Les logs de connexions incluant des adresses IP sont des données à caractère personnel

Par une décision  en référé en date du 17 juillet 2014, le Tribunal de Grande Instance de Paris ordonne à l’établissement bancaire Le Crédit Lyonnais  de communiquer à l’une de ses clientes  l’historique  de ses logs  de connexion et adresses IP liés à ses comptes, alors considérés comme des données à caractère personnel.
logo
La définition de « donnée personnelle » dont dispose l’article 2 alinéa 2 de la Loi Informatique et Libertés de 1978 n’étant pas exhaustive, il s’est déjà posé la question de savoir si l’adresse IP pouvait être considérée comme une donnée personnelle. En ce sens, la Cour d’Appel de Paris estimait dans deux affaires distinctes de 2007 que l’adresse IP ne permettait pas d’identifier le ou les personnes qui ont utilisé cet ordinateur tandis qu’au niveau européen, la cour européenne estimait au contraire que le traitement d’adresses IP devait être considéré comme un traitement de données à caractère personnel renvoyant aux autorités nationales à se prononcer sur la qualification de l’adresse IP.
Par cette ordonnance de référé du 17 juillet 2014, le TGI de Paris vient donc apporter un élément de réponse à la qualification des adresses IP attachées aux logs de connexion. (suite…)

Commentaires fermés sur Les logs de connexions incluant des adresses IP sont des données à caractère personnel

La CNIL sanctionne la société DHL d’un avertissement public pour la fuite de plus de 680 000 données clients

En raison d’un défaut de sécurité affectant la sécurité de centaines de milliers de données clients, la CNIL est venue sanctionner la société de transport DHL d’un avertissement public.

07451039-photo-dhl-logo
Alertée d’une potentielle faille affectant la sécurité  des données clients de DHL, la CNIL a effectué un contrôle sur place. A la suite de ce contrôle et consécutif à  l’existence d’une faille dans une application conçue par un sous-traitant concernant la relivraison des colis de leurs clients, il s’est avéré que plus de 680 000 fichiers clients du transporteur étaient librement accessibles  sur Internet. (suite…)

Commentaires fermés sur La CNIL sanctionne la société DHL d’un avertissement public pour la fuite de plus de 680 000 données clients

Le G29 publie un avis sur les techniques d’anonymisation

 
Le G29, organisation qui regroupe l’ensemble des autorités de protection des données à caractère personnel des Etats membres de l’Union Européenne, a publié un avis le 10 avril 2014 relatif aux principales  techniques d’anonymisation des données afin d’en expliquer leurs différentes mises en œuvre.
Anonymisation
A l’ère de l’individu connecté, le consumérisme de l’IT force tout à chacun à consommer l’information sous toutes ses formes, à la partager avec l’ensemble du « réseau social », qu’il soit réel ou virtuel. Ces nouveaux usages, qui modifient profondément la relation que chacun a avec l’autre et mettent à jour une société immatérielle hyper-connectée, modifient structurellement la stratégie des entreprises. (suite…)

Commentaires fermés sur Le G29 publie un avis sur les techniques d’anonymisation

Un arrêt de la Cour fédérale de New-York faciliterait l'accessibilité par les autorités américaines des données hébergées en Europe

Les entreprises françaises qui ont des projets impliquant  une externalisation de leurs données ont intérêt à se montrer prudentes avec leurs différents prestataires de Cloud Computing américains. En effet, la protection des données hébergées en Europe semble avoir été remise en cause par la potentielle accessibilité de ces dernières par le juge américain.
Microsoft
Par un arrêt de la Cour fédérale de New-York en date du 25 avril 2014, un juge fédéral  a notifié à Microsoft une injonction de lui fournir des données alors même que ces dernières étaient physiquement hébergées en Irlande. En l’espèce, dans le cadre d’une réquisition judiciaire relative à une enquête criminelle, un juge demande à Microsoft de lui fournir le contenu de courriels d’un suspect, informations pourtant stockées sur un serveur basé à Dublin  et donc soumises en principe à la protection de la réglementation européenne. (suite…)

Commentaires fermés sur Un arrêt de la Cour fédérale de New-York faciliterait l'accessibilité par les autorités américaines des données hébergées en Europe

