Download ppt - Cnil legal tools

Legal-tools.fr

CNIL : missions

• Informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations au regard de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 1°) ;

• Assurer le respect des dispositions de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 2°) ;

• Apprécier, au regard des principes posés la loi, les projets de règles professionnelles, de produits ou de procédures, y compris en les labellisant (L. n° 78-17, 6 janv. 1978, art. 11, 3°) ;

• Participer à l'encadrement juridique de la protection des données à caractère personnel (L. n° 78-17, 6 janv. 1978, art. 11, 4°).

CNIL : Deux types de contrôle

• Enjeux : la protection des données personnelles• Données personnelles : toute donnée qui permet d’identifier une

personne physique, directement, ou indirectement.

contrôle a priori des traitements par l'encadrement du paysage de la protection des données à caractère personnel et par l'examen des formalités préalables

contrôle a posteriori des traitements dans le cadre des saisines qu'elle reçoit et de ses pouvoirs de contrôle et de sanction

L’obligation de conformité dépend du contrôle a priori

La gradation des données personnelles selon la CNIL

UNE ADRESSE IP EST-ELLE UNE ADRESSE PERSONNELLE ?CA RENNES, CH. COM., 28 AVR. 2015, N° 14/05708, SARL CABINET PETERSON C/ SARL GROUPE LOGISNEUF, SARL C-INVEST, SARL EUROPEAN SOFT

• Mais le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978. L'adresse IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relèvent alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d'adresses IP d'ordinateurs qui ont été connectées sur un réseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel.

• Il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point.

Relations banque-clients et collecte des données personnellesTGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net

• Attendu que Mme M., qui dispose de deux comptes bancaires ouverts auprès de la société LCL, nous demande, sur le fondement de l'article 808 du Code de procédure civile et de la loi n° 78-17 du 6 janvier 1978, plus spécialement en son article 39, d'enjoindre sous astreinte à cette dernière de lui communiquer l'historique des logs de connexion de ses deux comptes en ligne depuis leur création, de lui allouer une somme de 2 000 € à titre de dommages-intérêts provisionnels en réparation de son préjudice, outre une indemnité de 3 000 € au titre de l'article 700 du Code de procédure civile ;

• Attendu qu'à l'appui de sa demande de communication de ses logs de connexion, Mme M. justifie avoir reçu, le 31 juillet 2013, un e-mail de sa banque l'informant de ce que son compte présentait une situation débitrice, dont le destinataire principal était M. Kamel S., collègue de son mari, son adresse e-mail n'apparaissant qu'en copie, puis avoir vainement mis en demeure sa banque, pour la première fois le 17 décembre 2013, de lui communiquer l'historique des logs de connexion de ses comptes ;

• Que, pour s'opposer à cette prétention, LCL soutient que les données dont Mme M. sollicite la communication ne sont pas des données personnelles,mais celles de tiers, de sorte qu'elle n'y a aucun droit d'accès, et que les dispositions de la loi du 6 janvier 1978 n'ont pas vocation à s'appliquer ;

• Mais attendu qu'il est constant que, dans ses échanges en ligne avec ses clients, la société LCL est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée ;

• Que l'article 39-1 de cette loi consacre un droit d'accès de toute personne physique à ses données à caractère personnel ;

• Qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l'éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l'article 39-1 de la loi du 6 janvier 1978 d'obtenir que lui soient communiquées les données personnelles qu'elle sollicite ;

• Que la contestation opposée par la société LCL n'étant ainsi pas sérieuse et l'urgence résultant de la conservation légale des données pendant une durée limitée à un an, il sera fait droit à la prétention de Mme M. selon les modalités précisées dans le dispositif ci-après, et à compter du 17 juillet 2013 tenant compte de la date de conservation légale des données à laquelle la société LCL est astreinte ;

http://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?A=0.3873045845827594&bct=A&service=citation&risb=21_T22932006818&langcountry=FR&linkInfo=F%23FR%23fr_code%23title%25Code+de+proc%C3%A9dure+civile%25article%25808%25art%25808%25

http://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?A=0.06000101586984652&bct=A&service=citation&risb=21_T22932006818&langcountry=FR&linkInfo=F%23FR%23fr_acts%23num%2578-17%25sel1%251978%25acttype%25Loi%25enactdate%2519780106%25

http://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?A=0.3525751860060301&bct=A&service=citation&risb=21_T22932006818&langcountry=FR&linkInfo=F%23FR%23fr_code%23title%25Code+de+proc%C3%A9dure+civile%25article%25700%25art%25700%25

http://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?A=0.5931343159247993&bct=A&service=citation&risb=21_T22932006818&langcountry=FR&linkInfo=F%23FR%23fr_acts%23sel1%251978%25acttype%25Loi%25enactdate%2519780106%25

http://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?A=0.7157274267278138&bct=A&service=citation&risb=21_T22932006818&langcountry=FR&linkInfo=F%23FR%23fr_acts%23num%2578-17%25sel1%251978%25acttype%25Loi%25enactdate%2519780106%25

Synthèse sur les obligations en matière de données personnelleshttp://www.donneespersonnelles.fr/les-principales-obligations-legales

Enjeux de la procédure de déclaration à la CNIL

Droit pénal : articles 226-16 et s. du Code pénalLe fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Droit du travail : Cass. Soc. 6 février 2004À défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d'un tel traitement ne peut lui être reproché.

