Cnil legal tools

  • View
    65

  • Download
    0

Embed Size (px)

Text of Cnil legal tools

  • Legal-tools.fr

  • CNIL : missionsInformer toutes les personnes concernes et tous les responsables de traitements de leurs droits et obligations au regard de la loi "informatique et liberts" (L. n 78-17, 6 janv. 1978, art. 11, 1) ; Assurer le respect des dispositions de la loi "informatique et liberts" (L. n 78-17, 6 janv. 1978, art. 11, 2) ; Apprcier, au regard des principes poss la loi, les projets de rgles professionnelles, de produits ou de procdures, y compris en les labellisant (L. n 78-17, 6 janv. 1978, art. 11, 3) ; Participer l'encadrement juridique de la protection des donnes caractre personnel (L. n 78-17, 6 janv. 1978, art. 11, 4).

  • CNIL : Deux types de contrleEnjeux : la protection des donnes personnellesDonnes personnelles : toute donne qui permet didentifier une personne physique, directement, ou indirectement.

    contrle a priori des traitements par l'encadrement du paysage de la protection des donnes caractre personnel et par l'examen des formalits pralablescontrle a posteriori des traitements dans le cadre des saisines qu'elle reoit et de ses pouvoirs de contrle et de sanction Lobligation de conformit dpend du contrle a priori

  • La gradation des donnes personnelles selon la CNIL

  • UNE ADRESSE IP EST-ELLE UNE ADRESSE PERSONNELLE ?CA RENNES, CH. COM., 28AVR. 2015, N14/05708, SARL CABINET PETERSON C/ SARL GROUPE LOGISNEUF, SARL C-INVEST, SARL EUROPEAN SOFTMais le simple relev d'une adresse IP aux fins de localiser un fournisseur d'accs ne constitue pas un traitement automatis de donnes caractre personnel au sens des articles 2, 9 et 25 de la loi informatique et libert du 6janvier 1978. L'adresse IP est constitue d'une srie de chiffres, n'est pas une donne mme indirectement nominative alors qu'elle ne se rapporte qu' un ordinateur et non l'utilisateur. La loi en question vise en outre les personnes physiques, identifies directement ou indirectement. Les adresses IP peuvent tre attribues des personnes morales et la conservation de ces donnes ne relvent alors en tout tat de cause pas de ces dispositions lgales. Le fait de conserver, en vue de la dcouverte ultrieure des auteurs de pntrations non autorises sur un rseau informatique, une liste d'adresses IP d'ordinateurs qui ont t connectes sur un rseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de donnes caractre personnel.Il n'est pas ncessaire de saisir la CNIL d'une demande d'avis sur ce point.

  • Relations banque-clients et collecte des donnes personnellesTGI Paris, ord. rf., 7juill. 2014, M. c/ Crdit Lyonnais: http://www.legalis.netAttendu que Mme M., qui dispose de deux comptes bancaires ouverts auprs de la socit LCL, nous demande, sur le fondement de l'article808 du Code de procdure civileet de laloi n78-17 du 6janvier 1978, plus spcialement en son article39, d'enjoindre sous astreinte cette dernire de lui communiquer l'historique des logs de connexion de ses deux comptes en ligne depuis leur cration, de lui allouer une somme de 2000 titre de dommages-intrts provisionnels en rparation de son prjudice, outre une indemnit de 3000 au titre de l'article700 du Code de procdure civile;Attendu qu' l'appui de sa demande de communication de ses logs de connexion, Mme M. justifie avoir reu, le 31juillet 2013, un e-mail de sa banque l'informant de ce que son compte prsentait une situation dbitrice, dont le destinataire principal tait M.Kamel S., collgue de son mari, son adresse e-mail n'apparaissant qu'en copie, puis avoir vainement mis en demeure sa banque, pour la premire fois le 17dcembre 2013, de lui communiquer l'historique deslogsde connexion de ses comptes;Que, pour s'opposer cette prtention, LCL soutient que les donnes dont Mme M. sollicite la communication ne sont pas desdonnes personnelles,mais celles de tiers, de sorte qu'elle n'y a aucun droit d'accs, et que les dispositions de laloi du 6janvier 1978n'ont pas vocation s'appliquer;Mais attendu qu'il est constant que, dans ses changes en ligne avec ses clients, la socit LCL est soumise aux dispositions de laloi n78-17 du 6janvier 1978modifie;Que l'article39-1 de cette loi consacre un droit d'accs de toute personne physique ses donnes caractre personnel;Qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l'accs ses propres comptes et, ainsi, sur des donnes qui lui sont personnelles, et l'ventualit que cette communication rvlerait une utilisation frauduleuse ne saurait la priver du droit que lui confre l'article39-1 de laloi du 6janvier 1978d'obtenir que lui soient communiques lesdonnes personnellesqu'elle sollicite;Que la contestation oppose par la socit LCL n'tant ainsi pas srieuse et l'urgence rsultant de la conservation lgale des donnes pendant une dure limite un an, il sera fait droit la prtention de Mme M. selon les modalits prcises dans le dispositif ci-aprs, et compter du 17juillet 2013 tenant compte de la date de conservation lgale des donnes laquelle la socit LCL est astreinte;

