s, coopérateurs et coopératrices d'Europe Ecologie-Les Verts, a bien été déposé à la Cnil" mais qu'il ne savait pas "qu'il était nécessaire de refaire un dépôt spécifique concernant l'organisation de ce vote électronique".

Il aurait effectué la déclaration le jour même.

Pour faire bonne mesure, les écologistes soutiennent également que cette déclaration (qu'ils ont quand même effectuée) serait inutile puisque «les partis politiques sont dispensés de déclarer leurs membres» (ce qui juridiquement veut sans doute signifier que les partis politiques sont dispensés de déclarer leur fichiers-et non leur membre- à la CNIL).

Toutefois, interrogée par l'AFP, la vice-présidente de la Cnil, Isabelle Falque-Pierrotin, rappelle que :

- «ces fichiers bénéficient d'une exonération de déclaration pour la gestion des membres mais là, il s'agit d'une nouvelle finalité, c'est-à-dire de désigner un candidat pour la présidentielle» ;

- «il y a du vote électronique», ce qui correspond à un «traitement automatique des données», qui doit faire l'objet d'une déclaration à la Cnil.

Bref, conseillons aux responsables d'EELV de relire la loi informatique et libertés, peut être avec l'aide de l'une des candidates à ces primaires qui est magistrate...

Par sanjay.navy le 01/06/11

Dans des décisions du 30 mai 2011, la CNIL a rappelé et précisé les règles relatives à la mise en place de systèmes de vidéosurveillance dans les établissements scolaires.

1. La vidéosurveillance doit être mise en oeuvre dans un but légitime.

La CNIL donne les exemples suivants : protéger les biens et les personnes, lutter contre la fugue ou le tabagisme.

2. Les caméras installées ne doivent pas permettre d'opérer une surveillance permanente des élèves ou des enseignants.

Ainsi, la mise en place des caméras doit être effectué dans les limites nécessaires pour atteindre le but légitime : c'est le principe de proportionnalité.

Par exemple, pour sécuriser les biens et les personnes, la vidéosurveillance des seuls accès à l'établissement scolaire peut suffire.

Attention : en cas de circonstances exceptionnelles (exemple : établissement scolaire victime d'actes de malveillance fréquents et répétés), il est néanmoins possible d'installer des caméras filmant en continu des élèves et enseignants.

Rappelons enfin que toutes caméras qui permet de filmer la voie publique doit être autorisée par le Préfet.

Par sanjay.navy le 23/05/11

La Commission Nationale de l'Informatique et des Libertés a notamment pour objet de vérifier que la législation protégeant les données personnelles est bien respectée.

Les primaires correspondent à l'élection du candidat socialiste aux prochaines élections présidentielles, étant précisé qu'est électeur tout citoyen français inscrit sur les listes électorales, qui se sera acquitté d'une participation aux frais d'organisation et qui aura signé une charte d'adhésion aux valeurs de la gauche.

Les primaires du PS : qu'est-ce que cela a à voir avec les données personnelles

C'est très simple :

- pour fixer la liste des votants aux primaires, la direction du parti socialiste doit exploiter le fichier des personnes inscrites sur les listes électorales ;

- le parti socialiste pourrait être tenté d'adresser aux personnes ayant "signé une charte d'adhésion aux valeurs de la gauche" du matériel de propagande électorale ou des sollicitations pour devenir membre du parti ;

- d'autres partis, voir des entreprises pourrait être tenté d'avoir accès à la liste des signataires de ladite charte, ce qui pose la question de la sécurité et de la confidentialité

Si le PS a d'ores et déjà suivi de nombreuses préconisations de la CNIL, cette dernière a tenu à exigé les points suivants :

- une meilleure information des électeurs à la primaire s'agissant de leurs droits (et notamment de leur droit de s'opposer au traitement de données mis en oeuvre par le PS) ;

- la prise en considération des oppositions au traitement de données manifestées lors de l'élection par mention manuscrite sur les listes électorales ;

- une meilleure sécurisation des fichiers électoraux exploités (afin que personne ne puisse l'intercepter, le copier...).

