virtualegis

Par pascal.alix le 23/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

La délibération n°2006-101 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main avait pour finalités :

- le contrôle d'accès,

- la gestion des horaires,

- la restauration sur les lieux de travail.

Par la suite, la CNIL a été saisie de nombreuses demandes d'autorisation concernant d'autres biométries (empreinte digitale ou réseau veineux des doigts de la main) avec pour finalité également la gestion des horaires des salariés.

La multiplication récente des techniques de contrôle des salariés pendant le temps de travail (cybersurveillance, géolocalisation, etc.) a conduit la CNIL a consulter les organisations patronales et syndicales.

Il a été considéré que l'utilisation de la biométrie aux fins de contrôle des horaires constituait un moyen disproportionné d'atteindre cette finalité.

De sorte que la délibération n°2012-322 du 20 septembre 2012 portant autorisation unique (n° AU-007) de mise en oeuvre de traitements reposant sur la reconnaissance du contour de la main exclut désormais, parmi les finalités, le contrôle des horaires des salariés .

"Les organismes qui recourent déjà à ce dispositif pour contrôler les horaires de leur personnel et qui ont effectué un engagement de conformité avant la publication de cette nouvelle délibération pourront continuer de l'utiliser pendant une période de cinq ans. Passé ce délai, ils devront arrêter de recourir à la fonctionnalité biométrique, ce qui n'impliquera pas systématiquement de changer de matériel. Les organismes pourront en effet paramétrer le système pour inhiber la fonction biométrique et utiliser, à la place, des codes, cartes ou/ et badges sans biométrie." (http://www.cnil.fr/la-cnil/actualite/article/article/lautorisation-uniqu...).

Source : Autorisation unique n° AU-007 : http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/105/

Par pascal.alix le 22/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

La société Gras Savoye a conclu avec la société Easydentic un contrat d'installation, de location et de maintenance d'un système de contrôle d'accès biométrique dans ses locaux.

Le prestataire/loueur/mainteneur a cédé à une autre société (la société Parfip Parflip France) la propriété du matériel. La société Gras Savoye a résilié le contrat car l'installation intégrale du système n'aurait jamais été effectuée. Ultérieurement, la société Gras Savoye a cédé un fonds de commerce. Prétenant être titulaire d'une créance envers la société Gras Savoye au titre de sommes restant dues en vertu du contrat, la société Parfip, nouvelle titulaire du contrat, a fait opposition au paiement du prix de vente de ce fonds. La société Gras Savoye en a demandé la mainlevée en référé.

La Cour d'appel de Paris a, par arrêt rendu le 18 mai 2010, rejeté la demande de mainlevée d'opposition présentée par la société Parfip, titulaire du contrat, en retenant que la créance de la société prestataire était certaine pour les motifs suivants :

le contrat avait été conclu (avec la société Easydentic) pour une durée irrévocable de 48 mois à compter de la signature du procès-verbal de réception du matériel, le contrat stipulait le paiement d'une mensualité par le locataire ainsi que la cession de la propriété du matériel à la société Parfip, sans que cette dernière soit tenue, en sa seule qualité de société de location financière, de vérifier la bonne livraison et la conformité de l'installation dans les locaux de la société Gras Savoye.

Or, la Cour de cassation a censuré cette décision par un arrêt du 4 octobre 2012 (Cass., com., 4 octobre 2011, pourvoi n° 10-21954) :

"qu'en se déterminant ainsi, sans répondre aux conclusions de la société Gras Savoye faisant valoir que le contrat de location, qui portait sur un système de contrôle non autorisé par la Commission nationale informatique et libertés, était nul pour objet illicite", la Cour d'appel de Paris avait entaché sa décision d'un défaut de réponse à conclusions.

En statuant ainsi, la Cour de cassation a considéré, implicitement mais nécessairement, que le moyen présenté par le locataire du système était pertinent (faute de quoi elle aurait écarté son moyen de cassation).