  • Synthse sur les obligations en matire de donnes personnelleshttp://www.donneespersonnelles.fr/les-principales-obligations-legales

  • Enjeux de la procdure de dclaration la CNILDroit pnal : articles 226-16 et s. du Code pnalLe fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans quaient t respectes les formalits pralables leur mise en uvre prvues par la loi est puni de cinq ans demprisonnement et de 300 000 damende.Droit du travail : Cass. Soc. 6 fvrier 2004 dfaut de dclaration la Commission nationale de l'informatique et des liberts d'un traitement automatis d'informations nominatives concernant un salari, son refus de dfrer une exigence de son employeur impliquant la mise en uvre d'un tel traitement ne peut lui tre reproch. Sanctions CNIL : La victime peut saisir gratuitement eten lignelaCnilpour contester la diffusion de son image en tant que donne caractre personnel par un site internet aprs avoir demand sans succs l'arrt de cette diffusion au responsable du site. LaCnilpeut prononcer des sanctions (avertissement, sanctions pcuniaires, injonctions, etc).Ex : la FNAChttp://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2012-214-FNAC.pdf Sans compter les consquences sur limage de lentreprise.

  • Interdiction de collecter des donnes personnelles sur internet Cass. Crim., 14 mars 2006 Attendu qu'il rsulte de l'arrt attaqu et des pices de procdure que la socit Alliance bureautique service (ABS) a adress, en 2002 et 2003, des courriers lectroniques publicitaires non sollicits des particuliers dont elle avait obtenu les adresses lectroniques sur l'espace public du rseau internet en utilisant, dans un premier temps, le logiciel Robot mail qui enregistrait ces informations dans un fichier en vue d'un usage ultrieur puis, dans un second temps, l'aide du logiciel Freeprospect qui adressait les messages publicitaires aux adresses collectes sans les enregistrer dans un fichier ; que, sur dnonciation de la Commission nationale de l'informatique et des liberts, Fabrice X..., dirigeant de la socit ABS, a t cit par le procureur de la Rpublique devant la juridiction correctionnelle du chef de collecte de donnes nominatives par un moyen frauduleux, dloyal ou illicite ; qu'il a t renvoy des fins de la poursuite ; que le ministre public a interjet appel ;Attendu que, pour dclarer le prvenu coupable du dlit prvu par l'article 226-18 du Code pnal dans sa rdaction alors en vigueur et le condamner, l'arrt attaqu nonce qu'il a collect des adresses lectroniques, qui constituent des donnes nominatives, de faon dloyale en ce qu'elles ont t utilises sans rapport avec l'objet de leur mise en ligne ; que les juges ajoutent que les titulaires des adresses n'ont pas donn leur consentement alors que le droit d'opposition dont ils disposaient supposait qu'ils soient aviss, avant tout enregistrement, de ce que les informations nominatives les concernant pouvaient faire l'objet d'un traitement ; qu'enfin, pour carter l'argumentation du prvenu qui faisait valoir que le logiciel Freeprospect se bornait cibler l'adresse lectronique concerne, mais n'enregistrait aucune donne, les juges retiennent que les donnes sont collectes et traites et que les adresses sont mmorises ne serait-ce qu'un instant dans la mmoire vive de l'ordinateur ;Attendu qu'en cet tat, la cour d'appel a justifi sa dcision ;Que, d'une part, constitue une collecte de donnes nominatives le fait d'identifier des adresses lectroniques et de les utiliser, mme sans les enregistrer dans un fichier, pour adresser leurs titulaires des messages lectroniques ;Que, d'autre part, est dloyal le fait de recueillir, leur insu, des adresses lectroniques personnelles de personnes physiques sur l'espace public d'internet, ce procd faisant obstacle leur droit d'opposition ;

  • Enjeux de la labellisation CNILDouble enjeu : pour les entreprises : garantir un haut niveau de protectionpour les individus : indicateur de confiance.

    CNIL, communiqu, 13 janv. 2015.La CNIL a cr le 13 janvier son quatrime rfrentiel lui permettant de dlivrer des labels aux procdures de gouvernance Informatique et Liberts. La gouvernance Informatique et Liberts dfinit les rgles et les bonnes pratiques permettant un organisme d'assurer une gestion de ses donnes respectueuse des principes Informatique et Liberts. Le rfrentiel s'adresse aux organismes disposant d'un correspondant Informatique et Liberts (CIL). En pratique, 25 exigences sont requises dans plusieurs domaines : l'organisation interne lie la protection des donnes, la mthode de vrification de la conformit des traitements la loi Informatique et Liberts, la gestion des rclamations et incidents. Le label sera un indicateur de confiance pour les clients et les usa