SlideShare une entreprise Scribd logo

Cnil legal tools

Télécharger en tant que PPT, PDF
Catalyse IT
Catalyse IT

Intérêt et enjeu des déclarations de conformité CNIL Rôle du Correspondant Informatique et Libertés

Droit
1  sur  13
Legal-tools.fr
CNIL : missions • Informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations au regard de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 1°) ; • Assurer le respect des dispositions de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 2°) ; • Apprécier, au regard des principes posés la loi, les projets de règles professionnelles, de produits ou de procédures, y compris en les labellisant (L. n° 78-17, 6 janv. 1978, art. 11, 3°) ; • Participer à l'encadrement juridique de la protection des données à caractère personnel (L. n° 78-17, 6 janv. 1978, art. 11, 4°).
CNIL : Deux types de contrôle • Enjeux : la protection des données personnelles • Données personnelles : toute donnée qui permet d’identifier une personne physique, directement, ou indirectement. contrôle a priori des traitements par l'encadrement du paysage de la protection des données à caractère personnel et par l'examen des formalités préalables contrôle a posteriori des traitements dans le cadre des saisines qu'elle reçoit et de ses pouvoirs de contrôle et de sanction L’obligation de conformité dépend du contrôle a priori
La gradation des données personnelles selon la CNIL
UNE ADRESSE IP EST-ELLE UNE ADRESSE PERSONNELLE ? CA RENNES, CH. COM., 28 AVR. 2015, N° 14/05708, SARL CABINET PETERSON C/ SARL GROUPE LOGISNEUF, SARL C-INVEST, SARL EUROPEAN SOFT • Mais le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978. L'adresse IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relèvent alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d'adresses IP d'ordinateurs qui ont été connectées sur un réseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel. • Il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point.
Relations banque-clients et collecte des données personnelles TGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net • Attendu que Mme M., qui dispose de deux comptes bancaires ouverts auprès de la société LCL, nous demande, sur le fondement de l'article 808 du Code de procédure civile et de la loi n° 78-17 du 6 janvier 1978, plus spécialement en son article 39, d'enjoindre sous astreinte à cette dernière de lui communiquer l'historique des logs de connexion de ses deux comptes en ligne depuis leur création, de lui allouer une somme de 2 000 € à titre de dommages-intérêts provisionnels en réparation de son préjudice, outre une indemnité de 3 000 € au titre de l'article 700 du Code de procédure civile ; • Attendu qu'à l'appui de sa demande de communication de ses logs de connexion, Mme M. justifie avoir reçu, le 31 juillet 2013, un e-mail de sa banque l'informant de ce que son compte présentait une situation débitrice, dont le destinataire principal était M. Kamel S., collègue de son mari, son adresse e-mail n'apparaissant qu'en copie, puis avoir vainement mis en demeure sa banque, pour la première fois le 17 décembre 2013, de lui communiquer l'historique des logs de connexion de ses comptes ; • Que, pour s'opposer à cette prétention, LCL soutient que les données dont Mme M. sollicite la communication ne sont pas des données personnelles,mais celles de tiers, de sorte qu'elle n'y a aucun droit d'accès, et que les dispositions de la loi du 6 janvier 1978 n'ont pas vocation à s'appliquer ; • Mais attendu qu'il est constant que, dans ses échanges en ligne avec ses clients, la société LCL est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée ; • Que l'article 39-1 de cette loi consacre un droit d'accès de toute personne physique à ses données à caractère personnel ; • Qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l'éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l'article 39-1 de la loi du 6 janvier 1978 d'obtenir que lui soient communiquées les données personnelles qu'elle sollicite ; • Que la contestation opposée par la société LCL n'étant ainsi pas sérieuse et l'urgence résultant de la conservation légale des données pendant une durée limitée à un an, il sera fait droit à la prétention de Mme M. selon les modalités précisées dans le dispositif ci-après, et à compter du 17 juillet 2013 tenant compte de la date de conservation légale des données à laquelle la société LCL est astreinte ;
Synthèse sur les obligations en matière de données personnelles http://www.donneespersonnelles.fr/les-principales-obligations-legales
Enjeux de la procédure de déclaration à la CNIL Droit pénal : articles 226-16 et s. du Code pénal Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. Droit du travail : Cass. Soc. 6 février 2004 À défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d'un tel traitement ne peut lui être reproché. Sanctions CNIL : La victime peut saisir gratuitement et en ligne la Cnil pour contester la diffusion de son image en tant que donnée à caractère personnel par un site internet après avoir demandé sans succès l'arrêt de cette diffusion au responsable du site. La Cnil peut prononcer des sanctions (avertissement, sanctions pécuniaires, injonctions, etc). Ex : la FNAC http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D201 2-214-FNAC.pdf Sans compter les conséquences sur l’image de l’entreprise.