Par pascal.alix le 22/10/12
Dernier commentaire ajouté il y a 6 années 2 mois

Pour tenir compte de l'évolution du e-commerce et des méthodes de prospection, la CNIL a, conformément à l'article 24 de la loi du 6 janvier 1978 modifiée, refondu la norme simplifiée n° 48 relative à la gestion des clients et des prospects, qui datait de 2005 (délibération n° 2005-112 du 7 juin 2005).

L'objectif de la nouvelle norme simplifiée relative à la gestion des clients et des prospects est « de mettre à la disposition des entreprises et des organismes concernés les règles et les pratiques assurant la sécurité juridique de leurs traitements » en assurant « un équilibre entre les besoins des professionnels et le respect de la vie privée et des droits des personnes concernées ».

Cette nouvelle norme (entrée en vigueur à la suite de la publication du JORF n°0162 du 13 juillet 2012) permet aux responsables de traitement d'effectuer une déclaration simplifiée, dans les conditions qu'elle précise, pour les traitements relatifs à la gestion de clients et de prospects.

Son champ d'application est vaste. Mais ne sont concernés les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation.

Le champ des finalités concernées est également vaste. Il concerne les traitements automatisés de données dont les finalités sont les suivantes :

* effectuer les opérations relatives à la gestion des clients concernant :

les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein d'une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;

* effectuer des opérations relatives à la prospection :

la gestion d'opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication) ; la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l'article 6, ces opérations ne doivent pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ; la réalisation d'opérations de sollicitations ;

* l'élaboration de statistiques commerciales ;

* la cession, la location ou l'échange de ses fichiers de clients et de ses fichiers de prospects ;

* l'organisation de jeux concours, de loteries ou de toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne ;

* la gestion des demandes de droit d'accès, de rectification et d'opposition ;

* la gestion des impayés et du contentieux, à condition qu'elle ne porte pas sur des infractions et/ou qu'elle n'entraine pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat ;

* la gestion des avis des personnes sur des produits, services ou contenus.

L'on remarquera que les nouvelles finalités suivantes ont été intégrées dans la norme n° 48 :

* la réalisation d'enquêtes de satisfaction,

* l'organisation de jeux concours,

* la gestion des demandes de droit d'accès, de rectification et d'opposition,

* et la gestion des avis des personnes sur des produits, services ou contenus.

S'agissant des durées de conservation des données relatives à la gestion de clients et de prospects, il est prévu qu'au-delà de la règle de conservation selon laquelle les données ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale, les données permettant d'établir la preuve d'un droit ou d'un contrat, ou, conservées au titre du respect d'une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).

S'agissant des durées de conservation des données bancaires, le principe est la suppression une fois la transaction réalisée. Il est toutefois prévu que les données utilisées dans le cadre du paiement par carte bancaire peuvent être conservées pour une finalité de preuve en cas d'éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l'article L 133-24 du code monétaire et financier (13 mois suivant la date de débit), ce délai pouvant être étendu à 15 mois pour les cartes de paiement à débit différé.

S'agissant de l'information, du consentement et de l'exercice du droit d'opposition, la nouvelle norme simplifiée n° 48 rappelle notamment qu'au moment de la collecte des données, la personne concernée est informée :

* de l'identité du responsable du traitement,

* des finalités du traitement,

* du caractère obligatoire ou facultatif des réponses à apporter,

* des conséquences éventuelles, à leur égard, d'un défaut de réponse,

* des destinataires des données,

* de l'existence et des modalités d'exercice de ses droits d'accès, de rectification et d'opposition au traitement de ses données.

S'agissant, en particulier, de l'exploitation d'un site internet, la nouvelle norme simplifiée prévoit que des données de connexion (date, heure, adresse Internet, protocole de l'ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d'audience, ce sans consentement préalable, mais à condition qu'ils disposent :

* d'une information claire et complète délivrée par l'éditeur du site internet,

* d'un droit d'opposition,

* d'un droit d'accès aux données collectées,

* et qu'elles ne soient pas recoupées avec d'autres traitements tels que les fichiers clients .

La CNIL instaure donc une interdiction du recoupement des données collectées sans consentement exprès des personnes concernées , ce pour que le principe de l'information claire et complète sur les finalités du traitement soit respectée.