Sanctions CNIL : La victime peut saisir gratuitement et en ligne la Cnil pour contester la diffusion de son image en tant que donnée à caractère personnel par un site internet après avoir demandé sans succès l'arrêt de cette diffusion au responsable du site. La Cnil peut prononcer des sanctions (avertissement, sanctions pécuniaires, injonctions, etc).Ex : la FNAChttp://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2012-214-FNAC.pdf

Sans compter les conséquences sur l’image de l’entreprise.

Interdiction de collecter des données personnelles sur internet – Cass. Crim., 14 mars 2006 • Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que la société Alliance bureautique service (ABS) a

adressé, en 2002 et 2003, des courriers électroniques publicitaires non sollicités à des particuliers dont elle avait obtenu les adresses électroniques sur l'espace public du réseau internet en utilisant, dans un premier temps, le logiciel Robot mail qui enregistrait ces informations dans un fichier en vue d'un usage ultérieur puis, dans un second temps, à l'aide du logiciel Freeprospect qui adressait les messages publicitaires aux adresses collectées sans les enregistrer dans un fichier ; que, sur dénonciation de la Commission nationale de l'informatique et des libertés, Fabrice X..., dirigeant de la société ABS, a été cité par le procureur de la République devant la juridiction correctionnelle du chef de collecte de données nominatives par un moyen frauduleux, déloyal ou illicite ; qu'il a été renvoyé des fins de la poursuite ; que le ministère public a interjeté appel ;

• Attendu que, pour déclarer le prévenu coupable du délit prévu par l'article 226-18 du Code pénal dans sa rédaction alors en vigueur et le condamner, l'arrêt attaqué énonce qu'il a collecté des adresses électroniques, qui constituent des données nominatives, de façon déloyale en ce qu'elles ont été utilisées sans rapport avec l'objet de leur mise en ligne ; que les juges ajoutent que les titulaires des adresses n'ont pas donné leur consentement alors que le droit d'opposition dont ils disposaient supposait qu'ils soient avisés, avant tout enregistrement, de ce que les informations nominatives les concernant pouvaient faire l'objet d'un traitement ; qu'enfin, pour écarter l'argumentation du prévenu qui faisait valoir que le logiciel Freeprospect se bornait à cibler l'adresse électronique concernée, mais n'enregistrait aucune donnée, les juges retiennent que les données sont collectées et traitées et que les adresses sont mémorisées ne serait-ce qu'un instant dans la mémoire vive de l'ordinateur ;

• Attendu qu'en cet état, la cour d'appel a justifié sa décision ;

• Que, d'une part, constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ;

• Que, d'autre part, est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;

Enjeux de la labellisation CNIL

Double enjeu : • pour les entreprises : garantir un haut niveau de protection• pour les individus : indicateur de confiance.

CNIL, communiqué, 13 janv. 2015. La CNIL a créé le 13 janvier son quatrième référentiel lui permettant de délivrer des labels aux procédures de gouvernance Informatique et Libertés. La gouvernance Informatique et Libertés définit les règles et les bonnes pratiques permettant à un organisme d'assurer une gestion de ses données respectueuse des principes Informatique et Libertés. Le référentiel s'adresse aux organismes disposant d'un correspondant Informatique et Libertés (CIL). En pratique, 25 exigences sont requises dans plusieurs domaines : l'organisation interne liée à la protection des données, la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés, la gestion des réclamations et incidents. Le label sera un indicateur de confiance pour les clients et les usagers. Il devrait constituer, pour les entreprises, collectivités, associations ou administrations, un cadre éthique et juridique, témoignant de la volonté de l'organisme d'innover et de traiter les données personnelles de manière responsable. Notons que cette démarche permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d'accountability.

Accountability : obligation de rendre compte et d’expliquer les mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés.

Rôle du correspondant informatique et liberté

Le principe d’accountability implique notamment la nomination d’un CIL.• personne désignée par le responsable du traitement de données s'assure que les traitements

effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. La personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance".

• le CIL doit posséder les qualifications nécessaires à l'exercice de ses fonctions ; • le CIL doit exercer ses fonctions de manière indépendante et éviter les situations de conflit

d'intérêts ; • les missions du CIL sont principalement relatives à la tenue d'un registre des traitements, le

contrôle de conformité à la loi "informatique et libertés" des traitements mis en œuvre, la sensibilisation des opérationnels aux règles de protection des données, l'accompagnement des projets informatiques ainsi que la gestion des relations avec les personnes fichées et l'autorité locale de protection des données.

• Soit CIL "interne", c'est-à-dire un salarié de l'organisme concerné ;• Soit CIL externe• Dans un cas comme dans l’ autre, cela peut être une personne morte.

Dernière étape : l’adoption de package

Dernière étape dans une logique de compliance : définir par secteur les obligations que les acteurs économiques doivent respecter.Ex : l’assurance

Qui sommes nous • Legal Tools est le fruit de la rencontre entre l’expertise juridique et l’expertise

informatique (mettre des photos). • Jacques Amar, maître de conférences en droit privé HDR, Université Paris-

Dauphine enseigne le droit des affaires depuis plus de 15 ans. Il est spécialisé dans l’expertise juridique de sites informatiques. • Lionel Chemla, ingénieur, président de la SAS Catalyse It, spécialisée dans la mise

en place de business process management. Son expérience comme ses qualifications en font un expert reconnu en matière de crédit-impôt recherche et de système d’information. • Contact : [email protected]