Interdiction de collecter des données personnelles sur internet – Cass. Crim., 14 mars 2006• Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que la société Alliance bureautique service (ABS) a adressé, en 2002 et 2003, des courriers électroniques publicitaires non sollicités à des particuliers dont elle avait obtenu les adresses électroniques sur l'espace public du réseau internet en utilisant, dans un premier temps, le logiciel Robot mail qui enregistrait ces informations dans un fichier en vue d'un usage ultérieur puis, dans un second temps, à l'aide du logiciel Freeprospect qui adressait les messages publicitaires aux adresses collectées sans les enregistrer dans un fichier ; que, sur dénonciation de la Commission nationale de l'informatique et des libertés, Fabrice X..., dirigeant de la société ABS, a été cité par le procureur de la République devant la juridiction correctionnelle du chef de collecte de données nominatives par un moyen frauduleux, déloyal ou illicite ; qu'il a été renvoyé des fins de la poursuite ; que le ministère public a interjeté appel ; • Attendu que, pour déclarer le prévenu coupable du délit prévu par l'article 226-18 du Code pénal dans sa rédaction alors en vigueur et le condamner, l'arrêt attaqué énonce qu'il a collecté des adresses électroniques, qui constituent des données nominatives, de façon déloyale en ce qu'elles ont été utilisées sans rapport avec l'objet de leur mise en ligne ; que les juges ajoutent que les titulaires des adresses n'ont pas donné leur consentement alors que le droit d'opposition dont ils disposaient supposait qu'ils soient avisés, avant tout enregistrement, de ce que les informations nominatives les concernant pouvaient faire l'objet d'un traitement ; qu'enfin, pour écarter l'argumentation du prévenu qui faisait valoir que le logiciel Freeprospect se bornait à cibler l'adresse électronique concernée, mais n'enregistrait aucune donnée, les juges retiennent que les données sont collectées et traitées et que les adresses sont mémorisées ne serait-ce qu'un instant dans la mémoire vive de l'ordinateur ; • Attendu qu'en cet état, la cour d'appel a justifié sa décision ; • Que, d'une part, constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; • Que, d'autre part, est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
Enjeux de la labellisation CNIL Double enjeu : • pour les entreprises : garantir un haut niveau de protection • pour les individus : indicateur de confiance. CNIL, communiqué, 13 janv. 2015. La CNIL a créé le 13 janvier son quatrième référentiel lui permettant de délivrer des labels aux procédures de gouvernance Informatique et Libertés. La gouvernance Informatique et Libertés définit les règles et les bonnes pratiques permettant à un organisme d'assurer une gestion de ses données respectueuse des principes Informatique et Libertés. Le référentiel s'adresse aux organismes disposant d'un correspondant Informatique et Libertés (CIL). En pratique, 25 exigences sont requises dans plusieurs domaines : l'organisation interne liée à la protection des données, la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés, la gestion des réclamations et incidents. Le label sera un indicateur de confiance pour les clients et les usagers. Il devrait constituer, pour les entreprises, collectivités, associations ou administrations, un cadre éthique et juridique, témoignant de la volonté de l'organisme d'innover et de traiter les données personnelles de manière responsable. Notons que cette démarche permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d'accountability. Accountability : obligation de rendre compte et d’expliquer les mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés.
Rôle du correspondant informatique et liberté Le principe d’accountability implique notamment la nomination d’un CIL. • personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. La personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance". • le CIL doit posséder les qualifications nécessaires à l'exercice de ses fonctions ; • le CIL doit exercer ses fonctions de manière indépendante et éviter les situations de conflit d'intérêts ; • les missions du CIL sont principalement relatives à la tenue d'un registre des traitements, le contrôle de conformité à la loi "informatique et libertés" des traitements mis en œuvre, la sensibilisation des opérationnels aux règles de protection des données, l'accompagnement des projets informatiques ainsi que la gestion des relations avec les personnes fichées et l'autorité locale de protection des données. • Soit CIL "interne", c'est-à-dire un salarié de l'organisme concerné ; • Soit CIL externe • Dans un cas comme dans l’ autre, cela peut être une personne morte.
Dernière étape : l’adoption de package Dernière étape dans une logique de compliance : définir par secteur les obligations que les acteurs économiques doivent respecter. Ex : l’assurance
Qui sommes nous • Legal Tools est le fruit de la rencontre entre l’expertise juridique et l’expertise informatique (mettre des photos). • Jacques Amar, maître de conférences en droit privé HDR, Université Paris- Dauphine enseigne le droit des affaires depuis plus de 15 ans. Il est spécialisé dans l’expertise juridique de sites informatiques. • Lionel Chemla, ingénieur, président de la SAS Catalyse It, spécialisée dans la mise en place de business process management. Son expérience comme ses qualifications en font un expert reconnu en matière de crédit-impôt recherche et de système d’information. • Contact : contact@legal-tools.fr