Par sanjay.navy le 04/11/10

L'histoire :

Un coursier est licencié par son employeur pour faute grave : il est accusé (notamment) d'avoir utilisé son véhicule professionnel à des fins personnels et sans respecter les règles du code de la Route.

Le salarié conteste son licenciement.

Le problème juridique :

Pour prouver le bien fondé de ses accusations, l'employeur avait transmis au juge des éléments "provenant du système de géolocalisation équipant ses véhicules" et en l'espèce de celui de son salarié.

Cette preuve était-elle licite ?

Réponsede la Cour d'appel de Dijon dans un arrêt du 14 septembre 2010 (cf. legalis.net)

Les juges rappellent certaines des conditions à respecter pour mettre en oeuvre un mécanisme de surveillance des salariés sur le lieu de travail :

- information préalable des salariés : "l'article L. 1222-4 du Code du travail prévoit qu'aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance" ;

- déclaration auprès de la Commission Nationale de l'Informatique et des Libertés : "en application de l'article 22 de la loi 78-17 du 6 janvier 1978 les traitements automatisés de données à caractère personnel font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés" ; "l'article 6 de la norme 51 de la Commission nationale de l'informatique et des libertés précise que l'employeur a l'obligation d'informer individuellement chaque salarié concerné dès qu'il envisage d'installer un dispositif de géolocalisation".

Or, dans notre affaire, l'employeur ne justifiait pas d'une déclaration faite à la Commission nationale de l'informatique et des libertés et d'une information donnée personnellement au salarié.

La sanction tombe, en deux temps :

1- la preuve tirée de l'exploitation des données fournies par le GPS situé dans le véhicule confié au salarié ne peut être produite en justice.

2- la preuve de l'existence des fautes reprochées au salarié n'étant pas rapportée, son licenciement est injustifié (en droit, on dit "dépourvu de cause réelle et sérieuse") et l'employeur est condamné à verser à son ancien salarié des dommages et intérêts...

Par sanjay.navy le 17/06/10

Cette question fait de plus en plus souvent la une de l'actualité, au gré des volte-face de Facebook qui modifie régulièrement sa politique en matière de contenus et de données :

- d'abord, en favorisant la circulation de ces données et contenus afin de les vendre plus aisément à des tiers ;

- puis en reculant sous la pression des internautes et des autorités publiques.

Bien souvent, l'internaute ne comprend pas vraiment les enjeux de telles luttes d'influence.

C'est la raison pour laquelle je vais tenter de décrypter ce qui se cache derrière ces conditions générales d'utilisation que personne ne lit, mais que tout le monde certifie avoir lu.

1- Facebook et les contenus des internautes protégés par les droits d'auteur

Par sanjay.navy le 19/10/09

"Comment faire pour censurer un site qui parle de moi (et qui dit du mal, parce que sinon, j'chuis pour la liberté d'expression) ? Ah, tiens, j'vais faire appel à la loi Informatique et Libertés (ça m'changera, j'en ai marre de faire appel à la CEDH). Quoi, ça marche pas ?!? Y'a plus de justice mon bon Monsieur !"

Et oui, entre le droit pour une personne de ne pas faire l'objet d'un "fichage" sur Internet sans son autorisation, et la liberté d'expression sur Internet, la seconde l'emporte.

Petit résumé de l'affaire : Un particulier avait édité sur son petit site Internet un message évoquant la relation adultère (réelle ou non) qu'auraient entretenu un homme politique vendéen (Philippe de V. mais qui cela peut-il bien être ?) et une certaine Madame X (un nom à problème, vous en conviendrez).

