2. CNIL : missions
• Informer toutes les personnes concernées et tous les responsables
de traitements de leurs droits et obligations au regard de la loi
"informatique et libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 1°) ;
• Assurer le respect des dispositions de la loi "informatique et
libertés" (L. n° 78-17, 6 janv. 1978, art. 11, 2°) ;
• Apprécier, au regard des principes posés la loi, les projets de règles
professionnelles, de produits ou de procédures, y compris en les
labellisant (L. n° 78-17, 6 janv. 1978, art. 11, 3°) ;
• Participer à l'encadrement juridique de la protection des données à
caractère personnel (L. n° 78-17, 6 janv. 1978, art. 11, 4°).
3. CNIL : Deux types de contrôle
• Enjeux : la protection des données personnelles
• Données personnelles : toute donnée qui permet d’identifier une
personne physique, directement, ou indirectement.
contrôle a priori des traitements
par l'encadrement du paysage de
la protection des données à
caractère personnel et par
l'examen des formalités préalables
contrôle a posteriori des
traitements dans le cadre des
saisines qu'elle reçoit et de ses
pouvoirs de contrôle et de
sanction
L’obligation de conformité dépend du contrôle a priori
5. UNE ADRESSE IP EST-ELLE UNE ADRESSE
PERSONNELLE ?
CA RENNES, CH. COM., 28 AVR. 2015, N° 14/05708, SARL CABINET PETERSON C/ SARL GROUPE LOGISNEUF, SARL
C-INVEST, SARL EUROPEAN SOFT
• Mais le simple relevé d'une adresse IP aux fins de localiser un fournisseur d'accès ne
constitue pas un traitement automatisé de données à caractère personnel au sens
des articles 2, 9 et 25 de la loi « informatique et liberté » du 6 janvier 1978. L'adresse
IP est constituée d'une série de chiffres, n'est pas une donnée même indirectement
nominative alors qu'elle ne se rapporte qu'à un ordinateur et non à l'utilisateur. La loi
en question vise en outre les personnes physiques, identifiées directement ou
indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la
conservation de ces données ne relèvent alors en tout état de cause pas de ces
dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des
auteurs de pénétrations non autorisées sur un réseau informatique, une liste
d'adresses IP d'ordinateurs qui ont été connectées sur un réseau informatique
d'entreprise, sans qu'aucun lien entre ces adresses et des personnes physiques ne soit
fait, ne constitue pas un traitement de données à caractère personnel.
• Il n'est pas nécessaire de saisir la CNIL d'une demande d'avis sur ce point.
6. Relations banque-clients et collecte des
données personnelles
TGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net
• Attendu que Mme M., qui dispose de deux comptes bancaires ouverts auprès de la société LCL, nous demande, sur le
fondement de l'article 808 du Code de procédure civile et de la loi n° 78-17 du 6 janvier 1978, plus spécialement en son
article 39, d'enjoindre sous astreinte à cette dernière de lui communiquer l'historique des logs de connexion de ses deux
comptes en ligne depuis leur création, de lui allouer une somme de 2 000 € à titre de dommages-intérêts provisionnels en
réparation de son préjudice, outre une indemnité de 3 000 € au titre de l'article 700 du Code de procédure civile ;
• Attendu qu'à l'appui de sa demande de communication de ses logs de connexion, Mme M. justifie avoir reçu, le 31 juillet
2013, un e-mail de sa banque l'informant de ce que son compte présentait une situation débitrice, dont le destinataire
principal était M. Kamel S., collègue de son mari, son adresse e-mail n'apparaissant qu'en copie, puis avoir vainement
mis en demeure sa banque, pour la première fois le 17 décembre 2013, de lui communiquer l'historique des logs de
connexion de ses comptes ;
• Que, pour s'opposer à cette prétention, LCL soutient que les données dont Mme M. sollicite la communication ne sont pas
des données personnelles,mais celles de tiers, de sorte qu'elle n'y a aucun droit d'accès, et que les dispositions de la
loi du 6 janvier 1978 n'ont pas vocation à s'appliquer ;
• Mais attendu qu'il est constant que, dans ses échanges en ligne avec ses clients, la société LCL est soumise aux
dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée ;
• Que l'article 39-1 de cette loi consacre un droit d'accès de toute personne physique à ses données à caractère personnel ;
• Qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, Mme M. interroge sa banque sur
l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l'éventualité que cette
communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l'article 39-1 de la loi du
6 janvier 1978 d'obtenir que lui soient communiquées les données personnelles qu'elle sollicite ;
• Que la contestation opposée par la société LCL n'étant ainsi pas sérieuse et l'urgence résultant de la conservation légale
des données pendant une durée limitée à un an, il sera fait droit à la prétention de Mme M. selon les modalités précisées
dans le dispositif ci-après, et à compter du 17 juillet 2013 tenant compte de la date de conservation légale des données à
laquelle la société LCL est astreinte ;
7. Synthèse sur les obligations en matière de
données personnelles
http://www.donneespersonnelles.fr/les-principales-obligations-legales
8. Enjeux de la procédure de déclaration à la CNIL
Droit pénal : articles 226-16 et s. du Code pénal
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à
caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre
prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.
Droit du travail : Cass. Soc. 6 février 2004
À défaut de déclaration à la Commission nationale de l'informatique et des libertés d'un traitement
automatisé d'informations nominatives concernant un salarié, son refus de déférer à une exigence
de son employeur impliquant la mise en œuvre d'un tel traitement ne peut lui être reproché.
Sanctions CNIL :
La victime peut saisir gratuitement et en ligne la Cnil pour contester la diffusion de son image en
tant que donnée à caractère personnel par un site internet après avoir demandé sans succès l'arrêt
de cette diffusion au responsable du site. La Cnil peut prononcer des sanctions (avertissement,
sanctions pécuniaires, injonctions, etc).
