Et en France, on en est où sur le chiffrement des données

Comme nous avons pu le voir, le chiffrement des données fait débat outre atlantique, sans position franche pour l’instant. Et si cette affaire avait eu lieu sur le sol français que ce serait-il passé ?   En effet, le chiffrement des données fait également débat chez nous, et anime de plus…

Commentaires fermés sur Et en France, on en est où sur le chiffrement des données

Quel avenir pour le chiffrement des données?

C’est LA question qui a agité le petit monde du numérique pendant quelques mois et qui n’a toujours pas trouvé de réponse ; ou du moins de réponse juridique en ce qui concerne la bataille que se livrent l’entreprise Apple, dirigée par Tim Cook, et le FBI avec à sa tête…

Commentaires fermés sur Quel avenir pour le chiffrement des données?

La fin de la vie privée par Google

Alors que les perspectives de traitement des Big data sont encore insoupçonnées pour le grand public, Google lance un nouveau programme confidentiel qui permettrait, grâce à l’analyse de ces données, de prédire l’avenir.
(suite…)

Commentaires fermés sur La fin de la vie privée par Google

Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?

En cas d’opération sur des traitements de données à caractère personnels, deux points sont à prendre en compte : la loi actuelle prévoit des déclarations et autorisations selon la nature des données traitées mais un règlement européen va entrer en vigueur au printemps 2016 et modifier le système actuel.
Quand le règlement sera définitivement adopté, vous aurez alors deux ans à compter de sa publication pour vous mettre en conformité avec ses règles.
 
Les régimes de déclaration, d’autorisation et d’interdiction
 
Pour le moment, trois cas de figures s’offrent à vous quand vous êtes responsable d’un traitement de données personnelles selon que les données soint dangereuses ou pas.
Les données sensibles sont définies comme « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Il s’agit là de critères objectifs : ils sont généraux et ne se distinguent pas selon la finalité du traitement ou selon les activités propres des prestataires.
 

  • Premier cas : régime de déclaration pour les données personnelles non sensibles

En tant que responsable de traitement, vous devrez satisfaire à une obligation de déclaration auprès de la CNIL (art. 22 LIL). Vous pouvez donc engager et mettre en place le traitement directement. Ce n’est  qu’une formalité déclarative qui peut être effectuée en ligne ou par voie postale, de façon normale ou simplifiée.
Peu contraignante, il est tout de même important de se plier à cette exigence et de ne pas la négliger. La CNIL peut faire des contrôles et vérifier que vous respectez les règles de traitement mais aussi que vos collectes sont conformes à ce que vous aviez déclaré.
Attention aussi à être bien sûr d’entrer dans ce cas de figure.
 

  • Deuxième cas : régime d’interdiction de principe du traitement des données sensibles

Ce sont des données qu’il peut être dangereux de traiter. De ce fait, elles sont soumises à un principe d’interdiction de traitement. Normalement, vous ne pouvez donc ni les collecter, ni les traiter, ni les héberger.
Pour autant, si la personne concernée donne un consentement exprès à votre  traitement, ce dernier est possible.
De plus, la LIL prévoit des traitements et des finalités spécifiques qui peuvent mettre en jeu des données sensibles.
 

  • Troisième cas : régime de déclaration préalable pour certaines données sensibles

Pour certains traitements particuliers , une autorisation de la CNIL peut permettre les opérations sur des données sensibles (Art.25 LIL). Les données concernées sont les suivants :

  • Les statistiques publiques;
  • Les données à caractère personnel qui doivent être anonymisées dans un bref délai ;
  • En cas d’intérêt public justifié et autorisé ;
  • Les données génétiques traitées automatiquement, hors ceux des médecins ou biologistes  « qui sont nécessaires aux fins de médecine préventives, des diagnostics médicaux ou de l’administration de soins ou de traitements »  ;
  • Les données relatives aux infractions, condamnations ou mesures de sûretés, sauf pour les traitements des auxiliaires de justice ;
  • « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »  ;
  • « Les traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents  » et ceux avec une  » interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes »  ;
  • Les données relatives aux numéros d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire;
  • Les données relatives aux difficultés sociales des personnes ;
  • Les données comportant des données biométriques.

Le texte prévoit éventuellement qu’une autorisation commune est possible pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires ». Il faut alors déclarer tous ces traitements dans sa demande auprès de la CNIL.
Les traitements réalisés pour le compte de l’Etat sont soumis à des dispositions particuliers. Vous pourrez les retrouver aux articles 25 et 26 de la LIL.
La CNIL est censée répondre dans un délai de deux mois à compter de la réception de la demande. Passé ce délai et sans nouvelle de sa part, c’est un rejet implicite.
Dans les faits, n’hésitez pas à régulièrement solliciter la CNIL pendant ce délai pour savoir où en est l’étude de votre demande et solliciter éventuellement une explication. 
 
Sur la nécessité d’un consentement (Art. 7 LIL)
 
En principe, le responsable de traitement doit avoir le consentement de la personne concernée. Ce consentement ne peut être déduit d’une simple absence de réponse. Selon l’article 7 de la LIL, le consentement doit être clair et non équivoque.
Par exemple, si vous faites valider un formulaire où la case consentement est déjà automatiquement cochée, ce dernier n’est pas valide.
Le texte prévoit tout de même cinq cas où le responsable de traitement peut mettre en oeuvre un traitement de données personnelles sans le consentement de la personne concernée :

  • s’il respecte une obligation légale qui lui incombe ;
  • en cas de « sauvegarde de la vie de la personne concernée » ;
  • en cas de mission de service public ;
  • dans le cadre de « l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci » ;
  • pour la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » .

Cette dernière condition est répandue auprès des responsables de traitement qui y voient un fourre-tout bien pratique. Il faut rester précis dans la définition de l’intérêt légitime.
En effet, en cas de contrôle, la CNIL étudie la proportionnalité entre l’intérêt légitime défendu et revendiqué par le responsable de traitement et les mesures prises par ce dernier pour protéger les droits et libertés de la personne.
Pour mieux connaître la procédure instaurée par le Règlement européen, un article viendra compléter celui-ci.
(suite…)

Commentaires fermés sur Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?

Loi relative au renseignement : le point sur les IMSI catcher

renseignement  source Numérama http://www.numerama.com/magazine/34368-la-loi-renseignement-entre-en-vigueur-ce-samedi-3-octobre.html

 
La loi relative au renseignement a fait l’objet de nombreuses critiques, notamment parce qu’elle regorge de dispositions attentatoires aux libertés individuelles, et les IMSI catcher en font partis.
(suite…)

Commentaires fermés sur Loi relative au renseignement : le point sur les IMSI catcher

Le droit à la déconnexion au travail

Alors qu’il y a quelques décennies le cadre du travail était délimité par le bureau dans l’entreprise et des heures fixes en journée, à l’ère des sociétés hyperconnectées il est aujourd’hui difficile de définir ce qu’est la notion de lieu et temps de travail. Le rapport Mettling face au virage…

Commentaires fermés sur Le droit à la déconnexion au travail