Rappelons, par exemple, au sujet des croisements de données, que la CNIL, missionnée par la Groupe Article 29, avait adressé, le 27 février 2012, une lettre ouverte adressée à la direction de Google faisant valoir que sa nouvelle politique de confidentialité ne respectait pas certaines exigences de la Directive 95/46/CE, notamment en termes d'indication des finalités du traitement et de droit à l'information des personnes dont les données sont collectées.

La nouvelle norme précise enfin les mesures de sécurité devant être prises pour :

* assurer la confidentialité des données,

* limiter le risque de fraudes bancaires et d'usurpation d'identité.

Les organismes disposent d'un délai d'un an à compter du 13 juillet 2012, date de sa publication au journal officiel, pour mettre leur traitement en conformité.

Par pascal.alix le 19/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

La Cour de justice de l'Union européenne a jugé que l'autorité autrichienne de protection des données, la Datenschutzkommisson (DSK), ne remplissait pas les conditions d'indépendance telles que décrites dans la directive européenne de protection des données.

En particulier, la Cour a déclaré que l'indépendance fonctionnelle de la DSK par rapport au gouvernement, telle que prévue dans la législation autrichienne, n'était pas suffisante et que ses liens étroits avec la Chancellerie fédérale empêchaient la DSK d'être au-dessus de tout soupçon de partialité.

"Le CEPD (Contrôleur européen de la protection des données , autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE) se félicite que la Cour, pour une deuxième fois, attache une telle importance à l'indépendance des autorités de protection des données. En se référant à la Charte européenne des droits fondamentaux, la Cour a souligné que des autorités de protection des données véritablement indépendantes sont indispensables pour remplir leurs missions dans le domaine de la protection des données.".

Source : http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ED....

Par pascal.alix le 18/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

Par arrêt du 10 septembre 2010, la Cour d'appel de Paris a rejeté la demande d'un titulaire de comptes, tendant à voir déclarer responsable la société La Banque postale (responsable du traitement) de n'avoir pas rectifié l'othographe de son nom patronymique (en mettant un accent aigu sur la dernière lettre de son nom patronymique, ce sur tous les documents édités) et d'obtenir, par conséquent, l'indemnisation de son préjudice ainsi que, sous astreinte, la correction sollicitée.

Le titulaire a attaqué l'arrêt devant la Cour de cassation, en faisant valoir que "toute personne physique justifiant de son identité peut exiger du responsable d'un traitement informatique que soient rectifiées ou complétées les données à caractère personnel la concernant, parmi lesquelles figure le nom patronyme, dès lors qu'elles sont inexactes ou incomplètes", en visant les articles les articles 1, 2 et 40 de la loi du 6 janvier 1978.

Or, la Cour de cassation a, par arrêt du 4 mai 2012 (Civ. 1, 4 mai 2012, pourvoi n° 10-27208), rejeté le pourvoi de l'usager en se prononçant par le motif suivant :

"par motifs adoptés, l'arrêt constate que La Banque postale a justifié de l'impossibilité technique de porter les signes diacritiques sur les noms patronymiques mentionnés en majuscules dans les documents automatisés générés informatiquement ; qu'ayant ainsi caractérisé l'obstacle objectif à la correction demandée, les juges du fond ont pu en déduire que, dans cette limite, la banque se trouvait déchargée de son obligation de faire, justifiant dès lors légalement leur décision".

La Cour de cassation a, ce faisant, (implicitement et assez discrètement) consacré la règle selon laquelle l'impossibilité technique de la correction demandée décharge le responsable du traitement de son obligation de rectification des données personnelles inexactes.

Par pascal.alix le 18/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

Pendant sa campagne électorale, François Hollande avait évoqué un projet d'"Habeas Corpus numérique". Il avait notamment évoqué la création de "nouveaux droits" pour les citoyens quant aux fichiers comportant leurs données personnelles.

Evoquant à nouveau cette proposition, la ministre chargée de l'Economie numérique, Fleur Pellerin a déclaré, devant la commission des Affaires économiques : "Je pense que nous pouvons nous engager à proposer au Parlement dans le courant de l'année 2013, vraisemblablement au premier semestre, un projet de loi sur ces questions, sur un corpus de règles qui permettrait de garantir la protection des données personnelles et la vie privée sur internet".

