Facebook Twitter Instagram Linkedin
Contact

Données Personnelles

L’Habeas Data, protecteur des données personnelles de santé

Written by Dreyfus31/07/2014

business-dreyfus-8-150x150Dans son Cahier IP de mai 2014, la CNIL s’est intéressée au corps humain comme nouvel objet connecté, notamment au respect électronique de l’individu à travers ses données et plus particulièrement au respect de son corps par les objets connectés. Alors que la Magna Carta prévoit l’Habeas Corpus, la CNIL soumet l’idée d’un Habeas Data pour protéger les données de santé.

Avec la multiplication des objets connectés liés au quantified self, on voit se décupler la quantité de données de santé des particuliers. A la différence des données personnelles classiques, les données de santé revêtent un caractère sensible. En effet, ces données touchent non seulement l’individu mais aussi sa famille à cause des liens génétiques. Aussi, ces données peuvent être la source de discrimination en fonction de l’état de santé de l’individu.

 

La CNIL met en avant le fait que, bien que les données de santé soient très encadrées en France et en Europe, elles ne font pas l’objet d’une définition précise. Alors que certains préféreraient une définition large laissant une marge d’interprétation au juge, d’autres souhaitent favoriser une définition claire pour plus de sécurité juridique. Le projet de règlement européen sur les données personnelles, qui est actuellement en discussion, prévoit la définition suivante : « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de service de santé à cette personne ». Une gradation du caractère sensible des données est aussi une option proposée, afin de traiter les données de manière moins binaire que « sensible » ou non.

 

On voit apparaître un paradoxe entre la valeur commerciale des données liées au Big Data et le principe d’extrapatrimonialité du corps humain. Des restrictions d’usage semblent devoir être imposées notamment pour interdire la commercialisation des données de santé. Il faut établir des principes éthiques et fondamentaux pour limiter les atteintes.

Enfin, la CNIL propose de distinguer les applications à visée médicale (offrant un diagnostic, un traitement ou un moyen de prévention) des applications non-médicales. Cela permettrait d’offrir plus de sécurité à l’individu aussi bien d’un point de vue physique que virtuel. Cela met en lumière la complexité de la gestion des données de santé qui touchent non seulement les données personnelles mais aussi la vie privée et le droit à la dignité de l’individu.

Du fait de leur caractère particulier, la Commission européenne a recommandé, le 12 mai 2009, le recours à des Privacy Impact Assessments pour les applications de quantified self. Cela pourrait prévoir un degré d’exigence plus élevé en matière de sécurité des données et d’information des personnes.

 

 

Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.

 

Read More

Facebook, entre intérêts publics et privés : la question de la confidentialité des données

Written by Dreyfus24/07/2014

Illustration nom de domaineEn moins d’une décennie, Facebook s’est hissé au sommet des media sociaux et des réseaux, ses actions atteignant un pic en 2012 avec une capitalisation de 104 milliards de dollars. Dans le monde actuel toujours plus numérique, Facebook est bien plus qu’un réseau social, il est une forme d’identité et de communauté au sein de laquelle les individus fondent et racontent leurs expériences hypermodernes.

Facebook, évoluant dans une société qui évolue très vite obsolète et tournée vers la technologie, a contribué à engager une discussion au sujet de laquelle les philosophes, anciens comme modernes, qui vivaient dans un monde bien différent du nôtre, ont lutté pendant des siècles: le croisement des intérêts privés et publics.

Le gouvernement américain est actuellement en conflit avec Facebook au sujet du contenu de centaines de comptes d’utilisateurs. Invoquant le 4ème amendement, qui est le droit constitutionnel d’être libre de toutes recherches déraisonnables, Facebook estime que la confidentialité de données de 381 personnes, incluant des photos qu’ils ont « liké » et des messages privés serait violée.

En première instance, un juge de New-York privilégiait les intérêts publics sur les intérêts privés et décidait que Facebook n’avait aucun droit de contester les mandats de perquisition car elle agit comme un dépositaire de données en ligne, et n’est pas la cible actuelle de l’enquête pénale. S’agissant de l’enquête elle-même, les procureurs américains ont cherché à intenter des poursuites contre certains fonctionnaires accusés d’avoir fraudé le système de sécurité sociale en produisant de faux certificats d’invalidité. Selon Joan Vollero, une porte-parole du bureau du Procureur de Manhattan, près de 1.000 personnes auraient fraudé le gouvernement pour un montant de plus de 400 millions de dollars. Les preuves pour cette plainte provenaient des photos Facebook présentant les fonctionnaires supposés handicapés participant à toute sorte de sport, pêche en haute mer et sports nautiques.

