Informatique et libertés

Informatique et libertés, Secteur public

Sites d’analyse des activités parlementaires : rappels de la Cnil

/

Le 7 février 2012, la Cnil a publié un article rappelant que les « sites d’observation et d’analyse de l’activité parlementaire », qui mesurent notamment l’assiduité des élus, sont soumis à la loi Informatique et libertés. Dans cet article, la Cnil apporte des précisions sur la manière dont s’articulent la liberté d’expression, le droit du public à l’information et la protection des données à caractère personnel. Les sites visés sont ceux établissant des statistiques sur l’assiduité des élus, le nombre d’interventions effectuées, de questions écrites posées au gouvernement ou encore de rapports et propositions de lois déposés, se fondant sur les informations publiques fournies notamment par l’Assemblée nationale ou le Sénat. Si la Cnil ne remet pas en cause les traitements de données à caractère personnel effectués, ces sites sont néanmoins soumis aux obligations de la loi Informatique et Libertés, nonobstant le caractère public des informations utilisées. La Cnil rappelle que « la collecte d’informations sur des sites publics est déloyale quand elle s’effectue à l’insu des intéressés ». Ainsi, selon la Cnil, « même si l’accès à certaines données est libre, la loi impose d’informer au préalable les personnes concernées de l’utilisation de leurs données personnelles », ce qu’elle préconise de faire par le biais d’une information individuelle, par exemple sous forme de courrier électronique, en précisant les objectifs de la collecte, le traitement statistique et la diffusion des données, ainsi que l’existence et les modalités d’exercice du droit d’opposition, d’accès et de rectification. Les éditeurs de ces sites sont tenus de faire droit aux demandes tendant à l’exercice de ces droits. Les éditeurs de ces sites doivent également respecter l’interdiction du traitement de données sensibles, telles que les opinions politiques. Cependant, la Cnil précise que, dans le cas où la personne a elle-même rendu publiques ses données, comme c’est la cas pour « les élus communiquant naturellement sur leurs opinions politiques, ces informations peuvent donc être licitement collectées ». Enfin, concernant les formalités préalables à ces traitements, « dans la mesure où les données sensibles sur lesquelles ils portent ont été rendues publiques par les personnes concernées », c’est le régime de la déclaration qui s’applique. Cnil, rubrique Actualité, article du 7 février 2012

Informatique et libertés, Vidéosurveillance - Vidéoprotection

La vidéosurveillance et le contrôle des salariés

/

Par délibération n° 2102-12 du 17 janvier 2012, la Cnil a décidé de rendre publique la mise en demeure n° 2011-36 du 16 décembre 2011 adoptée à l’encontre d’une société afin de modifier son dispositif de vidéosurveillance. Dans cette mise en demeure, la Cnil relève un manquement aux obligations suivantes : de définir une finalité déterminée, explicite et légitime du traitement ; de veiller à l’adéquation, à la pertinence et au caractère non excessif des données ; de définir une durée de conservation des données proportionnée à la finalité du traitement ; d’informer les personnes conformément à la loi Informatique et libertés ; d’obtenir une autorisation préfectorale préalablement à la mise en œuvre d’un dispositif de vidéoprotection La Cnil a donné à la société un délai de six semaines pour se conformer à la mise en demeure et lui en justifier. Cnil, rubrique Actualité, article du 2 février 2012

Cnil : organisation et pouvoirs, Informatique et libertés

La Cnil sanctionne l’ absence de réactivité à ses mises en demeure

/

La Cnil sanctionne l’ absence de réactivité à ses lettres de mises en demeure. Elle a récemment eu l’occasion de rappeler que ses courriers et lettres de mise en demeure ne doivent pas rester lettre morte. La formation contentieuse de la Commission a ainsi sanctionné d’un avertissement une agence immobilière à qui elle avait adressé plusieurs courriers, dont la plupart étaient demeurés sans réponse. L’absence de réactivité et le caractère succinct de la réponse du service juridique de l’organisme, suite au quatrième courrier, a engendré le prononcé d’une sanction de la Commission, marquant ainsi le fait qu’il ne s’agit pas de simples observations à titre indicatif et que ses demandes doivent faire l’objet d’une attention toute particulière. Il convient donc que les organismes objets de demande spécifique de la Cnil fassent preuve de réactivité dans leur réponse et que celle-ci soit complète, circonstanciée et intervienne dans un délai raisonnable. Cnil, rubrique Actualité, article du 6 décembre 2011

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Protection des données en Europe : une harmonisation complète

