Big Data / Données personnelles / Droit / E-actualité / Economie Numérique

Le Self Data : la réappropriation des données par l’individu

"2016, l’an 1 du Self Data. A travers le pilote MesInfos, les organisations partenaires restitueront leurs données à leurs clients et usagers, de manière pérenne, pour qu’ils en fassent ce qui a du sens pour eux."  C'est avec ces quelques mots que le site MesInfos se présente de façon ambitieuse;…

Commentaires fermés sur Le Self Data : la réappropriation des données par l’individu
29/07/2016
Commission européenne / Données personnelles / Espace Schengen / nouvelle technologie / Union européenne

Les frontières « intelligentes » : un projet pilote européen

La gestion des frontières est en pleine transformation. Pour aider l’espace Schengen à instaurer une gestion des frontières plus moderne (par exemple, vérification et identification automatiques) et plus efficace au moyen de technologies de pointe.   La Commission Européenne a proposé le 28 février 2013, un paquet de mesures intitulé…

Commentaires fermés sur Les frontières « intelligentes » : un projet pilote européen
16/07/2016
Actualité / Commission européenne / Données personnelles / Espace Schengen / nouvelle technologie / Privacy / Union européenne

"Intelligent" borders: an European pilot project

The management of borders is in full processing to help the Schengen area to establish a more modern management of borders (for example, automatic check and identification) and more effective by means of high technologies. The European Commission proposed on February 28th, 2013, a package of measures entitled "intelligent Borders".…

Commentaires fermés sur "Intelligent" borders: an European pilot project
26/06/2016
Données personnelles / Droit des TIC / Réseaux sociaux et web 2.0

Facebook et les dessous de la publicité ciblée

La publicité ciblée sur les réseaux sociaux engendre de nombreuses controverses. En effet, ces derniers récoltent des profils toujours plus précis pour pouvoir les vendre aux annonceurs. Entre profils explicites établis à partir des données que l’internaute a communiqué et profils prédictifs établis en observant le comportement des internautes, les enjeux du target advertising sur Facebook semblent être méconnus des internautes.
(suite…)

Commentaires fermés sur Facebook et les dessous de la publicité ciblée
06/06/2016
Chine / Données personnelles / Entreprises / France / Géolocalisation / start up

La stratégie Fifty-Five : un business international en développement

Grâce à Internet et à partir des données collectées, des entreprises comme Fifty-five aident leurs clients à comprendre les besoins des utilisateurs tout en organisant les données afin de proposer des offres personnalisées …     Une Start-up rachetée Il est essentiel de le rappeler que depuis janvier 2016, l'agence…

Commentaires fermés sur La stratégie Fifty-Five : un business international en développement
24/05/2016
CNIL / Données personnelles / Droit / Protection des données personnelles

Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?

En cas d’opération sur des traitements de données à caractère personnels, deux points sont à prendre en compte : la loi actuelle prévoit des déclarations et autorisations selon la nature des données traitées mais un règlement européen va entrer en vigueur au printemps 2016 et modifier le système actuel.
Quand le règlement sera définitivement adopté, vous aurez alors deux ans à compter de sa publication pour vous mettre en conformité avec ses règles.
 
Les régimes de déclaration, d’autorisation et d’interdiction
 
Pour le moment, trois cas de figures s’offrent à vous quand vous êtes responsable d’un traitement de données personnelles selon que les données soint dangereuses ou pas.
Les données sensibles sont définies comme « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Il s’agit là de critères objectifs : ils sont généraux et ne se distinguent pas selon la finalité du traitement ou selon les activités propres des prestataires.
 