Bien que dans cette affaire particulière, qui en est actuellement en appel, la violation du 4ème amendement et la préférence pour les intérêts publics sur les intérêts privés semble justifiée, particulièrement lorsque l’on considère les pertes financières pour le gouvernement, toutes les affaires concernant les recherches numériques et les saisies n’ont pas reçu la même solution. Dans une décision américaine Riley contre Californie (2014) la question était de savoir si une arrestation pouvait permettre, à elle-seule, à un officier de police de rechercher des données disponibles sur le smartphone d’une personne, pouvant inclure son compte Facebook. La décision, qui s’est elle-même rattachée à l’idée de « nouvelle règle pour un nouveau monde » vise à faire prendre conscience que la police ne devrait pas avoir un accès absolu à toutes les informations sur le téléphone portable d’une personne seulement parce que cette personne est en état d’arrestation.

Néanmoins, les faits de ces deux affaires respectives ne se ressemblent pas et l’analyse juridique peut, par conséquent, varier. Dans le cas de la contestation de Facebook de la saisie d’informations d’un utilisateur, il semble, en revanche, que la vie privée d’un individu puisse surpasser le droit pour le public de bénéficier des dépenses publiques, en particulier à la lumière aux montants financiers qui se trouvaient en jeu.

Cette affaire pose, peut-être, une question plus large: Facebook est-il un univers public ou privé ? Facebook changeant continuellement ses réglages de confidentialité pour les utilisateurs et devenant davantage une agence de publicité qu’une plateforme d’échanges, les indicateurs peuvent laisser penser que ceux qui utilisent Facebook sont en fait davantage utilisateurs d’un domaine public.

Néanmoins, les utilisateurs ont besoin d’avoir confiance en Facebook et de savoir que leurs messages privés resteront privés, ce qui n’a pas toujours été vrai.

Comme certains anciens répondent, une vieille solution toujours applicable à ce problème est simplement d’être prudents sur ce que vous révélez sur vous-même sur Internet. Si vous estimez que vos droits à la vie privée ont été violés par un service de média sociaux et/ou par le gouvernement, ou connaissez quelqu’un qui exploite l’un de ses services, des conseils et solutions fiables peuvent vous être apportés par Dreyfus.

 

Read More

La création d’un label coffre-fort par la CNIL

Written by Dreyfus24/07/2014

business-dreyfus-81-150x150Une délibération de la Commission Nationale Informatique et Libertés (CNIL) a été publiée le 23 janvier dernier. Celle-ci prévoit l’encadrement de la notion de « coffre-fort numérique » ainsi que la création d’un label de certification dont ces services de stockage feront l’objet.

L’appellation « coffre-fort numérique » est désormais définie par la CNIL comme « un espace de stockage sécurisé, accessible sur internet, permettant de stocker des documents électroniques sous différents types de format (textes, photos, documents papier numérisés ….) ».

 

L’apparition de ce nouveau système de stockage engendre de nombreuses problématiques, notamment en ce qui concerne la préservation de l’intégrité et de la confidentialité des données personnelles stockées.

La Commission, spécialisée dans la protection des données personnelles, a choisi de créer cet indicateur de confiance pour but d’indiquer le haut niveau de protection des données personnelles des services de stockage de données en ligne par la prise de mesures appropriées.

Deux conditions cumulatives s’imposent à tout fournisseur de ce type de service pour pouvoir bénéficier du label. Il doit être un opérateur technique de service et un fournisseur du service auprès des particuliers.

Dans sa délibération, la CNIL impose aussi un traitement spécial pour les données de santé. Ces données étant considérées comme plus sensibles, leur stockage nécessite donc l’obtention d’un agrément attribué par la Commission.

Ce label de certification représente ainsi le premier label relatif aux produits, suivant les traces des labels de la CNIL, déjà existants, de formation et d’audit.

 

Read More

Santé connectée et données personnelles, la CNIL enquête

Written by Dreyfus17/07/2014

business-dreyfus-81-150x150Fin mai 2014, la CNIL a publié un Cahier IP sur le thème du corps comme nouvel objet connecté, en se focalisant sur les données personnelles de santé issues des applications et objets de quantified self.

