Droit de l’Informatique et des libertés

Informatique et libertés, Secteur internet

Du bon usage des cookies : respect du consentement

Du bon usage des cookies : statistiques de fréquentation et respect du consentement. La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée en 2009 par la directive 2009/136/CE (1), subordonne dans son article 5, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur au consentement de l’utilisateur. La France a transposé ces dispositions par une ordonnance d’août 2011 (2). L’adoption de ces dispositions au niveau européen a fait l’objet de longs débats. Ces débats se sont et continuent de se poursuivre au niveau national, en raison des incidences et des contraintes que ces dispositions imposent aux acteurs de l’internet et du risque qu’elles créent pour le développement de l’économie numérique. En effet, les professionnels redoutent que la mise en œuvre de ces dispositions nuise fortement à l’activité numérique. Les professionnels, membres de l’UFMD, et certains de leurs partenaires, viennent de gagner une première bataille : celle des cookies d’analyse et de statistiques de la fréquentation de sites. En effet, la Cnil, 15 jours après la publication de ce guide, a modifié sa communication de novembre 2011 sur les cookies pour préciser sa position concernant les cookies d’analyse et de statistiques de fréquentation des sites internet. En effet, si une interprétation stricte de l’article 32 II de la loi Informatique et libertés plaide en faveur d’une application de l’obligation de recueil du consentement pour les cookies d’analyse et de statistiques de fréquentation des sites internet, confirmée d’ailleurs par les premières analyses effectuées par la Cnil, il apparaît que cette dernière semble adopter une position équilibrée, conciliant la protection de la vie privée des utilisateurs et le recours quasi systématique de ce type d’outils sur internet. Dans sa fiche pratique, mise à jour le 28 avril 2012, intitulée « Ce que le « Paquet Télécom » change pour les cookies », la Cnil, en raison de la finalité de ces cookies et du risque limité qu’ils font encourir à la vie privée, a fait part de sa position « de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées ». Cependant, elle soumet cette exemption à certaines conditions particulières en termes d’information, de droit d’accès, de droit d’opposition, de finalité et de durée de conservation. Concernant l’adresse IP, la Cnil précise en outre que « l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville ». Elle doit également être supprimée ou anonymisée, « une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ». Si cette position peut laisser songeur le juriste, en revanche le professionnel de l’internet ne peut que se féliciter de cette position de la Cnil, qui crée un équilibre entre les intérêts en présence. Cependant, il conviendra de surveiller la position du groupe de l’article 29 et des tribunaux, comme l’y invite la Cnil. Affaire à suivre donc… Céline Avignon (1) Directive 2009/136/CE du 25-11-2009 (2) Ordonnance n° 2011-1012 du 24-8-2011

Commande publique
Actualités, Droits des personnes, GDPR, Informatique et libertés, RGPD

Le concept de Privacy by Design

Le concept de « Privacy by Design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Il implique également le respect de ces valeurs tout au long du cycle de vie de la technologie concernée. Ce concept est une tendance très marquée, principalement dans les groupes internationaux, et est amené à se développer de plus en plus chez les éditeurs. La pratique du Privacy by Design constitue en effet, un nouvel outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients. Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données. L’implémentation d’une politique de Privacy by Design permet, en effet, aux entreprises de s’assurer de la conformité des traitements qui seront mis en œuvre à la réglementation Informatique et libertés et constitue ainsi un outil de management du risque juridique. La mise en œuvre d’une politique de Privacy by Design nécessite, dans un premier temps, l’élaboration d’une méthodologie permettant de l’intégrer concrètement dans les projets technologiques. Elle implique dans un deuxième temps, d’analyser le traitement envisagé. Cela permettra enfin, de déterminer très précisément dans le cahier des charges, au regard de la réglementation applicable, les caractéristiques de l’application afin que celles-ci soient en adéquation avec les modalités du traitement (durée de conservation, type de donnée pouvant être collectées, etc.). Chloé Torres