La Cour de Justice de l’Union Européenne consacre le droit à l’oubli numérique

Par un arrêt en date du 13 mai 2014, la Cour de Justice de l’Union Européenne vient de préciser que l’exploitant d’un moteur de recherche sur Internet est responsable du traitement des données à caractère personnel qu’il effectue  et qui apparaissent sur des pages web publiées par des tiers. De ce fait, à la suite d’une recherche effectuée à partir du nom d’une personne, la personne concernée peut s’adresser directement aux moteurs de recherche afin de demander la suppression du lien faisant mention de son nom de la liste de résultats. La page en question ne sera pas supprimée mais simplement désindexée.
Google - Droit à l'oubli
En l’espèce, à la différence de l’affaire Mosley qui demandait la suppression de photos intimes pouvant porter atteinte à son honneur ou à sa dignité et diffusées sans son consentement, la réclamation de l’internaute espagnol auprès de l’Autorité espagnole de protection des données concernait la suppression et la désindexation de deux articles de presse évoquant ses dettes. L’internaute espagnol demandait qu’il soit ordonné à Google de supprimer ou d’occulter ses données personnelles afin qu’elles disparaissent des résultats de recherche et des liens de l’éditeur de presse en ligne. Tandis que l’autorité espagnole de protection des données a rejeté la réclamation contre l’éditeur en lien considérant que ce dernier avait  légalement publié l’information en cause, elle a demandé  à Google de prendre les mesures nécessaires pour désindexer les données en cause et les rendre inaccessibles à l’avenir. Faisant suite à cette décision, Google  décide de former un recours devant  l’Audiencia Nacional, Haut tribunal espagnol, juridiction  qui a déféré une série de questions à la Cour de Justice de l’Union Européenne. (suite…)

Commentaires fermés sur La Cour de Justice de l’Union Européenne consacre le droit à l’oubli numérique

Un contrôle de conformité renforcé par le nouveau pouvoir d'investigation numérique de la CNIL

La loi du 17 mars 2014 relative à la consommation est venue modifier l’article 44 de la Loi Informatique et Libertés. La Loi Hamon donne ainsi à la CNIL la possibilité de procéder à des contrôles en ligne. Véritable renforcement de son pouvoir d’investigation, cette nouvelle disposition permettra à la CNIL de constater à distance les manquements à la loi du 6 janvier 1978.
CNIL_investigation_numérique
La CNIL pourra de ce fait « constater et agir en cas de failles de sécurité sur Internet » et « vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique« . (suite…)

Commentaires fermés sur Un contrôle de conformité renforcé par le nouveau pouvoir d'investigation numérique de la CNIL

L'indemnisation de la perte de données dans le cadre d’un contrat d’infogérance suppose la preuve du préjudice

La Cour d’appel de Lyon vient préciser que la perte de données infogérées par un prestataire ne donne pas automatiquement droit à indemnisation du client. Par un arrêt du 11 février 2014, la 8ème chambre de la Cour d’appel de Lyon infirme l’ordonnance de référé du 12 décembre 2012 qui venait condamner à titre provisionnel la société d’infogérance à payer 300 000 euros de dommages et intérêts à son client. Les juges considéraient que le client n’avait pas apporté la preuve du préjudice subi par la perte de données.
Infogérance_perte de données
Dans cette affaire Euriware, prestataire d’infogérance, avait perdu plus de 200 000 fichiers de la société Haulotte, la réversibilité des données n’ayant pas été réceptionnée par la société Haulotte. Le contrat résilié par la société Haulotte, cette dernière saisi le juge des référés à des fins d’indemnisation du préjudice subi par la perte de données « liée à une panne d’un disque dur et à la défaillance d’un script de sauvegarde ». La société Euriware avançait devant le juge qu’elle n’a pas reconnu le principe de la perte des données informatiques, l’expertise technique en cours chargée de vérifier la réalité de cette perte ne reconnaissant qu’un « risque de perte ».  (suite…)

Commentaires fermés sur L'indemnisation de la perte de données dans le cadre d’un contrat d’infogérance suppose la preuve du préjudice