Ce phénomène actuel est défini par la CNIL dans sa publication comme la « quantification de soi. Sous cette expression quelque peu sibylline, sont visées des pratiques variées mais qui ont toutes pour point commun pour leurs adeptes, de mesurer et de comparer avec d’autres des variables relatives à notre mode de vie : nutrition, exercice physique, sommeil, mais aussi pourquoi pas son humeur, etc. »

Les données sont capturées automatiquement par des objets connectés puis traitées en masse. Le développement de cette pratique appelle à la vigilance des utilisateurs vis-à-vis du devenir de leurs données. Ces dernières étant liées à la santé de l’individu, elles ont un caractère sensible. Il n’existe aucune définition de « donnée sensible » mais elles sont énumérées exhaustivement.

La Commission met en avant le décalage entre les politiques de confidentialité présentées et la réalité des pratiques. Il passe trop souvent inaperçu à cause du manque de vigilance et de connaissance des utilisateurs au sujet des données personnelles.

Un mouvement de « client empowerment », donnant ainsi plus de pouvoir et de contrôle au client, permettrait un rééquilibrage de la relation usager/collecteur de données. En effet, la voix des clients est trop souvent négligée par les entreprises. Cet « empowerment » peut aussi permettre la patrimonialisation des données avec le consentement direct du client, ce qui serait très favorable aux courtiers en données.

 

Bien que la CNIL ne le mentionne pas dans son rapport, une autre solution pour la protection des données des usagers serait d’imposer le concept de « privacy by design » dès la conception des objets connectés. Ce concept propose de faire de la protection de la vie privée de l’utilisateur une caractéristique majeure de l’objet. Ainsi, par défaut, les données recueillies ne seront pas extensivement partagées ou revendues.

Les lois françaises et européennes étant très protectrices des données personnelles, en particulier des données sensibles, la vigilance est de rigueur lors de la collecte de ces données.

 

Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.

 

Read More

Snapchat trouve un accord avec la FTC sur fond de collecte de données personnelles

Written by Dreyfus17/07/2014

business-dreyfus-81-150x150La société Snapchat, qui développe l’application mobile du même nom, et qui permet d’envoyer des messages éphémères, vient de trouver un accord avec la Federal Trade Commission américaine (FTC). Les deux parties ont transigé afin d’éviter un procès qui aurait été largement dommageable pour la société.

 

Dans un long communiqué, la Commission pointe du doigt de nombreuses fausses déclarations faites par Snapchat aux consommateurs, notamment au sujet du fonctionnement de l’application. La nature éphémère des messages, qui a donné sa popularité à l’application, était largement remise en question. En effet, les messages reçus sont aisément enregistrables par le biais d’une capture d’écran, ce que critique la FTC. Dans les versions précédentes de Snapchat, l’expéditeur était averti lorsque le récepteur enregistrait une capture d’écran, mais ce n’est plus le cas désormais. Il existe en outre selon le communiqué de multiples manières d’enregistrer aisément des messages photos ou vidéos.

 

La FTC liste un nombre important de griefs adressés à l’égard de Snapchat : géolocalisation et collecte du carnet d’adresse sans l’accord de l’utilisateur, ou encore manque de sécurité dans le chiffrement des messages. Fin 2013, les données personnelles de près de 5 millions d’utilisateurs avaient été récupérées par des pirate du fait de ce manque de sécurité.

 

C’est donc pour éviter un procès que Snapchat a accepté de signer cet accord. Celui-ci prévoit entre autres l’interdiction pour la société de déformer sa politique de confidentialité, de sécurité ou de vie privée. Surtout l’accord prévoit un contrôle indépendant et pendant 20 ans, de l’activité de la société dans ces domaines.

 

L’accord entre la société et la Commission est ouvert aux commentaires jusqu’au 9 juin 2014, date à laquelle il devra être signé par les deux parties puis homologué par un juge. L’engagement de la FTC pour une collecte responsable des données personnelles doit être salué. Alors que de plus en plus de données sont recueillies quotidiennement, la vie privée des consommateurs doit rester au cœur des préoccupations des sociétés et des états.

 

Dreyfus est spécialisé dans la lutte contre les atteintes en ligne. N’hésitez pas à nous contacter pour plus de renseignements.

 

Read More

Le casse-tête juridique du selfie

Written by Dreyfus10/07/2014

Illustration nom de domaineDésigné par le prestigieux dictionnaire Oxford comme mot de l’année 2013, le selfie désigne le fait de faire un autoportrait en utilisant un smartphone. Cette pratique est même devenue la spécialité de certains réseaux sociaux tels qu’Instagram ou Snapchat, avec chacun leurs spécificités. Si d’aucuns y voient un passe-temps ou une exacerbation de l’individualisme sociétal, la pratique du selfie pose pourtant de nombreux problèmes juridiques. Du point de vue juridique, le selfie relève du droit à l’image, lui-même dérivé du droit à la vie privée.