Recommandé

La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !
La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !
La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !Philippe Le Roux
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourrieljfderico
 
Loi transactions electroniques
Loi transactions electroniquesLoi transactions electroniques
Loi transactions electroniquesAristide KONAN
 
Décision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause datingDécision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause datingClarisse Berrebi
 
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACLes données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACABES
 
Droit du travail. tissot vote electronique elections professionnelles
Droit du travail. tissot vote electronique elections professionnellesDroit du travail. tissot vote electronique elections professionnelles
Droit du travail. tissot vote electronique elections professionnellesDominique Gayraud
 
Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Made In Morocco
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine PoidevinAssociation Bibop
 

Recommandé

La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !
La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !
La Loi C28 : Le grand débrouillage ! Pour y voir enfin clair !Philippe Le Roux
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourrieljfderico
 
Loi transactions electroniques
Loi transactions electroniquesLoi transactions electroniques
Loi transactions electroniquesAristide KONAN
 
Décision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause datingDécision 25 juin 2013 fichier CNIL - ACE clause dating
Décision 25 juin 2013 fichier CNIL - ACE clause datingClarisse Berrebi
 
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACLes données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACABES
 
Droit du travail. tissot vote electronique elections professionnelles
Droit du travail. tissot vote electronique elections professionnellesDroit du travail. tissot vote electronique elections professionnelles
Droit du travail. tissot vote electronique elections professionnellesDominique Gayraud
 
Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Projet de délibération portant modèle de déclaration type concernant les trai...
Projet de délibération portant modèle de déclaration type concernant les trai...Made In Morocco
 
Présentation de Blandine Poidevin
Présentation de Blandine PoidevinPrésentation de Blandine Poidevin
Présentation de Blandine PoidevinAssociation Bibop
 
Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014CCSDistrict146
 
BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum jepace25
 
Chandler_Final_Presentation
Chandler_Final_PresentationChandler_Final_Presentation
Chandler_Final_PresentationBryan G Chandler
 
Raja harsha
Raja harshaRaja harsha
Raja harsharandiii123
 
organicbites_A6_postkort-1
organicbites_A6_postkort-1organicbites_A6_postkort-1
organicbites_A6_postkort-1Cathrine Frederiksen
 
Allusion Presentation
Allusion PresentationAllusion Presentation
Allusion Presentationaliciasgrignuoli
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY skyproducciones
 
Mind Mingle Ed Talks
Mind Mingle Ed TalksMind Mingle Ed Talks
Mind Mingle Ed TalksShakeel Ahmad
 
MyStatus tutorial
MyStatus tutorialMyStatus tutorial
MyStatus tutorialMyStatus
 
METACorp_send_r1
METACorp_send_r1METACorp_send_r1
METACorp_send_r1Andika Widhi Jiwandono
 
Negocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes socialesNegocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes socialesBatel Serrano
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY skyproducciones
 
True Collaboration
True CollaborationTrue Collaboration
True CollaborationWilliam Tomlin
 
Death note
Death noteDeath note
Death noteYoshiteru Tani
 
4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentation4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentationBryan G Chandler
 
