Facebook Twitter Instagram Linkedin
Contact

Données Personnelles

La création d’un label coffre-fort par la CNIL

nathalie dreyfus Written by Nathalie Dreyfus24/07/2014

business-dreyfus-81-150x150Une délibération de la Commission Nationale Informatique et Libertés (CNIL) a été publiée le 23 janvier dernier. Celle-ci prévoit l’encadrement de la notion de « coffre-fort numérique » ainsi que la création d’un label de certification dont ces services de stockage feront l’objet.

L’appellation « coffre-fort numérique » est désormais définie par la CNIL comme « un espace de stockage sécurisé, accessible sur internet, permettant de stocker des documents électroniques sous différents types de format (textes, photos, documents papier numérisés ….) ».

 

L’apparition de ce nouveau système de stockage engendre de nombreuses problématiques, notamment en ce qui concerne la préservation de l’intégrité et de la confidentialité des données personnelles stockées.

La Commission, spécialisée dans la protection des données personnelles, a choisi de créer cet indicateur de confiance pour but d’indiquer le haut niveau de protection des données personnelles des services de stockage de données en ligne par la prise de mesures appropriées.

Deux conditions cumulatives s’imposent à tout fournisseur de ce type de service pour pouvoir bénéficier du label. Il doit être un opérateur technique de service et un fournisseur du service auprès des particuliers.

Dans sa délibération, la CNIL impose aussi un traitement spécial pour les données de santé. Ces données étant considérées comme plus sensibles, leur stockage nécessite donc l’obtention d’un agrément attribué par la Commission.

Ce label de certification représente ainsi le premier label relatif aux produits, suivant les traces des labels de la CNIL, déjà existants, de formation et d’audit.

 

Read More

Santé connectée et données personnelles, la CNIL enquête

nathalie dreyfus Written by Nathalie Dreyfus17/07/2014

business-dreyfus-81-150x150Fin mai 2014, la CNIL a publié un Cahier IP sur le thème du corps comme nouvel objet connecté, en se focalisant sur les données personnelles de santé issues des applications et objets de quantified self.

Ce phénomène actuel est défini par la CNIL dans sa publication comme la « quantification de soi. Sous cette expression quelque peu sibylline, sont visées des pratiques variées mais qui ont toutes pour point commun pour leurs adeptes, de mesurer et de comparer avec d’autres des variables relatives à notre mode de vie : nutrition, exercice physique, sommeil, mais aussi pourquoi pas son humeur, etc. »

Les données sont capturées automatiquement par des objets connectés puis traitées en masse. Le développement de cette pratique appelle à la vigilance des utilisateurs vis-à-vis du devenir de leurs données. Ces dernières étant liées à la santé de l’individu, elles ont un caractère sensible. Il n’existe aucune définition de « donnée sensible » mais elles sont énumérées exhaustivement.

La Commission met en avant le décalage entre les politiques de confidentialité présentées et la réalité des pratiques. Il passe trop souvent inaperçu à cause du manque de vigilance et de connaissance des utilisateurs au sujet des données personnelles.

Un mouvement de « client empowerment », donnant ainsi plus de pouvoir et de contrôle au client, permettrait un rééquilibrage de la relation usager/collecteur de données. En effet, la voix des clients est trop souvent négligée par les entreprises. Cet « empowerment » peut aussi permettre la patrimonialisation des données avec le consentement direct du client, ce qui serait très favorable aux courtiers en données.

 

Bien que la CNIL ne le mentionne pas dans son rapport, une autre solution pour la protection des données des usagers serait d’imposer le concept de « privacy by design » dès la conception des objets connectés. Ce concept propose de faire de la protection de la vie privée de l’utilisateur une caractéristique majeure de l’objet. Ainsi, par défaut, les données recueillies ne seront pas extensivement partagées ou revendues.

Les lois françaises et européennes étant très protectrices des données personnelles, en particulier des données sensibles, la vigilance est de rigueur lors de la collecte de ces données.

 

Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.

 

Read More

Snapchat trouve un accord avec la FTC sur fond de collecte de données personnelles

nathalie dreyfus Written by Nathalie Dreyfus17/07/2014

business-dreyfus-81-150x150La société Snapchat, qui développe l’application mobile du même nom, et qui permet d’envoyer des messages éphémères, vient de trouver un accord avec la Federal Trade Commission américaine (FTC). Les deux parties ont transigé afin d’éviter un procès qui aurait été largement dommageable pour la société.