/

En matière de protection des données en Europe, une législation nationale ne peut rendre plus restrictives, au regard de la directive 95/45, les conditions dans lesquelles un traitement de données à caractère personnel peut être effectué sans le consentement de la personne. C’est en substance ce qu’a jugé la Cour de justice de l’Union européenne dans un arrêt du 24 novembre 2011. En l’espèce le droit espagnol a ajouté, à la condition tirée de l’intérêt légitime au traitement des données sans le consentement de la personne concernée, une condition qui n’existe pas dans la directive (art.7 f de la directive), à savoir que les données figurent dans les sources accessibles au public. La CJUE a considéré que le droit espagnol a dépassé les limites du texte en ajoutant des conditions supplémentaires à celles qui étaient prévues par la directive, en rappelant que l’harmonisation recherchée par la directive ne se limitait pas à une harmonisation minimale mais en principe complète au sein de l’union. La cour déclare, par ailleurs, que la disposition visée dans la directive est suffisamment précise et possède un effet direct permettant à un particulier de l’invoquer. Cet arrêt met en lumière les différences de transposition de la directive au sein des Etats membres de l’Union européenne contraignant les entreprises intervenant dans plusieurs pays de l’Union à tenir compte des spécificités locales et plaide en faveur d’une harmonisation complète des dispositions relatives à la protection des données, comme le défend la vice-présidente de la Commission Viviane Reding dans le cadre de la modification de la directive 95/46. CJUE 24-11-2011 aff. C-468/10 et C-469/10 Asnef et Fecemd c./ Espagne

Biométrie, Informatique et libertés

Expérimentation de collecte des données biométriques pour les visas

/

Le décret du 9 novembre 2011 autorise l’expérimentation de collecte des données biométriques. L’expérimentation aura lieu pour une durée d’un an à compter du 14 novembre 2011. Elle couvre la collecte de données biométriques des demandes de visa déposées auprès des consulats généraux de France à Alger (République algérienne démocratique et populaire), Istanbul (République de Turquie) et Londres (Royaume-Uni). Les personnels des prestataires agréés chargés de cette collecte sont individuellement habilités par ces mêmes autorités. Décret n° 2011-1490 du 9-11-2011 Arrêté du 12-11-2011

identification et authentification numérique
Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Informatique et libertés et contrats informatiques

/

Informatique et libertés et contrats informatiques – Par une décision rendue le 4 octobre 2011, la Chambre commerciale de la Cour de cassation a reproché à la Cour d’appel de Paris de ne pas avoir examiné la licéité de l’objet d’un contrat portant sur la location d’un système de contrôle biométrique. Celui-ci n’avait pas fait l’objet d’une autorisation de la Commission nationale de l’Informatique et des libertés (Cnil). Informatique et libertés et contrats informatiques Dans cette espèce, une société avait conclu un contrat d’installation, de location et de maintenance d’un système de contrôle d’accès biométrique avec le fournisseur de cette solution. Le système de contrôle objet du contrat n’avait pas été autorisé par la Cnil, contrairement aux dispositions Informatique et libertés applicables. Quelques mois plus tard, et pour une toute autre raison, la société utilisatrice du dispositif a dénoncé le contrat et a ainsi cessé le versement des mensualités. A l’occasion de la vente d’un de ses fonds de commerce par cette dernière, la société propriétaire des matériels a alors formé opposition au paiement du prix de vente de ce fonds, invoquant une créance certaine à son égard. Pour demander la mainlevée de cette opposition, la société utilisatrice du dispositif faisait valoir que le contrat de location du système de contrôle d’accès biométrique était nul comme portant sur un objet illicite en ce qu’il n’avait pas été autorisé par la Cnil. Location d’un système biométrique non autorisé Cassant l’arrêt par lequel la Cour d’appel de Paris avait rejeté la demande de mainlevée de l’opposition, la Cour de cassation lui reproche de ne pas s’être prononcée sur cet argument. S’il ne peut pas être déduit de la motivation de l’arrêt que le contrat de location aurait nécessairement dû être annulé, la Cour de cassation demande a minima à la Cour d’appel de renvoi de se prononcer sur la licéité de l’objet du contrat de location du dispositif biométrique en l’absence d’autorisation de la Cnil. Cass com 4-10-2011 n° 10-21954

Cloud computing, Contrat, Informatique, Informatique et libertés

La protection des données personnelles face au cloud computing

/

Afin d’envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection des données personnelles dans le cadre du Cloud computing, la Cnil lance une consultation auprès des professionnels, clients et prestataires d’offres de Cloud computing. Protection des données personnelles dans les nuages Cette consultation ne concerne pas les offres de Cloud computing proposées aux particuliers. La Commission aborde de nombreuses problématiques liées au Cloud Computing : la définition du Cloud computing ; la qualification des parties ; le droit applicable ; l’encadrement des transferts ; la sécurité des données. La consultation est ouverte depuis le 17 octobre et prendra fin le 17 novembre 2011. A l’issue de la consultation, l’ensemble des contributions sera exploité pour en dégager les principales orientations. Elles seront publiées sur le site de la Cnil en même temps que les solutions qu’elle aura dégagées. En se rendant sur le site de la Cnil, les participants sont invités à télécharger un formulaire et à le renvoyer par courrier électronique ou postal. Cnil, Consultation du 17-10-2011

risques psychosociaux
Actualités, Informatique et libertés, Système d'information Ressources humaines

Suspension judiciaire d’un dispositif d’alerte professionnelle

/

Par arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle. La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite. Les limitations d’un dispositif d’alerte professionnelle Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance. Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version. Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français. L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption. Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles. Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale. Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés. Un dispositif d’alerte professionnelle pas assez encadré Cependant, en l’espèce, et alors même que : le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ; des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ; les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ; le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ; les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement. La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante. Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée. CA Caen 23-09-2011 n° 09-00287

Retour en haut