Informatique et libertés

Actualités, Conférences Lexing, Evénement, Informatique et libertés, Secteur public

Conférence Lexing 2024 L’AIPD, analyse d’impact dans le secteur public

Anne Renard et Anthony Sitbon animent une Conférence Lexing sur L’analyse d’impact pour la protection des données dans le secteur public, le mercredi 9 octobre 2024 de 9h30 à 11h30 en visioconférence. Lire la suite L’AIPD, analyse d’impact pour la protection des données Conférence Lexing L’analyse d’impact dans le secteur public Le RGPD impose la conduite d’une analyse d’impact relative à la protection de la vie privée lorsqu’un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes ». L’AIPD (ou PIA, Privacy Impact Assessment) implique donc pour les organismes d’identifier et de minimiser les risques liés à la protection des données d’un nouveau projet. Par conséquent, il consiste à :– d’une part, examiner et établir la conformité juridique du traitement en cause et– d’autre part, s’assurer de la mise en œuvre du traitement dans un environnement technique sécurisé.– par ailleurs, il faut s’équiper d’outils spécifiques permettant d’identifier les mesures à prendre pour réduire les risques du traitement. La réalisation d’analyses d’impact dans le secteur public Conférence Lexing L’analyse d’impact dans le secteur public Les acteurs du secteur public, qu’il s’agisse des administrations d’État, des collectivités territoriales ou des établissements publics, sont ainsi souvent confrontés à la nécessité de réaliser une analyse d’impact pour les traitements à risque qu’ils sont amenés à mettre en œuvre, notamment lors de l’installation d’un système de vidéoprotection sur la voie publique ou dans le cadre des services publics à destination de populations vulnérables (aide sociale à l’enfance, protection maternelle et infantile, services médico-sociaux). Il incombe donc à l’organisme public qui a qualité de responsable du traitement, d’effectuer cette analyse d’impact avant la mise en œuvre des traitements concernés. Parmi les questions qu’aborderont Anne Renard et Anthony Sitbon : Comment déterminer si une analyse d’impact est nécessaire ? Que doit contenir une analyse d’impact ? Quelle est l’implication respective des différents acteurs ? (DPO, responsable du traitement, RSSI, sous-traitants) Quels sont les outils permettant de réaliser une AIP ? (audit de conformité au RGPD, etc.) Comment réaliser une bonne cartographie des risques techniques ? (retour d’expérience). Conférence Lexing 2024 L’AIPD dans le secteur public Conférence Lexing L’analyse d’impact dans le secteur public Faites donc le point en vous inscrivant à la visioconférence qui aura lieu le mercredi 9 octobre 2024 de 9h30 à 11h30, avec :  Anne Renard, avocate, titulaire du certificat de spécialisation en Droit de la protection des données personnelles, est directrice du département Conformité et Certification du cabinet Lexing Alain Bensoussan Avocats et a été désignée Déléguée à la protection des données (DPO) recommandée de la profession d’avocat par le Conseil National des Barreaux. Anthony Sitbon est consultant et dirige le département Sécurité de Lexing Technologies. Il présentera, en complément des aspects juridiques, les analyses de risque ainsi que les aspects techniques et organisationnels d’une analyse d’impact auxquels il faut prêter attention. Pour y assister, enregistrez-vous en complétant les champs marqués d’un (*) : Created by potrace 1.16, written by Peter Selinger 2001-2019 Anne Renard Avocate, Directrice du département Conformité et certification Anne Renard Avocate, Directrice du département Conformité et certification Avocate à la Cour d’appel de Paris, Anne Renard est directrice du département Conformité et Certification : Conformité en matière de protection des données personnelles et Conseil en matière de conformité des organismes. Elle a été désignée déléguée à la protection des données (DPO) recommandée de la profession d’avocat par le Conseil National des Barreaux. Anne Renard est nommée Best Lawyer dans la catégorie « Information Technology Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 74 10 44 24 Email:anne-renard@lexing.law Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies Consultant, Anthony Sitbon dirige le département Sécurité de Lexing Technologies. Il a la certification ISO 27005 en management du risque informatique du Professional Evaluation and Certification Board (PECB) (mars 2023), ainsi que la Certification « cybersécurité des TPE/PME » de l’Institut des Hautes Études de Défense Nationale (IHEDN) (octobre 2020). Anthony Sitbon accompagne ses clients les différents domaines relatifs à la cybersécurité. Phone:+33 (0)6 80 34 08 32 Email:anthony-sitbon@lexing-technologies.com Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

solutions alternatives aux cookies tiers
Actualités, Afterwork, Droits des personnes, Evénement, Informatique et libertés