Défenseur des droits
Actualités, Droits des personnes, Informatique et libertés

La directive européenne données personnelles bientôt révisée…

La Commission européenne a adopté, le 25 janvier 2012, un projet de règlement européen relatif à la protection des données personnelles. Ce projet de règlement vise à réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. S’agissant d’un règlement européen, il ne fera pas l’objet d’une transposition dans le droit national, mais sera d’application immédiate. Il est donc important d’appréhender, en amont, les modifications induites par ce texte, afin d’assurer la conformité de vos entreprises au regard de la règlementation Informatique et libertés, dès l’entrée en vigueur des nouvelles dispositions. D’après mes informations, l’adoption du texte pourrait avoir lieu d’ici un an et demi. La version définitive du texte pourrait, bien entendu, être sensiblement différente de celle publiée le 25 janvier dernier et sur laquelle je base aujourd’hui mon analyse. Il importe donc de suivre l’évolution du projet de règlement de façon régulière. En premier lieu, le projet de règlement apporte des modifications substantielles concernant l’information qui doit être fournie aux personnes concernées. Ainsi, aux termes de l’article 12 du projet de règlement, en sus des informations déjà exigées par l’article 32 de la loi Informatique et libertés, le responsable de traitement devra informer les personnes sur : les coordonnées du responsable du traitement et le cas échéant, du Cil ; les termes du contrat ou les conditions générales concernées, si le traitement est fondé sur l’exécution d’un contrat ou de mesure précontractuelle ; la durée de conservation des données ; le droit de déposer une plainte auprès de l’Autorité nationale de protection des données et les coordonnées de cette dernière ; l’origine des données, lorsque les données n’ont pas été collectées directement auprès de la personne concernée. Par ailleurs, le projet de règlement requiert du responsable de traitement qu’il établisse des politiques de protection des données transparentes et facilement accessibles. L’article 21 du projet de règlement consacre également la notion de co-responsables du traitement. Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement. En outre, aux termes de l’article 30 du projet de règlement, une nouvelle obligation, qui pourrait vous concerner, est mise à la charge du responsable de traitement. En effet, lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles. Pratiquement, cette obligation s’impose notamment lorsque : les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc. ; le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, la santé, le comportement, etc. L’évaluation préalable devra contenir une description générale du traitement envisagé, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures qui seront mises en œuvre pour assurer la protection des données collectées. De plus, les personnes concernées ou leurs représentants devront être consultés pour avis avant le début du traitement et l’évaluation préalable effectuée devra être accessible au public. Enfin, le projet de règlement rend obligatoire la désignation d’un Cil pour le responsable de traitement et le sous-traitant lorsque : le traitement est mis en œuvre par une autorité ou un organisme public ou une entreprise qui emploie au moins 250 personnes ; ou lorsque le traitement mis en œuvre exige un suivi régulier et systématique des personnes concernées et présente ainsi des risques particuliers au regard des droits et libertés. Au regard de ce qui précède, les actions suivantes seraient à effectuer afin de permettre d’anticiper l’entrée en vigueur du règlement : A1 : analyse et, le cas échéant, modification de la politique de protection des données personnelles ; A2 : modification des mentions d’information ; A3 : analyse et, le cas échéant, modification des contrats liant votre entreprise à ses partenaires co-responsables de traitement ; A4 : analyse des traitements nécessitant la réalisation d’une évaluation d’impact et, le cas échéant, établissement des évaluations d’impact. Chloé Torres Proposition de règlement 2012/0011 (COD) du 25-1-2012

Informatique et libertés, Secteur internet

Téléservice-absences : consultation en ligne des absences légitimes des élèves

Le ministère de l’éducation nationale a créé le traitement automatisé de données à caractère personnel appelé « Téléservice-absences » qui permet aux parents de collégiens et lycéens, ainsi qu’aux élèves eux-mêmes, de contrôler par internet leurs absences au sein de l’établissement scolaire du second degré dans lequel ils sont inscrits. Ce traitement de données, qui est entièrement facultatif, permet aux élèves de collège et lycée, ainsi qu’à leurs responsables légaux, de consulter grâce à internet les absences considérées comme légitimes. Il concerne notamment les absences dues à des cas de maladie de l’enfant, de maladie transmissible ou contagieuse d’un des membres de la famille de l’élève ou encore à une réunion solennelle de la famille… Téléservice-absences n’a en effet pas pour objectif de lutter contre l’absentéisme scolaire. Ce traitement de données porte sur les nom et prénom, les identifiants et les mots de passe choisis par les élèves et leurs responsables légaux, ainsi que sur la classe et le nombre de demi-journées d’absence légitime des collégiens et lycéens. Les destinataires du traitement sont les élèves, leurs responsables légaux, les enseignants et le chef d’établissement. Un droit d’accès et de rectification est prévu, qui s’exerce auprès du chef d’établissement. Les données collectées ne pourront être conservées que pendant une durée d’un an. Arrêté du 19-1-2012 Cnil, Délibération n° 2011-398 du 8-12-2011