Puisque le selfie est une photographie, la première question qui se pose est évidemment celle du droit à l’image. Si la situation ne présente pas de difficulté particulière lorsqu’une personne se photographie seule, il en est nécessairement autrement lorsque le selfie est une photographie de groupe. Cette question est souvent résolue en présumant, à raison, que les personnes présentes sur l’image ont donné leur consentement pour être photographiés.

Mais, et c’est souvent là que le bât blesse, le consentement s’arrête souvent là. A l’heure des réseaux sociaux, l’auteur du selfie aura bien souvent l’envie – sinon le réflexe – de poster l’image sur les plateformes sociales sans avoir obtenu l’accord exprès des individus. Or le consentement à être photographié et celui d’avoir son image postée sur internet, sont bien distincts. Ainsi il est recommandé d’obtenir le consentement exprès des personnes photographiées pour publier et diffuser l’image. Pour information, il faut rappeler que le consentement des personnes situées sur la photographie sans en être l’objet principal (notamment les individus en arrière-plan) n’a pas à être recueilli.

Le selfie peut également soulever la question du droit à l’image des biens. Lorsque la photographie est prise en intérieur, le droit au respect de la vie privée est important et il pourra se révéler nécessaire d’obtenir l’accord de l’occupant des lieux. Plus encore, lorsque le selfie inclue un bien couvert par un droit de propriété littéraire et artistique ou par un droit de propriété industrielle autre, leurs titulaires sont en droit de demander le retrait de la photographie.

Enfin, à l’occasion des dernières élections, on a observé un déferlement de selfies pris dans l’isoloir. En France, rien n’interdit a priori de se prendre en photo dans l’isoloir tant que le secret du vote n’est pas enfreint. Le ministre de l’intérieur a précisé à ce sujet qu’« il convient de noter que le « scrutin est secret » (L. 59 du code électoral). En outre, le président du bureau de peut procéder à toute expulsion en cas de trouble à l’ordre public ». Le fait de se prendre en photo dans l’isoloir n’est pas en soi un trouble à l’ordre public mais peut mettre en doute l’indépendance de l’électeur.

Le selfie présente donc des problématiques particulières qu’il convient de manier avec précaution, notamment pour la publication sur les réseaux sociaux.

Dreyfus est spécialisé peut vous aider dans la gestion de votre présence en ligne. N’hésitez pas à nous contacter pour tout renseignement.

 

Read More

Le droit à l’oubli consacré par la Cour européenne, Google débouté !

Written by Dreyfus12/06/2014

business-dreyfus-81-150x150La Cour de Justice de l’Union Européenne, le 13 mai dernier, a débouté Google en considérant qu’un moteur de recherche est responsable du traitement des données personnelles qui apparaissent sur les pages web (CJUE, Google Spain SL, Google Inc. / Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014, C-131/12).
Un internaute espagnol a réclamé auprès de l’Autorité espagnole de protection des données la suppression de deux articles de presse relatifs à son endettement. Il a demandé également à ce que les articles ne soient plus indexés par Google au motif qu’ils n’étaient plus d’actualité.
A cet égard, la Cour européenne fait primer un droit fondamental : le droit à l’oubli. Désormais, les moteurs de recherche sont tenus de supprimer, à la demande de toute personne, les résultats de recherche considérés comme non pertinents et désuets.
Par ailleurs, la Cour considère que Google et les autres moteurs de recherche sont tenus de contrôler les informations à caractère privé puisqu’ils extraient, enregistrent et organisent  ces données de manière systématique. Ils sont donc responsables de leur traitement.
Quant aux personnes concernées, elles ont un droit de contrôle sur leurs données personnelles, même si elles ne sont pas des personnalités publiques. Dès lors, si une personne souhaite qu’une information non pertinente ou mensongère la concernant soit supprimée des résultats du moteur de recherche, elle doit en faire la demande quand bien même l’information a été publiée licitement. Elle peut s’adresser directement à l’exploitant du moteur de recherche qui doit en examiner le bien-fondé.
Enfin, la décision de supprimer ou non les données personnelles d’une personne dépend de la « nature de l’information, de sa sensibilité pour sa vie privée et de l’intérêt du public à disposer de cette information, lequel peut varier en fonction du rôle joué par cette personne dans la vie publique ».
En définitive, la Cour européenne est venue consolider le droit à l’oubli. Néanmoins, il ne s’agit pas d’un droit absolu puisqu’un équilibre entre la liberté d’expression et d’information et le droit à la vie privée doit être trouvé. Enfin, des problématiques liées à la mise en œuvre du droit à l’oubli se posent déjà à la suite de cette décision.
En effet, trois jours après la publication de cette décision, Google a reçu des centaines de demandes pour faire retirer des informations personnelles. Google fait part de la complexité de traiter ces demandes en raison des nombreuses langues et de la nécessité d’un examen attentif pour chacune d’elles.
Néanmoins, la décision de la Cour européenne prévoit que l’absence de réponse du moteur de recherche peut conduire à la saisine d’une autorité de contrôle ou d’une autorité judiciaire et à la condamnation à une amende importante.
Afin d’encadrer le droit à l’oubli, le rapport d’activité de la Cnil, présenté le 19 mai dernier, propose des moyens efficaces de maitriser la diffusion des données personnelles. Tout d’abord, la Cnil suggère l’élaboration d’un référentiel standard de durées de conservation des données. L’idée serait de mettre à disposition des responsables de traitement un guide de référence leur permettant de savoir combien de temps ils peuvent conserver des données personnelles. En outre, la Cnil propose des outils offrant aux internautes une meilleure maîtrise de la publication de leurs données. Par exemple, ils pourraient définir une date limite de diffusion de leurs publications ou les modifier ou les supprimer. Enfin, la Cnil préconise que le droit à l’oubli soit complété par une obligation de déréférencement sans délai à la charge des moteurs de recherche dès lors que l’internaute a obtenu l’effacement de l’information initiale.