Net Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJNet Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJNACMktg
 
L’audit d’un site internet
L’audit d’un site internetL’audit d’un site internet
L’audit d’un site internetwebschooltours
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 
ConféRence Uni F R
ConféRence Uni F RConféRence Uni F R
ConféRence Uni F RUniversité Pierre et Marie Curie
 
Obligations site internet
Obligations site internetObligations site internet
Obligations site internetCOMPETITIC
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnelAllaeddine Makhlouk
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILSociété Tripalio
 

Contenu connexe

En vedette

Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014CCSDistrict146
 
BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum jepace25
 
Chandler_Final_Presentation
Chandler_Final_PresentationChandler_Final_Presentation
Chandler_Final_PresentationBryan G Chandler
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY skyproducciones
 
Mind Mingle Ed Talks
Mind Mingle Ed TalksMind Mingle Ed Talks
Mind Mingle Ed TalksShakeel Ahmad
 
MyStatus tutorial
MyStatus tutorialMyStatus tutorial
MyStatus tutorialMyStatus
 
Negocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes socialesNegocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes socialesBatel Serrano
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY skyproducciones
 
4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentation4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentationBryan G Chandler
 
Net Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJNet Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJNACMktg
 

En vedette (16)

Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014Bilingual Conference: Home and School Connections 2014
Bilingual Conference: Home and School Connections 2014
 
BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum BreakingNews: Using Technology to Enhance Curriculum
BreakingNews: Using Technology to Enhance Curriculum
 
Chandler_Final_Presentation
Chandler_Final_PresentationChandler_Final_Presentation
Chandler_Final_Presentation
 
Raja harsha
Raja harshaRaja harsha
Raja harsha
 
organicbites_A6_postkort-1
organicbites_A6_postkort-1organicbites_A6_postkort-1
organicbites_A6_postkort-1
 
Allusion Presentation
Allusion PresentationAllusion Presentation
Allusion Presentation
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY
 
Mind Mingle Ed Talks
Mind Mingle Ed TalksMind Mingle Ed Talks
Mind Mingle Ed Talks
 
MyStatus tutorial
MyStatus tutorialMyStatus tutorial
MyStatus tutorial
 
METACorp_send_r1
METACorp_send_r1METACorp_send_r1
METACorp_send_r1
 
Negocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes socialesNegocios por interned(publicidad)redes sociales
Negocios por interned(publicidad)redes sociales
 
PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY PRESENTACION SKY PENTHOUSE PARTY
PRESENTACION SKY PENTHOUSE PARTY
 
True Collaboration
True CollaborationTrue Collaboration
True Collaboration
 
Death note
Death noteDeath note
Death note
 
4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentation4405_Chandler_FinalPresentation
4405_Chandler_FinalPresentation
 
Net Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJNet Access Data Center Expansion Updates - Parsippany NJ
Net Access Data Center Expansion Updates - Parsippany NJ
 

Similaire à Cnil legal tools

L’audit d’un site internet
L’audit d’un site internetL’audit d’un site internet
L’audit d’un site internetwebschooltours
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 
Obligations site internet
Obligations site internetObligations site internet
Obligations site internetCOMPETITIC
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnelAllaeddine Makhlouk
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILSociété Tripalio
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Présentation sur la Loi C28 à l'Association du Marketing Relationnel
Présentation sur la Loi C28 à l'Association du Marketing RelationnelPrésentation sur la Loi C28 à l'Association du Marketing Relationnel
Présentation sur la Loi C28 à l'Association du Marketing RelationnelPhilippe Le Roux
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internetmariejura
 
Loi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalLoi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalDOUMBOUYA Amadou Moustapha
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionLes données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionAllaeddine Makhlouk
 
La démocratisation des traitements de données personnelles
La démocratisation des traitements de données personnellesLa démocratisation des traitements de données personnelles
La démocratisation des traitements de données personnellesCedric Manara
 
2011 11 08 Aspects juridiques Internet
2011 11 08 Aspects juridiques Internet2011 11 08 Aspects juridiques Internet
2011 11 08 Aspects juridiques InternetCOMPETITIC
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impLandry Kientega
 

Similaire à Cnil legal tools (20)

L’audit d’un site internet
L’audit d’un site internetL’audit d’un site internet
L’audit d’un site internet
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et liberté
 