  • Premier cas : régime de déclaration pour les données personnelles non sensibles

En tant que responsable de traitement, vous devrez satisfaire à une obligation de déclaration auprès de la CNIL (art. 22 LIL). Vous pouvez donc engager et mettre en place le traitement directement. Ce n’est  qu’une formalité déclarative qui peut être effectuée en ligne ou par voie postale, de façon normale ou simplifiée.
Peu contraignante, il est tout de même important de se plier à cette exigence et de ne pas la négliger. La CNIL peut faire des contrôles et vérifier que vous respectez les règles de traitement mais aussi que vos collectes sont conformes à ce que vous aviez déclaré.
Attention aussi à être bien sûr d’entrer dans ce cas de figure.
 

  • Deuxième cas : régime d’interdiction de principe du traitement des données sensibles

Ce sont des données qu’il peut être dangereux de traiter. De ce fait, elles sont soumises à un principe d’interdiction de traitement. Normalement, vous ne pouvez donc ni les collecter, ni les traiter, ni les héberger.
Pour autant, si la personne concernée donne un consentement exprès à votre  traitement, ce dernier est possible.
De plus, la LIL prévoit des traitements et des finalités spécifiques qui peuvent mettre en jeu des données sensibles.
 

  • Troisième cas : régime de déclaration préalable pour certaines données sensibles

Pour certains traitements particuliers , une autorisation de la CNIL peut permettre les opérations sur des données sensibles (Art.25 LIL). Les données concernées sont les suivants :

  • Les statistiques publiques;
  • Les données à caractère personnel qui doivent être anonymisées dans un bref délai ;
  • En cas d’intérêt public justifié et autorisé ;
  • Les données génétiques traitées automatiquement, hors ceux des médecins ou biologistes  « qui sont nécessaires aux fins de médecine préventives, des diagnostics médicaux ou de l’administration de soins ou de traitements »  ;
  • Les données relatives aux infractions, condamnations ou mesures de sûretés, sauf pour les traitements des auxiliaires de justice ;
  • « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »  ;
  • « Les traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents  » et ceux avec une  » interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes »  ;
  • Les données relatives aux numéros d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire;
  • Les données relatives aux difficultés sociales des personnes ;
  • Les données comportant des données biométriques.

Le texte prévoit éventuellement qu’une autorisation commune est possible pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires ». Il faut alors déclarer tous ces traitements dans sa demande auprès de la CNIL.
Les traitements réalisés pour le compte de l’Etat sont soumis à des dispositions particuliers. Vous pourrez les retrouver aux articles 25 et 26 de la LIL.
La CNIL est censée répondre dans un délai de deux mois à compter de la réception de la demande. Passé ce délai et sans nouvelle de sa part, c’est un rejet implicite.
Dans les faits, n’hésitez pas à régulièrement solliciter la CNIL pendant ce délai pour savoir où en est l’étude de votre demande et solliciter éventuellement une explication. 
 
Sur la nécessité d’un consentement (Art. 7 LIL)
 
En principe, le responsable de traitement doit avoir le consentement de la personne concernée. Ce consentement ne peut être déduit d’une simple absence de réponse. Selon l’article 7 de la LIL, le consentement doit être clair et non équivoque.
Par exemple, si vous faites valider un formulaire où la case consentement est déjà automatiquement cochée, ce dernier n’est pas valide.
Le texte prévoit tout de même cinq cas où le responsable de traitement peut mettre en oeuvre un traitement de données personnelles sans le consentement de la personne concernée :

  • s’il respecte une obligation légale qui lui incombe ;
  • en cas de « sauvegarde de la vie de la personne concernée » ;
  • en cas de mission de service public ;
  • dans le cadre de « l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci » ;
  • pour la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » .

Cette dernière condition est répandue auprès des responsables de traitement qui y voient un fourre-tout bien pratique. Il faut rester précis dans la définition de l’intérêt légitime.
En effet, en cas de contrôle, la CNIL étudie la proportionnalité entre l’intérêt légitime défendu et revendiqué par le responsable de traitement et les mesures prises par ce dernier pour protéger les droits et libertés de la personne.
Pour mieux connaître la procédure instaurée par le Règlement européen, un article viendra compléter celui-ci.
(suite…)

Commentaires fermés sur Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?
22/05/2016