Atelier en distanciel pour les DPO : les solutions alternatives aux cookies tiers

Tous à vos agendas ! Inscrivez-vous dès à présent à notre Atelier en distanciel :« Les solutions alternatives aux cookies tiers » qui aura lieu le lundi 9 septembre à 18h. Lire la suite Concernant les cookies tiers Atelier pour DPO : solutions alternatives aux cookies tiers A la suite de la décision de Google d’abandonner son projet d’interdiction des cookies tiers maintes fois reporté, l’écosystème de la publicité digitale souffle. Pour autant, si depuis quelques années les sociétés de l’Adtech et les annonceurs se préparaient à cette interdiction des cookies tiers généralisée, cette annonce ne doit pas sonner l’abandon des solutions alternatives, bien au contraire. En effet, non seulement les autorités encouragent l’adoption de solutions alternatives aux cookies tiers moins intrusives mais en plus, il est incontestable que les utilisateurs nourrissent une défiance de plus en plus grande vis à vis de ces cookies se traduisant notamment par des taux de recueil de consentement qui s’affaiblissent. et les solutions alternatives Atelier pour DPO : solutions alternatives aux cookies tiers C’est dans cette optique que nous proposons aux abonnés à la Lettre du DPO de participer à un atelier pratique en distanciel : « Les solutions alternatives aux cookies tiers : quel encadrement juridique » Ne manquez pas cette occasion unique de renforcer votre expertise en la matière ! Quel encadrement juridique ? Atelier pour DPO : solutions alternatives aux cookies tiers Pour les abonnés à la lettre du DPO, profitez en avant-première de notre offre d’atelier en distanciel : Date : lundi 9 septembre 2024 Heure : 18h00 Thème : Les solutions alternatives aux cookies tiers : quel encadrement juridique Animé par : Céline Avignon Inscription : celine-avignon@lexing.law Les avocats du cabinet Lexing vous donnent rendez-vous le 9 septembre à 18h. Les inscriptions se font par mél à celine-avignon@alain-bensoussan.com.Vous pouvez vous abonner à la Lettre Lexing du DPO en renvoyant ce Bulletin. Created by potrace 1.16, written by Peter Selinger 2001-2019 Céline Avignon Avocate, Directrice du département Publicité et Marketing électronique     Céline Avignon Avocate, Directrice du département Publicité et Marketing électronique Avocate à la Cour d’appel de Paris, Céline Avignon dirige le département Publicité et Marketing électronique du cabinet dont l’objectif est de répondre de manière opérationnelle aux attentes des métiers des entreprises qui opèrent leur transformation digitale, optent pour l’ominicanalité et définissent une stratégie customer centric en abandonnant leur modes de fonctionnement traditionnels. Céline Avignon est nommée Best Lawyer dans les catégories « Advertising Law » et « Privacy and Data Security Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 74 40 80 33 Email:celine-avignon@lexing.law     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Articles, Informatique et libertés, Publication, Santé, Secteur santé

Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux

Dans une décision du 22 février 2024 (1), le Garant de la protection des données personnelles (« GPDP »), homologue italien de la Cnil, a infligé une amende de 75 000€ à une société gérant sept hôpitaux pour accès non autorisé à des dossiers médicaux par son personnel. Lire la suite Quel est le contexte de la décision ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Le GPDP consécutivement au dépôt de trois plaintes à l’encontre de la société gérant les hôpitaux, concernant des accès répétés et non autorisés à des dossiers patients électroniques par des membres du personnel médical non impliqués dans le suivi desdits patients. Par exemple, une professionnelle de santé avait réussi à consulter les analyses de laboratoire de son ex-mari sans son consentement, alors même qu’elle n’était pas impliquée dans sa prise en charge. Quels sont les manquements observés dans l’accès aux dossiers médicaux ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux L’Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société ». Pour le GPDP, la société a manqué à son obligation de sécurité du traitement des données de santé à caractère personnel, notamment en : • permettant au personnel d’accéder aux dossiers patients électroniques, par auto-certification ; • autorisant par défaut un large éventail de professionnels, y compris le personnel administratif sans lien avec les soins des patients, à avoir accès aux dossiers patients électroniques ; • ne mettant en place aucun système d’alerte afin de détecter les comportements anormaux ou à risque liés aux opérations effectuées par les responsables de traitement. D’après le GPDP ces différents manquements constituent à la fois des violations du RGPD et une transgression des « Lignes directrices sur les dossiers médicaux » émises en juin 2015. Ces lignes directrices rappellent notamment que l’accès au dossier médical doit être limité aux seuls personnels de santé qui interviennent dans le processus de prise en charge des patients. En plus de l’amende administrative de 75 000€ infligée à la société, le GPDP a également ordonné de mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité des données personnelles traitées et d’éviter tout accès non autorisé aux dossiers médicaux des patients. Conclusion Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Cette décision fait écho à la sanction infligée par l’Autorité Espagnole de Protection des Données (« AEPD ») à un hôpital en novembre 2022 pour défaut de précautions empêchant l’accès non autorisé aux dossiers médicaux des patients (2). De son côté, la Cnil a récemment mis en demeure plusieurs établissements de santé d’adopter des mesures pour sécuriser le dossier patient électronique (3). Elle a insisté sur la nécessité de restreindre l’accès aux données médicales aux seuls professionnels habilités et justifiant d’un besoin légitime. Notes de bas de page : Décision n° 10001279 rendue par le GPDP, du 22 février 2024 Décision de l’AEPD du 18 novembre 2022 Communiqué de la CNIL du 9 février 2024. Avec la collaboration d’Eva Deniau, stagiaire étudiante en Master 2 Droit de la santé et de la protection sociale. Created by potrace 1.16, written by Peter Selinger 2001-2019 Isabelle Chivoret Avocate, Directrice du département Santé numérique Isabelle Chivoret Avocate, Directrice du département Santé numérique Avocate à la Cour d’appel de Paris, Isabelle Chivoret est directrice du département Droit de la santé numérique. Elle intervient dans les domaines du conseil et du contentieux en Droit de la santé et des Sciences de la vie, tant auprès de laboratoires pharmaceutiques, fabricants de dispositifs médicaux, sociétés de biotechnologie, que d’établissements et professionnels de santé, de groupement de coopération sanitaire et de GHT. Phone:+33 (0)6 79 40 91 20 Email:isabelle-chivoret@lexing.law Émilie Brulon Avocate, Département Santé numérique Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Conférences Lexing, Evénement, Informatique et libertés