Ex : la FNAC
http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D201
2-214-FNAC.pdf
Sans compter les conséquences sur l’image de l’entreprise.
9. Interdiction de collecter des données
personnelles sur internet – Cass. Crim., 14 mars
2006• Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que la société Alliance bureautique service (ABS) a
adressé, en 2002 et 2003, des courriers électroniques publicitaires non sollicités à des particuliers dont elle avait
obtenu les adresses électroniques sur l'espace public du réseau internet en utilisant, dans un premier temps, le logiciel
Robot mail qui enregistrait ces informations dans un fichier en vue d'un usage ultérieur puis, dans un second temps, à
l'aide du logiciel Freeprospect qui adressait les messages publicitaires aux adresses collectées sans les enregistrer
dans un fichier ; que, sur dénonciation de la Commission nationale de l'informatique et des libertés, Fabrice X...,
dirigeant de la société ABS, a été cité par le procureur de la République devant la juridiction correctionnelle du chef de
collecte de données nominatives par un moyen frauduleux, déloyal ou illicite ; qu'il a été renvoyé des fins de la
poursuite ; que le ministère public a interjeté appel ;
• Attendu que, pour déclarer le prévenu coupable du délit prévu par l'article 226-18 du Code pénal dans sa rédaction
alors en vigueur et le condamner, l'arrêt attaqué énonce qu'il a collecté des adresses électroniques, qui constituent
des données nominatives, de façon déloyale en ce qu'elles ont été utilisées sans rapport avec l'objet de leur mise en
ligne ; que les juges ajoutent que les titulaires des adresses n'ont pas donné leur consentement alors que le droit
d'opposition dont ils disposaient supposait qu'ils soient avisés, avant tout enregistrement, de ce que les informations
nominatives les concernant pouvaient faire l'objet d'un traitement ; qu'enfin, pour écarter l'argumentation du
prévenu qui faisait valoir que le logiciel Freeprospect se bornait à cibler l'adresse électronique concernée, mais
n'enregistrait aucune donnée, les juges retiennent que les données sont collectées et traitées et que les adresses sont
mémorisées ne serait-ce qu'un instant dans la mémoire vive de l'ordinateur ;
• Attendu qu'en cet état, la cour d'appel a justifié sa décision ;
• Que, d'une part, constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les
utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ;
• Que, d'autre part, est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes
physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
10. Enjeux de la labellisation CNIL
Double enjeu :
• pour les entreprises : garantir un haut niveau de protection
• pour les individus : indicateur de confiance.
CNIL, communiqué, 13 janv. 2015.
La CNIL a créé le 13 janvier son quatrième référentiel lui permettant de délivrer des labels aux procédures de gouvernance
Informatique et Libertés. La gouvernance Informatique et Libertés définit les règles et les bonnes pratiques permettant à un
organisme d'assurer une gestion de ses données respectueuse des principes Informatique et Libertés. Le référentiel s'adresse
aux organismes disposant d'un correspondant Informatique et Libertés (CIL). En pratique, 25 exigences sont requises dans
plusieurs domaines : l'organisation interne liée à la protection des données, la méthode de vérification de la conformité des
traitements à la loi Informatique et Libertés, la gestion des réclamations et incidents. Le label sera un indicateur de
confiance pour les clients et les usagers. Il devrait constituer, pour les entreprises, collectivités, associations ou
administrations, un cadre éthique et juridique, témoignant de la volonté de l'organisme d'innover et de traiter les données
personnelles de manière responsable. Notons que cette démarche permet de préparer les organismes aux règles du futur
règlement européen en intégrant notamment le principe d'accountability.
Accountability : obligation de rendre compte et d’expliquer les mesures mises en œuvre pour se conformer
aux exigences issues de la réglementation Informatique et libertés.
11. Rôle du correspondant informatique et liberté
Le principe d’accountability implique notamment la
nomination d’un CIL.
• personne désignée par le responsable du traitement de données s'assure que les traitements
effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes
concernées. La personne ainsi détachée à la protection des données, employée ou non du
responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute
indépendance".
• le CIL doit posséder les qualifications nécessaires à l'exercice de ses fonctions ;
• le CIL doit exercer ses fonctions de manière indépendante et éviter les situations de conflit
d'intérêts ;
• les missions du CIL sont principalement relatives à la tenue d'un registre des traitements, le
contrôle de conformité à la loi "informatique et libertés" des traitements mis en œuvre, la
sensibilisation des opérationnels aux règles de protection des données, l'accompagnement
des projets informatiques ainsi que la gestion des relations avec les personnes fichées et
l'autorité locale de protection des données.
• Soit CIL "interne", c'est-à-dire un salarié de l'organisme concerné ;
• Soit CIL externe
• Dans un cas comme dans l’ autre, cela peut être une personne morte.
12. Dernière étape : l’adoption de package
Dernière étape dans une logique de compliance : définir
par secteur les obligations que les acteurs économiques
doivent respecter.
Ex : l’assurance
13. Qui sommes nous
• Legal Tools est le fruit de la rencontre entre l’expertise juridique et l’expertise
informatique (mettre des photos).
• Jacques Amar, maître de conférences en droit privé HDR, Université Paris-
Dauphine enseigne le droit des affaires depuis plus de 15 ans. Il est spécialisé
dans l’expertise juridique de sites informatiques.
• Lionel Chemla, ingénieur, président de la SAS Catalyse It, spécialisée dans la mise
en place de business process management. Son expérience comme ses
qualifications en font un expert reconnu en matière de crédit-impôt recherche et
de système d’information.
• Contact : contact@legal-tools.fr