Big Data / CNIL / Données personnelles / Droit des données à caractère personnel / Droit des TIC / Général / Loi Informatique et Libertés / NTIC / Protection des donées personnelles / règlement européen / RGPD

Qu'est-ce qu'une donnée à caractère personnel ?

L’usage des technologies de l’information et de la communication (les « TIC ») génère un volume conséquent de données et a fortiori de données à caractère personnel. Afin de prendre en considération ces enjeux, le droit des données à caractère personnel instaure notamment de nouvelles obligations pour les responsables de traitement. Mais…

Commentaires fermés sur Qu'est-ce qu'une donnée à caractère personnel ?
17/09/2017
actualité / CNIL / Data / Digital economy / Données personnelles / Droit des données à caractère personnel / Loi Informatique et Libertés / règlement européen / responsabilité / RGPD / Union européenne

Le renforcement de la responsabilité des sous-traitants

Avec la loi informatique et libertés du 6 janvier 1978, les sous-traitants, des entreprises traitant des données personnelles pour le compte d’une autre entreprise, ne pouvaient pas voir leur responsabilité directement engagée. Les sous-traitants se voyaient imposer des obligations au titre de leur contrat conclu avec le responsable de traitement,…

Commentaires fermés sur Le renforcement de la responsabilité des sous-traitants
01/08/2017
CNIL / Données personnelles / Economie Numérique / Général / Loi Informatique et Libertés / Privacy / règlement européen

Quels principes protègent vos données personnelles et quelles pratiques ?

La protection des données personnelles est une question d’actualité notamment avec la démocratisation des réseaux sociaux et autres applications qui possèdent d’innombrables informations personnelles sur vous. Quels sont les principes qui permettent de protéger vos données personnelles lorsqu’elles sont traitées et collectées ? Quelles obligations doit respecter le responsable de…

Commentaires fermés sur Quels principes protègent vos données personnelles et quelles pratiques ?
14/08/2016
CNIL / Données personnelles / Droit / Protection des données personnelles

Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?

En cas d’opération sur des traitements de données à caractère personnels, deux points sont à prendre en compte : la loi actuelle prévoit des déclarations et autorisations selon la nature des données traitées mais un règlement européen va entrer en vigueur au printemps 2016 et modifier le système actuel.
Quand le règlement sera définitivement adopté, vous aurez alors deux ans à compter de sa publication pour vous mettre en conformité avec ses règles.
 
Les régimes de déclaration, d’autorisation et d’interdiction
 
Pour le moment, trois cas de figures s’offrent à vous quand vous êtes responsable d’un traitement de données personnelles selon que les données soint dangereuses ou pas.
Les données sensibles sont définies comme « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Il s’agit là de critères objectifs : ils sont généraux et ne se distinguent pas selon la finalité du traitement ou selon les activités propres des prestataires.
 

  • Premier cas : régime de déclaration pour les données personnelles non sensibles

En tant que responsable de traitement, vous devrez satisfaire à une obligation de déclaration auprès de la CNIL (art. 22 LIL). Vous pouvez donc engager et mettre en place le traitement directement. Ce n’est  qu’une formalité déclarative qui peut être effectuée en ligne ou par voie postale, de façon normale ou simplifiée.
Peu contraignante, il est tout de même important de se plier à cette exigence et de ne pas la négliger. La CNIL peut faire des contrôles et vérifier que vous respectez les règles de traitement mais aussi que vos collectes sont conformes à ce que vous aviez déclaré.
Attention aussi à être bien sûr d’entrer dans ce cas de figure.
 

  • Deuxième cas : régime d’interdiction de principe du traitement des données sensibles

Ce sont des données qu’il peut être dangereux de traiter. De ce fait, elles sont soumises à un principe d’interdiction de traitement. Normalement, vous ne pouvez donc ni les collecter, ni les traiter, ni les héberger.
Pour autant, si la personne concernée donne un consentement exprès à votre  traitement, ce dernier est possible.
De plus, la LIL prévoit des traitements et des finalités spécifiques qui peuvent mettre en jeu des données sensibles.
 

  • Troisième cas : régime de déclaration préalable pour certaines données sensibles

Pour certains traitements particuliers , une autorisation de la CNIL peut permettre les opérations sur des données sensibles (Art.25 LIL). Les données concernées sont les suivants :

  • Les statistiques publiques;
  • Les données à caractère personnel qui doivent être anonymisées dans un bref délai ;
  • En cas d’intérêt public justifié et autorisé ;
  • Les données génétiques traitées automatiquement, hors ceux des médecins ou biologistes  « qui sont nécessaires aux fins de médecine préventives, des diagnostics médicaux ou de l’administration de soins ou de traitements »  ;
  • Les données relatives aux infractions, condamnations ou mesures de sûretés, sauf pour les traitements des auxiliaires de justice ;
  • « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire »  ;
  • « Les traitements automatisés ayant pour objet : l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents  » et ceux avec une  » interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes »  ;
  • Les données relatives aux numéros d’inscription des personnes au répertoire national d’identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire;
  • Les données relatives aux difficultés sociales des personnes ;
  • Les données comportant des données biométriques.