ConféRence Uni F R
ConféRence Uni F RConféRence Uni F R
ConféRence Uni F R
 
Obligations site internet
Obligations site internetObligations site internet
Obligations site internet
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnel
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Présentation sur la Loi C28 à l'Association du Marketing Relationnel
Présentation sur la Loi C28 à l'Association du Marketing RelationnelPrésentation sur la Loi C28 à l'Association du Marketing Relationnel
Présentation sur la Loi C28 à l'Association du Marketing Relationnel
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internet
 
Données perso
Données persoDonnées perso
Données perso
 
Loi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegalLoi sur la protection des données personnelles senegal
Loi sur la protection des données personnelles senegal
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
GDPR OUI... mais n'importe quoi NON !
GDPR OUI... mais n'importe quoi NON !GDPR OUI... mais n'importe quoi NON !
GDPR OUI... mais n'importe quoi NON !
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
 
Les données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protectionLes données personnelles des salariés quelle protection
Les données personnelles des salariés quelle protection
 
La démocratisation des traitements de données personnelles
La démocratisation des traitements de données personnellesLa démocratisation des traitements de données personnelles
La démocratisation des traitements de données personnelles
 
2011 11 08 Aspects juridiques Internet
2011 11 08 Aspects juridiques Internet2011 11 08 Aspects juridiques Internet
2011 11 08 Aspects juridiques Internet
 
La législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open DataLa législation genevoise en matière d’Open Data
La législation genevoise en matière d’Open Data
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
 

Plus de Catalyse IT

La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesCatalyse IT
 
Synthèse jurisprudence mesheuressup
Synthèse jurisprudence mesheuressupSynthèse jurisprudence mesheuressup
Synthèse jurisprudence mesheuressupCatalyse IT
 
Digital : Web & Mobilité
Digital : Web & MobilitéDigital : Web & Mobilité
Digital : Web & MobilitéCatalyse IT
 
Analyse juridique de modèles économiques legal tools
Analyse juridique de modèles économiques legal toolsAnalyse juridique de modèles économiques legal tools
Analyse juridique de modèles économiques legal toolsCatalyse IT
 
Legal tools présentation
Legal tools présentationLegal tools présentation
Legal tools présentationCatalyse IT
 

Plus de Catalyse IT (12)

La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
La signature électronique pour les experts-comptables
La signature électronique pour les experts-comptablesLa signature électronique pour les experts-comptables
La signature électronique pour les experts-comptables
 
Synthèse jurisprudence mesheuressup
Synthèse jurisprudence mesheuressupSynthèse jurisprudence mesheuressup
Synthèse jurisprudence mesheuressup
 
Mesheuressup
MesheuressupMesheuressup
Mesheuressup
 
Digital : Web & Mobilité
Digital : Web & MobilitéDigital : Web & Mobilité
Digital : Web & Mobilité
 
Analyse juridique de modèles économiques legal tools
Analyse juridique de modèles économiques legal toolsAnalyse juridique de modèles économiques legal tools
Analyse juridique de modèles économiques legal tools
 
Legal tools présentation
Legal tools présentationLegal tools présentation
Legal tools présentation
 