Madame X s'est plainte de voir son partronyme ainsi cité et a saisi le juge en indiquant que ce message constituait :

- une violation de son droit à la vie privée ; et le juge lui a donné raison ;

- un traitement de données à caractère personnel (TDCP pour les intimes) effectué sans son consentement et sans motif légitime (ce qui est interdit par la loi Informatique et Libertés) ; et là, le juge lui a donné tord.

Sur ce dernier point, le Juge a indiqué que le TDCP réalisé par l'éditeur du site (et oui, citer le nom d'une personne sur un site Internet, c'est mettre en oeuvre un TDCP) n'avait d'autre but que de permettre l'expression public de cet éditeur.

Or la liberté d'expression est un principe protégé par la consitution française et la CEDH et qui ne peut être remis en cause (en l'espèce) par la loi informatique et Libertés.

Il s'agît d'une décision assez pragmatique : si toute personne citée dans un site Internet pouvait obtenir la censure de ce site, cela signerait la fin de l'outil Internet tel qu'on le connaît aujourd'hui.

cf legalis.net

Par sanjay.navy le 06/10/09

Plusieurs utilisateurs de l'application MogoRoad (informations routières suisses) sur iPhone ont été démarchés téléphoniquement par des commerciaux de cette société afin de les inciter à aquérir la version payante de leur application.

Or, lesdits utilisateurs n'avaient pas communiqué leur numéro de téléphone à cette entreprise.

Suite à la multiplication des plaintes, le Site Internet Mac 4 ever a alors constaté qu'il était possible de récupérer le numéro d'un téléphone portable par le biais de l'installation qui y était installée !

Or, la récupération de telles données sans l'autorisation de l'utilisateur constitue une violation caractérisée de la Loi Informatique et Libertés (qui a créé la C.N.I.L.) en France.

La société Mogoraod a dépuis répondu qu'elle n'effectuait de telles collectes qu'en Suisse et en conformité avec la législation locale.

Quoiqu'il en soit, Apple aurait retiré l'application MogoRoad de son site App Store.

Mais le plus important est que de telles collectes illicites de données seraient techniquement susceptibles de se produire avec d'autres applications, et en France.

Mais où est le problème ?

De nombreuses personnes regardent avec distance la problématique liée à la protection des données personnelles, considérant, par exemple, que le fait que les fournisseurs d'une application iPhone puissent récupérer leur numéro de téléphone serait sans conséquence.

Il convient d'appréhender ce phénomène de manière globale.

En France (comme dans tout les pays bénéficiant d'un minimum d'organisation et d'informatisation), les fichiers savent tout de votre vie :

- votre passé pénal (casier judiciaire et fichier STIC) ;

- votre situation médicale (fichiers de la SECU ou de votre mutuelle) ;

- votre situation financière (fichiers du fisc et de votre banque) ;

- vos goûts (fichier de votre centre commercial favori) ;

- votre appartenance politique, religieuse ou philosophique (fichiers d'un parti politique, d'une église...) ;

- votre réseau de connaissance (fichiers de votre opérateur téléphonique, de vos contacts sur Internet...) ;

- votre passé scolaire...

Bien évidemment, ces fichiers sont cloisonnés et seul un nombre limité de personnes peuvent y accéder.

Toutefois, il est aisé d'imaginer les dangers encourus si le contenu de ces fichiers étaient croisés ou accessibles à des personnes non-autorisées.

C'est la raison pour laquelle, aujourd'hui, l'usage illicite de données personnelles consitue l'une des plus grandes menaces pour les libertés individuelles.

Par sanjay.navy le 01/10/09

La CNIL vient de révéler que, le 16 avril 2009, elle avait infligé à la société de prêt-à-porter JEAN MARC PHILIPPE une amende de 10.000 euros, du fait de la mise en place illicite d'un système de vidéosurveillance de salariés.

En effet, comme toute NTIC permettant de surveiller des salariés, ce système suppose le respect de plusieurs rêgles.

