achat en ligne / Droit / Droit des TIC / E-commerce / économie / Economie Numérique / expérience utilisateur / France / Général / Médias / Technologie

L’obsolescence programmée : comment tout a commencé

Qui n’a jamais dit lors d’une conversation : « Il faut que je change de téléphone, le mien a plus de 2 ans et va bientôt me laisser tomber en carafe, et la batterie ne tient presque plu » ? On s’est tous posé la question à un moment donné de cet instant fatidique…

Commentaires fermés sur L’obsolescence programmée : comment tout a commencé
01/06/2016
CNIL / Données personnelles / Droit / Protection des données personnelles

Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?

En cas d’opération sur des traitements de données à caractère personnels, deux points sont à prendre en compte : la loi actuelle prévoit des déclarations et autorisations selon la nature des données traitées mais un règlement européen va entrer en vigueur au printemps 2016 et modifier le système actuel.
Quand le règlement sera définitivement adopté, vous aurez alors deux ans à compter de sa publication pour vous mettre en conformité avec ses règles.
 
Les régimes de déclaration, d’autorisation et d’interdiction
 
Pour le moment, trois cas de figures s’offrent à vous quand vous êtes responsable d’un traitement de données personnelles selon que les données soint dangereuses ou pas.
Les données sensibles sont définies comme « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Il s’agit là de critères objectifs : ils sont généraux et ne se distinguent pas selon la finalité du traitement ou selon les activités propres des prestataires.
 

  • Premier cas : régime de déclaration pour les données personnelles non sensibles

En tant que responsable de traitement, vous devrez satisfaire à une obligation de déclaration auprès de la CNIL (art. 22 LIL). Vous pouvez donc engager et mettre en place le traitement directement. Ce n’est  qu’une formalité déclarative qui peut être effectuée en ligne ou par voie postale, de façon normale ou simplifiée.
Peu contraignante, il est tout de même important de se plier à cette exigence et de ne pas la négliger. La CNIL peut faire des contrôles et vérifier que vous respectez les règles de traitement mais aussi que vos collectes sont conformes à ce que vous aviez déclaré.
Attention aussi à être bien sûr d’entrer dans ce cas de figure.
 

  • Deuxième cas : régime d’interdiction de principe du traitement des données sensibles

Ce sont des données qu’il peut être dangereux de traiter. De ce fait, elles sont soumises à un principe d’interdiction de traitement. Normalement, vous ne pouvez donc ni les collecter, ni les traiter, ni les héberger.
Pour autant, si la personne concernée donne un consentement exprès à votre  traitement, ce dernier est possible.
De plus, la LIL prévoit des traitements et des finalités spécifiques qui peuvent mettre en jeu des données sensibles.
 

  • Troisième cas : régime de déclaration préalable pour certaines données sensibles

Pour certains traitements particuliers , une autorisation de la CNIL peut permettre les opérations sur des données sensibles (Art.25 LIL). Les données concernées sont les suivants :

  • Les statistiques publiques;
  • Les données à caractère personnel qui doivent être anonymisées dans un bref délai ;
  • En cas d’intérêt public justifié et autorisé ;
  • Les données génétiques traitées automatiquement, hors ceux des médecins ou biologistes  « qui sont nécessaires aux fins de médecine préventives, des diagnostics médicaux ou de l’administration de soins ou de traitements »  ;
  • Les données relatives aux infractions, condamnations ou mesures de sûretés, sauf pour les traitements des auxiliaires de justice ;
  • « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »  ;
  • « Les traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents  » et ceux avec une  » interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes »  ;
  • Les données relatives aux numéros d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire;
  • Les données relatives aux difficultés sociales des personnes ;
  • Les données comportant des données biométriques.

Le texte prévoit éventuellement qu’une autorisation commune est possible pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires ». Il faut alors déclarer tous ces traitements dans sa demande auprès de la CNIL.
Les traitements réalisés pour le compte de l’Etat sont soumis à des dispositions particuliers. Vous pourrez les retrouver aux articles 25 et 26 de la LIL.
La CNIL est censée répondre dans un délai de deux mois à compter de la réception de la demande. Passé ce délai et sans nouvelle de sa part, c’est un rejet implicite.
Dans les faits, n’hésitez pas à régulièrement solliciter la CNIL pendant ce délai pour savoir où en est l’étude de votre demande et solliciter éventuellement une explication. 
 
Sur la nécessité d’un consentement (Art. 7 LIL)
 
En principe, le responsable de traitement doit avoir le consentement de la personne concernée. Ce consentement ne peut être déduit d’une simple absence de réponse. Selon l’article 7 de la LIL, le consentement doit être clair et non équivoque.
Par exemple, si vous faites valider un formulaire où la case consentement est déjà automatiquement cochée, ce dernier n’est pas valide.
Le texte prévoit tout de même cinq cas où le responsable de traitement peut mettre en oeuvre un traitement de données personnelles sans le consentement de la personne concernée :

  • s’il respecte une obligation légale qui lui incombe ;
  • en cas de « sauvegarde de la vie de la personne concernée » ;
  • en cas de mission de service public ;
  • dans le cadre de « l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci » ;
  • pour la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » .

Cette dernière condition est répandue auprès des responsables de traitement qui y voient un fourre-tout bien pratique. Il faut rester précis dans la définition de l’intérêt légitime.
En effet, en cas de contrôle, la CNIL étudie la proportionnalité entre l’intérêt légitime défendu et revendiqué par le responsable de traitement et les mesures prises par ce dernier pour protéger les droits et libertés de la personne.
Pour mieux connaître la procédure instaurée par le Règlement européen, un article viendra compléter celui-ci.
(suite…)

Commentaires fermés sur Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?
22/05/2016
Données personnelles / Droit des TIC / E-actualité / E-commerce / Général

How consumers will benefit from the new Digital single market?

With the arrival of the new Commission in 2014, there is a great opposition in Europe against the "digital colonization" came from the United States. Thus, the European Commission identified the completion of the digital single market as one of its 10 policy priorities which proved that the European Union has realized the importance…

Commentaires fermés sur How consumers will benefit from the new Digital single market?
13/05/2016
Actualité / Droit / E-sport / Economie Numérique / gaming / Jeux Vidéo / Médias

E-sport in France, it’s become serious.

E-sport is the act of playing video games in competition organized by associations or companies. These competitions aren’t new but are becoming increasingly important in terms of cash prize and audience. All games can’t be part of E-sport, it must be competitive and make people or teams play against each…

Commentaires fermés sur E-sport in France, it’s become serious.
11/05/2016
CNIL / Données personnelles / Droit des TIC / Economie Numérique / Général / Géolocalisation / Protection des données personnelles

Geolocation towards the user and the company

Source (M2M Global Solutions) How the data protection law and geolocation work together? How the company can geolocate its users without violating their private life? How the user can block geolocation?  Geolocation is the follow-up of movements of an individual thanks to the positioning of their device (in particular their…

Commentaires fermés sur Geolocation towards the user and the company
27/04/2016
Cybersecurité / Données personnelles / Droit / Général / Privacy

Loi relative au renseignement : le point sur les IMSI catcher

renseignement  source Numérama http://www.numerama.com/magazine/34368-la-loi-renseignement-entre-en-vigueur-ce-samedi-3-octobre.html

 
La loi relative au renseignement a fait l’objet de nombreuses critiques, notamment parce qu’elle regorge de dispositions attentatoires aux libertés individuelles, et les IMSI catcher en font partis.
(suite…)

Commentaires fermés sur Loi relative au renseignement : le point sur les IMSI catcher
11/03/2016