Informatique et libertés : bilan Cnil et perspectives 2024-2028

Alain Bensoussan anime une Conférence Lexing« Informatique et libertés : bilan Cnil et perspectives 2024-2028 »,le mercredi 26 juin 2024 de 9h30 à 11h30. Vous pourrez assister à cette conférence en présentiel ou à distance, à votre convenance. Le 44e rapport d’activité de la Cnil, publié en avril 2024, révèle un nombre record de plaintes reçues et la mise en place d’une politique d’accompagnement repensée. Ce rapport d’activité, rendez-vous annuel de la Cnil, lui permet de rendre compte de ses actions au regard de ses quatre grandes missions : • informer et protéger le grand public, • accompagner et conseiller les professionnels et les pouvoirs publics, • anticiper et innover pour construire le numérique de demain, et enfin • contrôler et sanctionner les manquements au règlement général sur la protection des données et à la loi. Lire la suite Informatique et libertés bilan Cnil et perspectives Conférence Lexing I&L : bilan Cnil et perspectives 2024-2028 Au printemps 2023, la Cnil a décidé de créer une mission de sensibilisation du grand public ce qui s’est notamment traduit par une nette augmentation des sollicitations. La Cnil a reçu 16 433 plaintes, ce qui correspond une haussse significative de 35% par rapport l’année précédente, et 20 810 demandes recevables d’exercice des droits indirect, ce qui représente une explosion de 217% par rapport à 2022. Elle a répondu à 47 111 appels lors des permanences téléphoniques, traité 15 388 demandes écrites et procédé à 6 950 vérifications. Le site web cnil.fr a, encore cette année, enregistré un record d’audience, avec 11,8 millions de visites, témoignant d’un intérêt toujours croissant des publics, professionnels et particuliers, pour la protection des données, en particulier concernant l’hameçonnage (phishing), les cookies ou l’intelligence artificielle. Contrôle et sanctions de la Cnil Conférence Lexing I&L : bilan Cnil et perspectives 2024-2028 La Cnil a poursuivi une activité répressive soutenue avec : • 340 contrôles, majoritairement sur place et en ligne, • 42 sanctions prononcées (soit deux fois plus qu’en 2022), • dont 36 amendes pour un total de 89 179 500 euros. La présidente de la Cnil a aussi prononcé : • 168 mises en demeure et • 33 rappels aux obligations légales. Il s’agit aussi de l’année au cours de laquelle la procédure simplifiée a pris un réel essor. L’accompagnement des professionnels Conférence Lexing I&L : bilan Cnil et perspectives 2024-2028 En 2023, elle a enrichi sa stratégie d’accompagnement, en se focalisant, sur l’intelligence artificielle : • d’une part, via un accompagnement renforcé pour des entreprises présentant un fort potentiel économique ou d’innovation ; • d’autre part, via la troisième édition de son « bac à sable », dédié cette année aux projets de services publics. Par ailleurs, la Cnil a produit 13 nouveaux documents de référence : • 5 nouveaux guides, • 4 référentiels, • 2 recommandations et • 2 méthodologies de référence pour le secteur de la santé. I&L : bilan Cnil et perspectives 2024-2028 Conférence Lexing I&L : bilan Cnil et perspectives 2024-2028 Cette Conférence Lexing se tiendra à la fois en présentiel et à distance. Elle aura lieu le mercredi 26 juin de 9h30 à 11h30. Nous accueillerons les participants qui se seront déplacés, avec une légère collation à partir de 9h00 dans nos locaux, situés Immeuble Cap Étoile, 58 Gouvion-Saint-Cyr, 75017 Paris. Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) :   Created by potrace 1.16, written by Peter Selinger 2001-2019 Alain Bensoussan Avocat, Spécialiste en droit des nouvelles technologies de l’informatique Alain Bensoussan Avocat, Spécialiste en droit des nouvelles technologies de l’informatique Avocat, pionnier du droit des technologies avancées, du droit de l’informatique dans les années 80 puis de l’internet et des réseaux sociaux au tournant des années 2000, il aborde le droit des technologies robotiques dès 2014, expert reconnu du droit de la protection des données personnelles dont il a accompagné l’émergence dès 1978, Alain Bensoussan a toujours fait de l’innovation son maître-mot. Phone:+33 (0)1 82 73 05 05 Email:alain-bensoussan@lexing.law Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud.  Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.  API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires.  Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.  Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).  Ce guide s’adresse aussi bien aux délégués à la protection des