Cnil legal tools

  • 2. CNIL : missions • Informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations au regard de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 1°) ; • Assurer le respect des dispositions de la loi "informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 2°) ; • Apprécier, au regard des principes posés la loi, les projets de règles professionnelles, de produits ou de procédures, y compris en les labellisant (L. n° 78-17, 6 janv. 1978, art. 11, 3°) ; • Participer à l'encadrement juridique de la protection des données à caractère personnel (L. n° 78-17, 6 janv. 1978, art. 11, 4°).
  • 3. CNIL : Deux types de contrôle • Enjeux : la protection des données personnelles • Données personnelles : toute donnée qui permet d’identifier une personne physique, directement, ou indirectement. contrôle a priori des traitements par l'encadrement du paysage de la protection des données à caractère personnel et par l'examen des formalités préalables contrôle a posteriori des traitements dans le cadre des saisines qu'elle reçoit et de ses pouvoirs de contrôle et de sanction L’obligation de conformité dépend du contrôle a priori
  • 4. La gradation des données personnelles selon la CNIL
  • 5. UNE ADRESSE IP EST-ELLE UNE ADRESSE PERSONNELLE ? CA RENNES, CH. COM., 28 AVR. 2015, N° 14/05708, SARL CABINET PETERSON C/ SARL GROUPE LOGISNEUF, SARL C-INVEST, SARL EUROPEAN SOFT • Mais le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978. L'adresse IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relèvent alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d'adresses IP d'ordinateurs qui ont été connectées sur un réseau informatique d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitue pas un traitement de données à caractère personnel. • Il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point.
  • 6. Relations banque-clients et collecte des données personnelles TGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net • Attendu que Mme M., qui dispose de deux comptes bancaires ouverts auprès de la société LCL, nous demande, sur le fondement de l'article 808 du Code de procédure civile et de la loi n° 78-17 du 6 janvier 1978, plus spécialement en son article 39, d'enjoindre sous astreinte à cette dernière de lui communiquer l'historique des logs de connexion de ses deux comptes en ligne depuis leur création, de lui allouer une somme de 2 000 € à titre de dommages-intérêts provisionnels en réparation de son préjudice, outre une indemnité de 3 000 € au titre de l'article 700 du Code de procédure civile ; • Attendu qu'à l'appui de sa demande de communication de ses logs de connexion, Mme M. justifie avoir reçu, le 31 juillet 2013, un e-mail de sa banque l'informant de ce que son compte présentait une situation débitrice, dont le destinataire principal était M. Kamel S., collègue de son mari, son adresse e-mail n'apparaissant qu'en copie, puis avoir vainement mis en demeure sa banque, pour la première fois le 17 décembre 2013, de lui communiquer l'historique des logs de connexion de ses comptes ; • Que, pour s'opposer à cette prétention, LCL soutient que les données dont Mme M. sollicite la communication ne sont pas des données personnelles,mais celles de tiers, de sorte qu'elle n'y a aucun droit d'accès, et que les dispositions de la loi du 6 janvier 1978 n'ont pas vocation à s'appliquer ; • Mais attendu qu'il est constant que, dans ses échanges en ligne avec ses clients, la société LCL est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée ; • Que l'article 39-1 de cette loi consacre un droit d'accès de toute personne physique à ses données à caractère personnel ; • Qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l'éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l'article 39-1 de la loi du 6 janvier 1978 d'obtenir que lui soient communiquées les données personnelles qu'elle sollicite ; • Que la contestation opposée par la société LCL n'étant ainsi pas sérieuse et l'urgence résultant de la conservation légale des données pendant une durée limitée à un an, il sera fait droit à la prétention de Mme M. selon les modalités précisées dans le dispositif ci-après, et à compter du 17 juillet 2013 tenant compte de la date de conservation légale des données à laquelle la société LCL est astreinte ;
  • 7. Synthèse sur les obligations en matière de données personnelles http://www.donneespersonnelles.fr/les-principales-obligations-legales
  • 8. Enjeux de la procédure de déclaration à la CNIL Droit pénal : articles 226-16 et s. du Code pénal Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. Droit du travail : Cass. Soc. 6 février 2004 À défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d'un tel traitement ne peut lui être reproché. Sanctions CNIL : La victime peut saisir gratuitement et en ligne la Cnil pour contester la diffusion de son image en tant que donnée à caractère personnel par un site internet après avoir demandé sans succès l'arrêt de cette diffusion au responsable du site. La Cnil peut prononcer des sanctions (avertissement, sanctions pécuniaires, injonctions, etc). Ex : la FNAC http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D201 2-214-FNAC.pdf Sans compter les conséquences sur l’image de l’entreprise.