 

Read More

Cloud computing : la CNIL lance une consultation auprès des professionnels

Written by Dreyfus25/11/2011

Nouvelle forme d’externalisation des ressources informatiques qui permet d’accéder, via l’Internet et à l’aide d’un simple navigateur web, à une pluralité de services informatiques, le Cloud computing représente un enjeu économique majeur mais soulève également de nombreuses questions juridiques, notamment quant à la protection des données personnelles.

La consultation lancée par la CNIL a pour objectif de définir ce que désigne le Cloud computing. A cet égard, la CNIL propose de procéder par faisceau d’indices. S’agissant de la protection des données personnelles, le prestataire, c’est-à-dire l’hébergeur du système du Cloud computing, est considéré en principe comme un sous-traitant agissant conformément aux instructions d’un responsable du traitement des données, le client.

La question peut toutefois s’avérer plus délicate et la CNIL s’interroge sur le point de savoir si le prestataire, présumé sous-traitant, ne pourrait pas dans certains cas partager la responsabilité du traitement. Il pourrait en aller ainsi par exemple lorsque le prestataire propose au client des services supplémentaires lui donnant la faculté de contrôler la façon dont les données personnelles sont traitées.

La détermination de la loi applicable fait également l’objet d’une discussion avec, en particulier, les conséquences de l’application du critère de l’utilisation de moyens de traitements dans un Etat membre de l’Union européenne par une entreprise établie dans un pays extérieur à cette union. En effet, sauf dans l’hypothèse d’opérations de pur transit, ce critère a pour effet de rendre la loi de l’Etat, ou de chacun des Etats sur le territoire du ou desquels ces moyens sont utilisés.

La CNIL s’interroge aussi sur les procédures qui peuvent être utilisées pour protéger les transferts de données personnelles vers des pays n’assurant pas une protestation équivalente à la règlementation européenne. Il s’agit notamment des Binding Corporate Rules ou clauses contractuelles types conformes aux principes du droit européen et approuvées par les autorités européennes. Le dernier jeu de clauses adopté par la Commission en février 2010 ne prend pas en compte le cas des chaines de sous-traitance, élément qui ne manquera pourtant pas de se révéler essentiel dans l’économie du Cloud computing.

Au delà de la problématique des transferts de données personnelles, la CNIL s’attache également à la transcription des principes de sécurité dans les contrats avec les prestataires, notamment en matière de confidentialité et de réversibilité.

Les réponses à la consultation lancée auprès des parties prenantes sont attendues pour le 27 novembre 2011. Il ne fait aucun doute que la CNIL est amenée à jouer un rôle critique dans la combinaison des nouvelles solutions offertes par le Cloud computing et la protection des données personnelles. A suivre !

Cliquez ici pour télécharger ce document en version PDF

 

Read More
Contact
Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !
Facebook Twitter Instagram Linkedin

© 2024 Dreyfus – Création Agence Peach