Contrôle Cnil

détection de gestes suspects
Actualités, Articles, Informatique et libertés Contentieux, Publication, Robot

Non-conformité d’une solution pour la détection de gestes suspects

Le 21 juin 2024, le Conseil d’État a rendu une décision importante à l’encontre d’une société spécialisée dans l’intelligence artificielle appliquée à la sécurité ayant développé une solution pour la détection de gestes suspects (1). Lire la suite La procédure de contrôle diligentée par la Cnil Non-conformité d’une solution pour la détection de gestes suspects La société requérante avait développé une solution de détection de gestes suspects, installée sur des boîtiers adossés à un dispositif de vidéoprotection. La Cnil, à l’issue d’une procédure de contrôle orientée sur la conformité des traitements de données personnelles mis en œuvre au travers de la solution, a conclu à la non-conformité de ce dispositif à la règlementation relative à la protection des données et en a informé les clients utilisateurs de cette décision. Les fondements de la saisine du Conseil d’État Non-conformité d’une solution pour la détection de gestes suspects Contestant la décision de la Cnil, la société requérante a saisi le Conseil d’État en référé, demandant la suspension de la décision en invoquant que : • la position de l’autorité de contrôle aurait un impact significatif sur ses activités commerciales ; • cette décision excéderait ses pouvoirs en constituant une sanction déguisée. Au soutien de ses prétentions, la société requérante invoquait les dispositions de l’ancien article R253-3 du Code la sécurité intérieure qui, selon elle, écartait tout droit d’opposition des personnes concernées à un traitement de vidéoprotection. La position de la Cnil Non-conformité d’une solution pour la détection de gestes suspects La requérante faisait valoir que l’application de cet article à sa solution pour la détection de gestes suspects exclurait la position de la Cnil sur l’utilisation des caméras augmentées dans l’espace public (2). En effet, dans cette position du 19 juillet 2022, la Cnil rappelait que le droit d’opposition doit être garanti à tout moment et effectif et énonçait que « la plupart des dispositifs nécessitent, pour pouvoir être légalement mis en œuvre, l’existence d’un texte de nature législative ou règlementaire les autorisant et les encadrant ». Pour plus de détails sur la position de la Cnil, vous pouvez consulter notre article à ce sujet. L’apport de la décision du Conseil d’État Non-conformité d’une solution pour la détection de gestes suspects Le Conseil d’État a estimé que les arguments de la société requérante n’étaient pas de nature à créer un doute sérieux sur la légalité de la décision de la Cnil. Par ailleurs, il rappelle que l’article 10 de la loi du 19 mai 2023 (3), énonçant que les traitements d’images de vidéoprotection autorisés par l’article L.252-2 du Code de la sécurité intérieure peuvent, à titre expérimental, faire l’objet d’un traitement algorithmique uniquement pour « assurer la sécurité de manifestations sportives, récréatives ou culturelles, qui par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Or, la solution de détection de gestes suspects, développée par la société requérante, ne poursuit pas, pour le Conseil d’Etat, une telle finalité. La requête de suspension du courrier de non-conformité de la Cnil est ainsi logiquement rejetée par le Conseil d’Etat. Cette décision permet de souligner les défis auxquels sont confrontées les entreprises innovantes dans le domaine de la sécurité lorsqu’il s’agit de respecter les exigences pour les droits et libertés des personnes concernées. Elle met également en lumière l’importance de la protection des données personnelles dans un contexte où les nouvelles technologies de surveillance deviennent, par leur complexité, de plus en plus intrusives. Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law. (1) Conseil d’État, Décision n°495153 du 21-6-2024.(2) Cnil, Article du 19-7-2022.(3) Loi n°2023-380 du 19-5-2023 relative aux jeux Olympiques et Paralympiques de 2024, art. 10. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate directrice du Pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate directrice du Pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Barthélémy Busse Avocat, Responsable d'activité Contentieux numérique au sein du Pôle Contentieux numérique Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

chaîne répressive de la Cnil
Actualités, Conférences Lexing, Evénement, Informatique et libertés Contentieux

Conférence Lexing 2024 La chaîne répressive de la Cnil

Assistez à la Conférence Lexing sur la chaîne répressive de la Cnil animée par Maître Marion Catier, directrice du département Protection des données personnelles Contentieux du cabinet Lexing, le mercredi 25 septembre 2024 de 9h30 à 11h30 en visioconférence. Lire la suite La chaîne répressive de la Cnil Conférence Lexing 2024 La chaîne répressive de la Cnil La Cnil dispose d’une chaîne répressive complète lui permettant de recevoir des plaintes et de réaliser des contrôles (sur place, en ligne, sur pièces, notamment). La suite de ces plaintes et contrôles peuvent être la clôture du dossier (avec ou sans observation), une mise en demeure qui peut être rendue publique, un rappel aux obligations légale ou, en cas de manquements graves à la réglementation sur la protection des données, l’engagement d’une procédure de sanction simplifiée ou ordinaire pouvant aboutir au prononcé d’une sanction financière qui peut être rendue publique dans le cadre de la procédure de sanction ordinaire. En 2023, la Cnil a instruit plus de 16 000 plaintes, procédé à 340 contrôles et prononcé 168 mises en demeure et 42 sanctions pour un montant de 89 179 500 euros.  Les décisions de sanction ont porté sur des thématiques variées (e.i publicité et commerce en ligne, sécurité des données personnelles, surveillance des salariés) et ont été prononcées à l’encontre d’organismes privés (petites entreprises ou multinationales) mais aussi d’organismes publics. Par ailleurs, le non-respect de la réglementation sur la protection des données est constitutif d’un acte de concurrence déloyale sanctionné sur le fondement de l’article 1240 du code civil comme l’a jugé la Cour d’appel de Paris dans son arrêt n°21/00180 du 9 novembre 2022. Pour y assister, enregistrez-vous en remplissant les champs marqués d’un (*) : Created by potrace 1.16, written by Peter Selinger 2001-2019 Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Marion Catier est Directeur de l’activité Contentieux Données personnelles au sein du pôle Contentieux numérique. Elle intervient principalement dans le cadre de contentieux et précontentieux relatifs à la protection des données à caractère personnel et des systèmes d’intelligence artificielle. Marion Catier intervient également dans le cadre de contentieux liés aux systèmes d’information, devant les juridictions civiles et commerciales. Phone:+33 (0)6 74 40 73 22 Email:marion-catier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