  • 9. Interdiction de collecter des données personnelles sur internet – Cass. Crim., 14 mars 2006• Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que la société Alliance bureautique service (ABS) a adressé, en 2002 et 2003, des courriers électroniques publicitaires non sollicités à des particuliers dont elle avait obtenu les adresses électroniques sur l'espace public du réseau internet en utilisant, dans un premier temps, le logiciel Robot mail qui enregistrait ces informations dans un fichier en vue d'un usage ultérieur puis, dans un second temps, à l'aide du logiciel Freeprospect qui adressait les messages publicitaires aux adresses collectées sans les enregistrer dans un fichier ; que, sur dénonciation de la Commission nationale de l'informatique et des libertés, Fabrice X..., dirigeant de la société ABS, a été cité par le procureur de la République devant la juridiction correctionnelle du chef de collecte de données nominatives par un moyen frauduleux, déloyal ou illicite ; qu'il a été renvoyé des fins de la poursuite ; que le ministère public a interjeté appel ; • Attendu que, pour déclarer le prévenu coupable du délit prévu par l'article 226-18 du Code pénal dans sa rédaction alors en vigueur et le condamner, l'arrêt attaqué énonce qu'il a collecté des adresses électroniques, qui constituent des données nominatives, de façon déloyale en ce qu'elles ont été utilisées sans rapport avec l'objet de leur mise en ligne ; que les juges ajoutent que les titulaires des adresses n'ont pas donné leur consentement alors que le droit d'opposition dont ils disposaient supposait qu'ils soient avisés, avant tout enregistrement, de ce que les informations nominatives les concernant pouvaient faire l'objet d'un traitement ; qu'enfin, pour écarter l'argumentation du prévenu qui faisait valoir que le logiciel Freeprospect se bornait à cibler l'adresse électronique concernée, mais n'enregistrait aucune donnée, les juges retiennent que les données sont collectées et traitées et que les adresses sont mémorisées ne serait-ce qu'un instant dans la mémoire vive de l'ordinateur ; • Attendu qu'en cet état, la cour d'appel a justifié sa décision ; • Que, d'une part, constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; • Que, d'autre part, est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
  • 10. Enjeux de la labellisation CNIL Double enjeu : • pour les entreprises : garantir un haut niveau de protection • pour les individus : indicateur de confiance. CNIL, communiqué, 13 janv. 2015. La CNIL a créé le 13 janvier son quatrième référentiel lui permettant de délivrer des labels aux procédures de gouvernance Informatique et Libertés. La gouvernance Informatique et Libertés définit les règles et les bonnes pratiques permettant à un organisme d'assurer une gestion de ses données respectueuse des principes Informatique et Libertés. Le référentiel s'adresse aux organismes disposant d'un correspondant Informatique et Libertés (CIL). En pratique, 25 exigences sont requises dans plusieurs domaines : l'organisation interne liée à la protection des données, la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés, la gestion des réclamations et incidents. Le label sera un indicateur de confiance pour les clients et les usagers. Il devrait constituer, pour les entreprises, collectivités, associations ou administrations, un cadre éthique et juridique, témoignant de la volonté de l'organisme d'innover et de traiter les données personnelles de manière responsable. Notons que cette démarche permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d'accountability. Accountability : obligation de rendre compte et d’expliquer les mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés.
  • 11. Rôle du correspondant informatique et liberté Le principe d’accountability implique notamment la nomination d’un CIL. • personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. La personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance". • le CIL doit posséder les qualifications nécessaires à l'exercice de ses fonctions ; • le CIL doit exercer ses fonctions de manière indépendante et éviter les situations de conflit d'intérêts ; • les missions du CIL sont principalement relatives à la tenue d'un registre des traitements, le contrôle de conformité à la loi "informatique et libertés" des traitements mis en œuvre, la sensibilisation des opérationnels aux règles de protection des données, l'accompagnement des projets informatiques ainsi que la gestion des relations avec les personnes fichées et l'autorité locale de protection des données. • Soit CIL "interne", c'est-à-dire un salarié de l'organisme concerné ; • Soit CIL externe • Dans un cas comme dans l’ autre, cela peut être une personne morte.
  • 12. Dernière étape : l’adoption de package Dernière étape dans une logique de compliance : définir par secteur les obligations que les acteurs économiques doivent respecter. Ex : l’assurance
  • 13. Qui sommes nous • Legal Tools est le fruit de la rencontre entre l’expertise juridique et l’expertise informatique (mettre des photos). • Jacques Amar, maître de conférences en droit privé HDR, Université Paris- Dauphine enseigne le droit des affaires depuis plus de 15 ans. Il est spécialisé dans l’expertise juridique de sites informatiques. • Lionel Chemla, ingénieur, président de la SAS Catalyse It, spécialisée dans la mise en place de business process management. Son expérience comme ses qualifications en font un expert reconnu en matière de crédit-impôt recherche et de système d’information. • Contact : contact@legal-tools.fr