En l'espèce, ces dernières étaient (presque) toutes violées puisque :

- les salariés n'avaient pas été informés de l'existence de ce système de vidéosurviellance ;

- ce dispositif n'avait pas été délcaré à la CNIL ;

- aucun affichage ne rappelait les droits des salariés ;

- l'accès aux images enregistrées s'effectuait à partir de postes informatiques non protégées par un mot de passe ;

- les caméras, installées dans le but de lutter contre les vols, filmaient "en continu des salariés à leur poste dans des lieux où aucune marchandise n'était stockée ainsi que dans des lieux fermés au public".

Précisons que le dirigeant de la société JEAN MARC PHILIPPE, qui semble-t-il, pensait que les contrôles de la CNIL, c'était comme le roti de boeuf chez belle-maman ("vous en reprendrez bien un petit peu ?" "Non merci, sans façon"), a été condamné par le Tribunal Correctionnel de PARIS à une peine d'amende de 5.000 euros, pour délit d'entrave.

Par sanjay.navy le 15/09/09

L'Ecole des Fans du grand Jacques Martin, c'était la belle époque : les enfants chantaient devant leur idole, puis se notaient successivement, avec une certaine indulgence.

Aujourd'hui, les temps ont changé, mais les notent font leur retour.

Cela nous permet aujourd'hui (dans l'allégresse générale, bien évidemment) de faire le point sur les récents litiges générés par les sites de notation sur Internet.

Et ton papa, il est où ?

1. L'affaire note2be.com : la notation des enseignants

Dans un arrêt du 25 juin 2008, la Cour d'Appel de PARIS a du se prononcer sur la légalité d'un site qui permettait de noter les enseignants pré-enregistrés par le site (cf. forum des droits sur internet).

L'affaire a fait scandale et, à la demande de différents syndicats de cette estimable corporation, les juges ont interdit au site de poursuivre la notation litigieuse.

Pour ce faire, les juges ont rappelé que l'article 6 de la loi du 06 janvier 1978 dite « Informatique et Libertés » prévoit qu'un fichier ne peut porter sur des données à caractère personnel qu'à la condition que ces dernières soient :

- Collectées et traitées de manière loyale et licite ;

- Adéquates et pertinentes.

Or, les notes pouvant être « données » par tout internaute (et pas seulement par des élèves), les juges ont considéré qu'elles n'étaient « manifestement pas collectées de façon loyale, et ne présent[ai]ent évidemment aucune garantie tant sur leur pertinence que sur leur caractère adéquat » (exemple : je déteste ma future ex-femme et, pour me défouler, je la dénigre en lui attribuant un 2/20 - calme-toi bibiche ce n'est qu'un exemple).

2. L' "affaire" palmares.com : la notation à (plus) grande échelle

Dans une délibération du 04 juin 2009, la CNIL a mis en demeure le site ci-dessus de se conformer à la loi Informatique et Libertés dans un délai d'un mois.

Ce site permet(tait) à tout internaute de noter, notamment, des médecins (c'est bien fait pour eux, ça leur apprendra à nous faire peur avec la grippe H1N1), des chefs d'entreprise (ils l'ont bien cherché, avec leurs licenciements boursiers)... et des avocats... (Argh ! C'est une honte ! Mais que fait la police ?).

La CNIL a reproché, entre autre, au site de :

- ne pas informer les personnes concernées du fait qu'elles étaient notées (violation du droit à l'information des personnes concernées - article 32 de la loi - et collecte déloyale des données – article 6) ;

- ne pas permettre aux personnes concernées de s'opposer à cette notation (droit d'opposition – article 39).

Le site palmares.com a réagi en publiant sur son site un communiqué "accusant" la CNIL de vouloir faire interdire son site (cf. 01net.com).

Verte de rage (ou rouge de colère, les témoignages étant discordants), la CNIL a décidé (fait exceptionnel) de publier sa décision sur son site, accompagnée d'un communiqué.

Depuis, le site palmares.com a disparu (cf. neteco.com)...

Ouille, mon cher Jacques, je crois que ça, ça s'appelle un zéro pointé !