Ce "corpus de règle" rassemblerait et harmoniserait donc des règles relatives non seulement aux données personnelles, mais, plus largement au respect de la vie privée sur le réseau internet.

La déclaration est faite deux jours après les recommandations et injonctions des autorités de protection des données des pays membres de l'UE à Google et quelques semaines après l'affaire du "vrai-faux bug Facebook", qui avait donné lieu à une enquête de la CNIL révèlant la nécessité de mieux garantir et protéger les droits et libertés des usagers de Facebook.

La Cnil avait demandé, rappelons-le, à Facebook la « nécessité d'une plus grande transparence vis-à-vis des utilisateurs quant à l'usage de leurs données personnelles »

Fleur Pellerin a évoqué « un certain nombre d'incidents ou d'événements récents qui nous ont confortés dans notre conviction », en citant l'exemple de Google.

Fleur Pellerin a précisé à cette occasion : "les fichiers se multiplient et il faut réguler ce foisonnement de traitement de données pour rassurer et assurer un bon équilibre entre la liberté d'expression qui doit prévaloir sur internet et la protection des données".

La ministre vise donc l'importance de la collecte et du traitement des données et, implicitement, le traitement des données combinées (métadonnées et le "big data").

Fleur Pellerin a également précisé qu'elle souhaitait travailler avec la Commission nationale de l'informatique et des libertés (Cnil) et "inviter les grandes plateformes du net à améliorer la transparence des informations personnelles qu'elles possèdent et la façon dont elles les traitent".

Par pascal.alix le 17/10/12
Dernier commentaire ajouté il y a 7 années 9 mois

Le 24 janvier 2012, Google a annoncé l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation. Des enquêtes ont été menées par les autorités européennes de protection des données, dont la CNIL.

Les autorités de protection des données européennes demandent à GOOGLE une information plus claire et d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose.

Elles souhaitent, par ailleurs, que Google modifie les outils utilisés afin d'éviter une collecte excessive de données.

De manière générale, il est impossible de s'assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles, à savoir :

- la limitation de finalité,

- la qualité des données,

- la minimisation des données,

- la proportionnalité,

- le droit d'opposition.

Aujourd'hui, l'utilisateur est incapable :

- de déterminer quelles sont les données personnelles utilisées pour le service utilisé,

- de déterminer les finalités exactes du traitement des données.

Les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails assurant une information conforme aux exigences de la Directive.

"La combinaison de données entre services a été généralisée [NDLR : métadonnées ] avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée."

Par ailleurs, Google a refusé de s'engager sur des durées de conservation des données personnelles traitées.

Les autorités de protection des données européennes attendent que Googlel prenne des mesures effectives et publiques pour se mettre en conformité rapidement.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confident...

Par pascal.alix le 07/10/12
Dernier commentaire ajouté il y a 7 années 10 mois

La protection des données personnelles constitue un droit fondamental, complémentaire des droits et libertés constitutionnellement garantis que sont la protection de la vie privée, le droit de propriété, la liberté d'expression ou encore la liberté d'aller et venir. Ce droit est d'autant plus fondamental aujourd'hui à l'heure où les données personnelles constituent le "carburant " du numérique.

Pourtant, alors même que cette protection est consacrée par la Charte des droits fondamentaux de l'Union européenne, mais aussi dans les constitutions ou normes suprêmes de 13 pays en Europe , notre Constitution est muette sur le sujet. Or, aucun des droits et libertés actuellement consacrés par notre Constitution n'épuise la question des données personnelles.

La CNIL promeut donc l'objectif d'inscrire, dans la Constitution, le droit à la protection des données personnelles. Une telle reconnaissance constituerait un acte fort, moderne, au service d'une protection effective du citoyen.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-perspectives-po...