Actualités, Géolocalisation, Informatique et libertés

Consécration de la dualité des régimes de géolocalisation

Le 27 février 2024, la chambre criminelle de la Cour de cassation a distingué deux régimes applicables aux données de géolocalisation en fonction de la technique mise en œuvre permettant cette géolocalisation (1). En effet, la chambre criminelle a séparé la géolocalisation des voitures et celle de la ligne téléphonique. Cependant, la différence de traitement ne résulte pas d’une différence d’objet mais résulte de la différence des techniques employées pour mettre en œuvre la géolocalisation sur ces objets. Lire la suite Faits et procédures de l’affaire Consécration de la dualité des régimes de géolocalisation Dans la présente affaire, un homme a été soupçonné d’être impliqué dans des collectes d’argent en relation avec un trafic de produits stupéfiants. Une enquête a été ouverte pour donner suite à cette affaire. Les enquêteurs ont reçu l’autorisation du procureur de la République pour présenter des réquisitions de délivrance d’information à des opérateurs privés de téléphonie. En parallèle, ils ont aussi reçu l’autorisation de géolocaliser le téléphone du suspect, ainsi que deux véhicules du suspect. Le juge des libertés et de la détention a aussi donné son feu vert pour la mise en place d’écoutes téléphoniques dans le cadre de cette enquête. Le 24 août 2021, une information judiciaire a été ouverte pour des soupçons de blanchiment aggravé et d’association de malfaiteurs. Le suspect a été mis en examen et a demandé l’annulation de certaines pièces de la procédure. Cependant, la chambre de l’instruction de la Cour d’appel de Lyon a rejeté ses demandes, ce qui a conduit le mis en examen à former un pourvoi en cassation. Détails du pourvoi en cassation Consécration de la dualité des régimes de géolocalisation Le pourvoi est composé de quatre moyens. Les aspects de l’arrêt du 27 février 2024 nous intéressant particulièrement sont liés au deuxième moyen, relatif aux opérations de géolocalisation en temps réel du téléphone et des voitures. Les autres moyens sont quant à eux relatifs au régime des réquisitions adressées à des personnes privées, aux interceptions téléphoniques et à la prolongation des investigations en phase d’instruction. Donc, selon le second moyen du pourvoi, le procureur de la République ne pouvait pas valablement autoriser les mesures de géolocalisation ordonnées en l’espèce. En effet, en application de la jurisprudence de la Cour de justice de l’Union européenne et plus particulièrement de sa décision Prokuratuur du 2 mars 2021 (2), le représentant du ministère public ne peut pas autoriser l’accès d’une autorité publique aux données de communications électroniques d’un suspect, notamment celles relatives au trafic et aux données de localisation, sous réserve des procédures visant à la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique. Pour ladite Cour, « l’exigence d’indépendance à laquelle doit satisfaire l’autorité chargée d’exercer le contrôle préalable […] impose que cette autorité ait la qualité de tiers par rapport à celle qui demande l’accès aux données, de sorte que la première soit en mesure d’exercer ce contrôle de manière objective et impartiale, à l’abri de toute influence extérieure ». Elle ajoute que, « en particulier, dans le domaine pénal, l’exigence d’indépendance implique […] que l’autorité chargée de ce contrôle préalable, d’une part, ne soit pas impliquée dans la conduite de l’enquête pénale en cause et, d’autre part, ait une position de neutralité vis-à-vis des parties à la procédure pénale ». Elle estime bien logiquement que « tel n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique ». Dans la recherche de conciliation entre la protection des données à caractère personnel et de la vie privée, d’une part, et les nécessités d’une procédure pénale, d’autre part, la CJUE n’exclut pas l’accès aux données relatives aux communications électroniques d’un suspect. Elle en limite cependant, sous le contrôle d’une autorité publique indépendante, la possibilité « à des procédures visant à la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique » Cette solution a été reprise par la chambre criminelle de la Cour de cassation (3). Pour traiter le second moyen de ce pourvoi, la chambre criminelle a donc séparé la géolocalisation des voitures et celle de la ligne téléphonique. Elle a estimé que le moyen visant la géolocalisation de véhicules était inopérant, tandis que celui sur la ligne téléphonique a entraîné la cassation de l’arrêt. La différence de traitement résulte de la différence des techniques employées pour mettre en œuvre la géolocalisation. Cadre légal de la géolocalisation en temps réel en France Consécration de la dualité des régimes de géolocalisation L’article 230-32 du code de procédure pénale précise qu’il peut être recouru « à tout moyen technique destiné à la localisation en temps réel, sur l’ensemble du territoire national, d’une personne, à l’insu de celle-ci, d’un véhicule ou de tout autre objet, sans le consentement de son propriétaire ou de son possesseur », sous certaines réserves dont notamment si cette opération est exigée par les nécessités « d’une enquête ou d’une instruction portant sur un crime ou sur un délit puni d’au moins trois ans d’emprisonnement ». Cependant, le terme « tout moyen technique destiné à la localisation en temps réel » est peu clair. Selon un rapport du Sénat de 2014 (4), cette définition recouvre à la fois « la localisation en temps réel du terminal de communication détenu ou utilisé par une personne, ce qui permet de localiser celle-ci, et la localisation d’une balise GPS posée sur un objet ou, ce qui est le cas le plus fréquent, sur un véhicule ». En pratique, il en existe donc deux moyens techniques : • le suivi en temps réel du véhicule via un dispositif de téléphonie mobile ; et, • la pose de balises sur le véhicule. Géolocalisation via ligne téléphonique L’utilisation d’une ligne téléphonique par un suspect implique, de facto, l’utilisation d’un réseau de communications électroniques ainsi que de services de communications électroniques. Dès lors, les opérateurs de communications électroniques fournissant leurs services au suspect sont engagés dans le processus. Or ceux-ci sont tenus aux obligations particulières que leur statut