Informatique et libertés, Secteur public

Sites d’analyse des activités parlementaires : rappels de la Cnil

Le 7 février 2012, la Cnil a publié un article rappelant que les « sites d’observation et d’analyse de l’activité parlementaire », qui mesurent notamment l’assiduité des élus, sont soumis à la loi Informatique et libertés. Dans cet article, la Cnil apporte des précisions sur la manière dont s’articulent la liberté d’expression, le droit du public à l’information et la protection des données à caractère personnel. Les sites visés sont ceux établissant des statistiques sur l’assiduité des élus, le nombre d’interventions effectuées, de questions écrites posées au gouvernement ou encore de rapports et propositions de lois déposés, se fondant sur les informations publiques fournies notamment par l’Assemblée nationale ou le Sénat. Si la Cnil ne remet pas en cause les traitements de données à caractère personnel effectués, ces sites sont néanmoins soumis aux obligations de la loi Informatique et Libertés, nonobstant le caractère public des informations utilisées. La Cnil rappelle que « la collecte d’informations sur des sites publics est déloyale quand elle s’effectue à l’insu des intéressés ». Ainsi, selon la Cnil, « même si l’accès à certaines données est libre, la loi impose d’informer au préalable les personnes concernées de l’utilisation de leurs données personnelles », ce qu’elle préconise de faire par le biais d’une information individuelle, par exemple sous forme de courrier électronique, en précisant les objectifs de la collecte, le traitement statistique et la diffusion des données, ainsi que l’existence et les modalités d’exercice du droit d’opposition, d’accès et de rectification. Les éditeurs de ces sites sont tenus de faire droit aux demandes tendant à l’exercice de ces droits. Les éditeurs de ces sites doivent également respecter l’interdiction du traitement de données sensibles, telles que les opinions politiques. Cependant, la Cnil précise que, dans le cas où la personne a elle-même rendu publiques ses données, comme c’est la cas pour « les élus communiquant naturellement sur leurs opinions politiques, ces informations peuvent donc être licitement collectées ». Enfin, concernant les formalités préalables à ces traitements, « dans la mesure où les données sensibles sur lesquelles ils portent ont été rendues publiques par les personnes concernées », c’est le régime de la déclaration qui s’applique. Cnil, rubrique Actualité, article du 7 février 2012

Informatique et libertés, Vidéosurveillance - Vidéoprotection

La vidéosurveillance et le contrôle des salariés

Par délibération n° 2102-12 du 17 janvier 2012, la Cnil a décidé de rendre publique la mise en demeure n° 2011-36 du 16 décembre 2011 adoptée à l’encontre d’une société afin de modifier son dispositif de vidéosurveillance. Dans cette mise en demeure, la Cnil relève un manquement aux obligations suivantes : de définir une finalité déterminée, explicite et légitime du traitement ; de veiller à l’adéquation, à la pertinence et au caractère non excessif des données ; de définir une durée de conservation des données proportionnée à la finalité du traitement ; d’informer les personnes conformément à la loi Informatique et libertés ; d’obtenir une autorisation préfectorale préalablement à la mise en œuvre d’un dispositif de vidéoprotection La Cnil a donné à la société un délai de six semaines pour se conformer à la mise en demeure et lui en justifier. Cnil, rubrique Actualité, article du 2 février 2012

Actualités

Vidéosurveillance : l’employeur doit informer les salariés

Par un arrêt du 10 janvier 2012, la Chambre sociale de la Cour de cassation est venue réaffirmer que si l’employeur dispose du droit de contrôler et de surveiller l’activité de ses salariés grâce à la vidéosurveillance, celui-ci ne peut s’exercer qu’à la condition que les salariés en aient été préalablement informés.

Retour en haut