organisations altruistes
Actualités, Articles, Données publiques, Publication

La Cnil, autorité compétente pour l’altruisme en matière de données

Les organisations altruistes en matière de données sont désormais sous le contrôle de la Cnil. La loi « SREN » (1) désigne la Commission nationale de l’informatique et des libertés (Cnil) comme l’autorité compétente pour l’altruisme en matière de données, au sens de l’article 23 du DGA  ou « Data Governance Act » (2). Lire la suite L’objet du Data Governance Act : La Cnil, autorité compétente pour l’altruisme en matière de données Le Data Governance Act met en place un cadre général pour faciliter le partage des données au sein de l’Union européenne. Le but est de garantir à la fois l’accès à de grands volumes de données au profit de l’économie européenne et un contrôle sur les données propre à renforcer la souveraineté numérique au sein de l’Union européenne. Il s’inscrit, avec le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (dit « Data Act »), dans le cadre de la stratégie européenne pour les données. Dans ce but, le Data Governance Act établit : • les conditions de réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public ; • un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données ; • un cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes ; • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données. L’altruisme : favoriser le partage des données au sein de l’UE La Cnil, autorité compétente pour l’altruisme en matière de données L’article 2, paragraphe 16 du Data Governance Act définit l’altruisme en matière de données comme « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national […] ». Ces objectifs d’intérêt général concernent notamment les soins de santé, la lutte contre le changement climatique ou l’amélioration de la prestation de services publics. Les organisations altruistes en matière de données La Cnil, autorité compétente pour l’altruisme en matière de données Les dispositions du chapitre IV « Altruisme en matière de données » du Data Governance Act prévoient que des entités peuvent être enregistrées par l’autorité compétente de l’État membre dont elles dépendent comme « organisations altruistes en matière de données » au sein d’un registre public national. Ces organisations doivent satisfaire aux critères suivants : • mener des activités altruistes en matière de données ; • être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant ; • exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif ; • se conformer, au plus tard 18 mois après la date d’entrée en vigueur des actes délégués complétant le Data Governance Act, à un recueil de règles qui sera établi pour fixer les exigences en matière d’information des personnes concernées et de sécurité des données, ainsi que des feuilles de route en matière de sensibilisation à l’altruisme en matière de données et des recommandations sur les normes d’interopérabilité. EXIGENCES DE TRANSPARENCE La Cnil, autorité compétente pour l’altruisme en matière de données Ces organisations sont soumises à des exigences de transparence, dont la tenue d’un registre des traitements des données détenues mis en œuvre par des personnes physiques ou morales. Elles doivent également remettre un rapport annuel d’activité à l’autorité compétente nationale. Ces organisations doivent informer les personnes ou détenteurs de données concernés des caractéristiques des traitements susvisés et leur donner les moyens et outils nécessaires pour leur permettre de donner leur consentement ou autorisation. Ces données ne peuvent être traitées que pour les objectifs autorisés d’intérêt général. Les organisations doivent également assurer un niveau de sécurité approprié des données et informer les détenteurs de données des transferts, accès ou utilisations illicites portant sur les données personnelles qu’elles ont partagées. La Cnil autorité compétente des organisations altruistes La Cnil, autorité compétente pour l’altruisme en matière de données L’article 23 du Data Governance Act prévoit que chaque Etat membre doit désigner une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues et en notifier la Commission européenne. Ces autorités compétentes ont notamment pour mission l’enregistrement des organisations altruistes en matière de données et la tenue ainsi que la mise à jour du registre public national de ces organisations. Elles doivent contrôler et surveiller le respect par les organisations altruistes en matière de données reconnues des exigences énoncées dans le chapitre IV du Data Governance Act. Les prochaines étapes La Cnil, autorité compétente pour l’altruisme en matière de données Concernant la France, l’article 57 de la loi SREN a ajouté à la « Loi Informatique et libertés » (4) un nouveau titre IV bis composé de 3 articles (124-1, 124-2 et 124-3) qui disposent que : • la Cnil est l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, ainsi que la tenue et la mise à jour du registre public national ; • elle traite à ce titre les demandes d’enregistrement formées par les organisations candidates : • elle reçoit et instruit toute réclamation formée par des personnes physiques et morales ayant consenti au traitement des données personnelles les concernant ou ayant autorisé le traitement des données non personnelles qu’elles détiennent. Un décret en Conseil d’Etat doit encore préciser les modalités de la procédure d’enregistrement. D’ores-et-déjà, la Cnil met à la disposition des organisations candidates une adresse électronique dédiée pour répondre à leurs questions (dga@cnil.fr). Elle annonce également qu’elle va progressivement enrichir son site

Actualités, Articles, Informatique et libertés, Publication, Système d'information Ressources humaines, Télécom

Le télétravail au programme des contrôles de la Cnil

Le contrôle des outils de surveillance dans le cadre du télétravail est au programme de la Cnil. Frédéric Forster nous livre ses conseils dans le dernier numéro d’EDI Magazine. L’occasion de rappeler la nécessité de respecter un juste équilibre entre vie privée au travail et contrôle légitime par l’employeur.

Retour en haut