DPO, data protection officer
Actualités, Conférences Lexing, Correspondant à la protection des données, Evénement, Informatique et libertés

Conférence Lexing 2024 les outils d’accompagnement du DPO

Chloé Torres anime une conférence Lexing sur « Quels sont les outils d’accompagnement du DPO ? » le mercredi 20 mars 2024 de 9h00 à 11h00 en visioconférence. Désormais reconnu comme un acteur clé du nouveau système de gouvernance des données en Europe, le DPO joue un rôle de conseil et de pilotage de la conformité auprès du responsable de traitement qui l’emploie. Lire la suite QUELS SONT EN 2024 LES OUTILS D’ACCOMPAGNEMENT DU MÉTIER DE DPO ? Conférence Lexing du 20 mars 2024 Pour remplir ses missions de conseil et de pilote de la conformité, il peut créer, adapter ou acquérir des outils lui permettant : d’informer et de conseiller le responsable de traitement ; de sensibiliser et de former le personnel ; d’assurer le contrôler le respect de la législation applicable ; de coopérer avec la Cnil en cas de contrôle. Quoi qu’il en soit, il doit déployer de nombreux outils  qui lui permettront de réaliser des opérations telles que : l’audit et la cartographie des traitements ; les procédures internes prenant en compte les obligations du RGPD ; l’organisation et le pilotage de la documentation ; la gestion du registre des traitements ; l’encadrement des sous-traitants ; la conduite d’une analyse d’impact ; le traitement des failles de sécurité et plus généralement, la politique de sécurité ; la gestion des demandes des droits des personnes (notamment le droit d’accès et d’opposition) ; le reporting et le bilan annuel auprès des instances dirigeantes, etc.   Chloé Torres, avocate directrice du département Informatique et libertés répondra à vos questions lors de la visioconférence. Pour y assister, enregistrez-vous en renseignant les champs marqués d’un (*) Created by potrace 1.16, written by Peter Selinger 2001-2019 Chloé Torres Avocat, Directeur du département Informatique et libertés Chloé Torres Avocat, Directeur du département Informatique et libertés Avocate à la Cour d’appel de Paris depuis 2000, Chloé Torres a rejoint le cabinet Lexing Alain Bensoussan Avocats en 1999. Chloé Torres dirige le département Informatique et libertés. Elle est également le Délégué à la Protection des Données (DPO) du cabinet. Les activités du département Informatique et libertés couvrent les principaux domaines suivants : Chloé Torres Présentation Présentation vidéo mise en conformité au regard des exigences de la réglementation relative à la protection des données personnelles (RGPD, loi Informatique et libertés, décret d’application, doctrine de la Cnil et du CDPD) ; Phone:+33 (0)6 42 31 85 29 Email:chloe-torres@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus Le 18 décembre 2023, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un état de la menace ciblant le secteur des télécommunications (1).

Actualités, Articles, Informatique et libertés, Publication, Système d'information Ressources humaines, Télécom

Le télétravail au programme des contrôles de la Cnil

Le contrôle des outils de surveillance dans le cadre du télétravail est au programme de la Cnil. Frédéric Forster nous livre ses conseils dans le dernier numéro d’EDI Magazine. L’occasion de rappeler la nécessité de respecter un juste équilibre entre vie privée au travail et contrôle légitime par l’employeur.

Retour en haut