Le texte prévoit éventuellement qu’une autorisation commune est possible pour « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires ». Il faut alors déclarer tous ces traitements dans sa demande auprès de la CNIL.
Les traitements réalisés pour le compte de l’Etat sont soumis à des dispositions particuliers. Vous pourrez les retrouver aux articles 25 et 26 de la LIL.
La CNIL est censée répondre dans un délai de deux mois à compter de la réception de la demande. Passé ce délai et sans nouvelle de sa part, c’est un rejet implicite.
Dans les faits, n’hésitez pas à régulièrement solliciter la CNIL pendant ce délai pour savoir où en est l’étude de votre demande et solliciter éventuellement une explication. 
 
Sur la nécessité d’un consentement (Art. 7 LIL)
 
En principe, le responsable de traitement doit avoir le consentement de la personne concernée. Ce consentement ne peut être déduit d’une simple absence de réponse. Selon l’article 7 de la LIL, le consentement doit être clair et non équivoque.
Par exemple, si vous faites valider un formulaire où la case consentement est déjà automatiquement cochée, ce dernier n’est pas valide.
Le texte prévoit tout de même cinq cas où le responsable de traitement peut mettre en oeuvre un traitement de données personnelles sans le consentement de la personne concernée :

  • s’il respecte une obligation légale qui lui incombe ;
  • en cas de « sauvegarde de la vie de la personne concernée » ;
  • en cas de mission de service public ;
  • dans le cadre de « l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci » ;
  • pour la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » .

Cette dernière condition est répandue auprès des responsables de traitement qui y voient un fourre-tout bien pratique. Il faut rester précis dans la définition de l’intérêt légitime.
En effet, en cas de contrôle, la CNIL étudie la proportionnalité entre l’intérêt légitime défendu et revendiqué par le responsable de traitement et les mesures prises par ce dernier pour protéger les droits et libertés de la personne.
Pour mieux connaître la procédure instaurée par le Règlement européen, un article viendra compléter celui-ci.
(suite…)

Commentaires fermés sur Professionnels, quelles formalités respecter en cas d'opérations sur des données personnelles ?
22/05/2016
Données personnelles / E-réputation / Général / vie privée

La CNIL sanctionne la société DHL d’un avertissement public pour la fuite de plus de 680 000 données clients

En raison d’un défaut de sécurité affectant la sécurité de centaines de milliers de données clients, la CNIL est venue sanctionner la société de transport DHL d’un avertissement public.

07451039-photo-dhl-logo
Alertée d’une potentielle faille affectant la sécurité  des données clients de DHL, la CNIL a effectué un contrôle sur place. A la suite de ce contrôle et consécutif à  l’existence d’une faille dans une application conçue par un sous-traitant concernant la relivraison des colis de leurs clients, il s’est avéré que plus de 680 000 fichiers clients du transporteur étaient librement accessibles  sur Internet. (suite…)

Commentaires fermés sur La CNIL sanctionne la société DHL d’un avertissement public pour la fuite de plus de 680 000 données clients
31/08/2014
Données personnelles / Droit des TIC / E-actualité / Général / vie privée

Un contrôle de conformité renforcé par le nouveau pouvoir d'investigation numérique de la CNIL

La loi du 17 mars 2014 relative à la consommation est venue modifier l’article 44 de la Loi Informatique et Libertés. La Loi Hamon donne ainsi à la CNIL la possibilité de procéder à des contrôles en ligne. Véritable renforcement de son pouvoir d’investigation, cette nouvelle disposition permettra à la CNIL de constater à distance les manquements à la loi du 6 janvier 1978.
CNIL_investigation_numérique
La CNIL pourra de ce fait “constater et agir en cas de failles de sécurité sur Internet” et “vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique“. (suite…)

Commentaires fermés sur Un contrôle de conformité renforcé par le nouveau pouvoir d'investigation numérique de la CNIL
07/06/2014
Données personnelles / Général / vie privée

La CNIL inflige une amende de 10 000€ à un annuaire en ligne

L’association Juricom et Associés qui gère l’annuaire en ligne de professions juridiques réglementées Actes-Types.com vient d’être condamnée par la CNIL à payer une amende de 10 000 euros. La CNIL vient ainsi sanctionner l’association qui avait refusé de supprimer les coordonnées de professionnels du droit de son annuaire au motif qu’il s’agissait de professionnels et que ces informations étaient disponibles librement sur Internet.
logo-cnilRecevant de nombreuses plaintes de professionnels du droit qui ne parvenait pas à obtenir la suppression de leurs coordonnées du site internet Actes-Types.com, Isabelle Falque-Pierrotin, Présidente de la CNIL, a mis en demeure l’association de respecter l’article 38 de la loi “Informatique et Libertés”. Ce dernier article garantit le droit, pour tout intéressé « faisant état d’un motif légitime, de s’opposer à ce que ses données fassent l’objet d’un traitement. » (suite…)

Commentaires fermés sur La CNIL inflige une amende de 10 000€ à un annuaire en ligne
15/04/2014