Pour Isabelle Falque-Pierrotin, Présidente de la CNIL : "La question de la protection des données personnelles est aujourd'hui au centre des préoccupations, économiques, sociales, commerciales mais aussi politiques, car pour la traiter il est nécessaire d'élaborer une vision collective et partagée de la société. En tant que régulateur des données personnelles, le rôle de la CNIL est de contribuer à la recherche de ce pacte social à partir du modèle humaniste hérité de la loi Informatique et Libertés qui place la personne au centre du dispositif. Il s'agit aussi de repenser notre action et nos outils d'intervention pour animer cet écosystème numérique en pleine mutation et accompagner les différents acteurs."

"La constitutionnalisation du principe de protection des données personnelles est une idée séduisante. D'abord, parce que la notion de protection des données, parfois aussi qualifiée d'Habeas Data, est une notion qui englobe différents éléments appartenant à des champs très différents des libertés publiques. Elle intègre tout à la fois des éléments du droit au respect de la vie privée, du droit à l'oubli, de la liberté d'expression, mais aussi du droit de propriété sur les informations nominatives nous concernant. Sur ce plan, l'intégration dans la Constitution permettrait d'agglomérer des prérogatives qui peuvent aujourd'hui sembler quelque peu disparates, et d'envisager une approche globale des droits du citoyens dans un monde numérisé."

Mais :

"...la constitutionnalisation d'une norme conduit parfois à la figer à un certain stade de son développement. Or le domaine des nouvelles technologies est précisément celui qui a besoin d'évoluer rapidement, de s'adapter en permanence à des nouvelles utilisations...." (Roseline Letteron, Professeur de droit public à l'Université de Paris-Sorbonne (Paris IV)).

Source : http://libertescheries.blogspot.fr/2012/07/la-protection-des-donnees-dan...

Par pascal.alix le 06/10/12
Dernier commentaire ajouté il y a 7 années 10 mois

"Les deux institutions ont signé, le 11 février 2010, une 1ère convention de partenariat destinée à mener des actions communes de sensibilisation et de formation à la loi « informatique et libertés » auprès des avocats et des élèves avocats.

Elle prévoyait également le développement de la formation du correspondant informatique et libertés (CIL) au sein de la profession d'avocat et de ses structures représentatives.

Cette nouvelle convention qui sera signée conjointement par Isabelle Falque-Pierrotin, Présidente de la CNIL, et Christian Charrière-Bournazel, Président du Conseil national des barreaux, s'inscrit dans le prolongement de ce partenariat qui s'en voit ainsi renforcé".

Source : http://cnb.avocat.fr/En-direct-de-l-Assemblee-generale-extraordinaire-du...

La convention : http://cnb.avocat.fr/docs/partenariat/CNB-CVT2012-10-05_CNIL-CNB_Partena...

Par pascal.alix le 05/10/12
Dernier commentaire ajouté il y a 7 années 10 mois

La protection des données à caractère personnel est un droit fondamental consacré par plusieurs textes européens.

La Convention européenne des droits de l'homme (CEDH) ne mentionne pas explicitement la protection des données à caractère personnel. Mais la jurisprudence de la Cour européenne des droits de l'homme retient que le droit à la protection des données est compris dans l'article 8 de la Convention.

Toujours au sein du Conseil de l'Europe, la reconnaissance explicite du droit fondamental à la protection des données à caractère personnel résulte des dispositions de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (« Convention 108 »).

Au sein de l'Union européenne, la protection des données est un droit fondamental consacré par l'article 8 de la Charte des droits fondamentaux de l'Union européenne

l'article 8 de la Charte des droits fondamentaux de l'Union européenne est fondé sur :

l'article 286 du traité instituant la Communauté européenne, sur la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sur l'article 8 de la CEDH, et sur la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (La « Convention 108 » précitée).

L'objectif de la Charte des droits fondamentaux est, rappelons-le, de renforcer, en les rendant plus visibles mais non contraignants, la protection des droits qui résultent des traditions constitutionnelles de ses Etats membres.

Les institutions européennes travaillent actuellement sur une réforme du cadre de la protection des données dans l'Union afin de "mettre un terme à la fragmentation actuelle grâce à des règles nationales spécifiques".

Source : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+COMPARL+LIBE-OJ-20121009-1+03+DOC+XML+V0//FR