 

Dans un long communiqué, la Commission pointe du doigt de nombreuses fausses déclarations faites par Snapchat aux consommateurs, notamment au sujet du fonctionnement de l’application. La nature éphémère des messages, qui a donné sa popularité à l’application, était largement remise en question. En effet, les messages reçus sont aisément enregistrables par le biais d’une capture d’écran, ce que critique la FTC. Dans les versions précédentes de Snapchat, l’expéditeur était averti lorsque le récepteur enregistrait une capture d’écran, mais ce n’est plus le cas désormais. Il existe en outre selon le communiqué de multiples manières d’enregistrer aisément des messages photos ou vidéos.

 

La FTC liste un nombre important de griefs adressés à l’égard de Snapchat : géolocalisation et collecte du carnet d’adresse sans l’accord de l’utilisateur, ou encore manque de sécurité dans le chiffrement des messages. Fin 2013, les données personnelles de près de 5 millions d’utilisateurs avaient été récupérées par des pirate du fait de ce manque de sécurité.

 

C’est donc pour éviter un procès que Snapchat a accepté de signer cet accord. Celui-ci prévoit entre autres l’interdiction pour la société de déformer sa politique de confidentialité, de sécurité ou de vie privée. Surtout l’accord prévoit un contrôle indépendant et pendant 20 ans, de l’activité de la société dans ces domaines.

 

L’accord entre la société et la Commission est ouvert aux commentaires jusqu’au 9 juin 2014, date à laquelle il devra être signé par les deux parties puis homologué par un juge. L’engagement de la FTC pour une collecte responsable des données personnelles doit être salué. Alors que de plus en plus de données sont recueillies quotidiennement, la vie privée des consommateurs doit rester au cœur des préoccupations des sociétés et des états.

 

Dreyfus est spécialisé dans la lutte contre les atteintes en ligne. N’hésitez pas à nous contacter pour plus de renseignements.

 

Read More

Le casse-tête juridique du selfie

nathalie dreyfus Written by Nathalie Dreyfus10/07/2014

Illustration nom de domaineDésigné par le prestigieux dictionnaire Oxford comme mot de l’année 2013, le selfie désigne le fait de faire un autoportrait en utilisant un smartphone. Cette pratique est même devenue la spécialité de certains réseaux sociaux tels qu’Instagram ou Snapchat, avec chacun leurs spécificités. Si d’aucuns y voient un passe-temps ou une exacerbation de l’individualisme sociétal, la pratique du selfie pose pourtant de nombreux problèmes juridiques. Du point de vue juridique, le selfie relève du droit à l’image, lui-même dérivé du droit à la vie privée.

Puisque le selfie est une photographie, la première question qui se pose est évidemment celle du droit à l’image. Si la situation ne présente pas de difficulté particulière lorsqu’une personne se photographie seule, il en est nécessairement autrement lorsque le selfie est une photographie de groupe. Cette question est souvent résolue en présumant, à raison, que les personnes présentes sur l’image ont donné leur consentement pour être photographiés.

Mais, et c’est souvent là que le bât blesse, le consentement s’arrête souvent là. A l’heure des réseaux sociaux, l’auteur du selfie aura bien souvent l’envie – sinon le réflexe – de poster l’image sur les plateformes sociales sans avoir obtenu l’accord exprès des individus. Or le consentement à être photographié et celui d’avoir son image postée sur internet, sont bien distincts. Ainsi il est recommandé d’obtenir le consentement exprès des personnes photographiées pour publier et diffuser l’image. Pour information, il faut rappeler que le consentement des personnes situées sur la photographie sans en être l’objet principal (notamment les individus en arrière-plan) n’a pas à être recueilli.

Le selfie peut également soulever la question du droit à l’image des biens. Lorsque la photographie est prise en intérieur, le droit au respect de la vie privée est important et il pourra se révéler nécessaire d’obtenir l’accord de l’occupant des lieux. Plus encore, lorsque le selfie inclue un bien couvert par un droit de propriété littéraire et artistique ou par un droit de propriété industrielle autre, leurs titulaires sont en droit de demander le retrait de la photographie.

Enfin, à l’occasion des dernières élections, on a observé un déferlement de selfies pris dans l’isoloir. En France, rien n’interdit a priori de se prendre en photo dans l’isoloir tant que le secret du vote n’est pas enfreint. Le ministre de l’intérieur a précisé à ce sujet qu’« il convient de noter que le « scrutin est secret » (L. 59 du code électoral). En outre, le président du bureau de peut procéder à toute expulsion en cas de trouble à l’ordre public ». Le fait de se prendre en photo dans l’isoloir n’est pas en soi un trouble à l’ordre public mais peut mettre en doute l’indépendance de l’électeur.

Le selfie présente donc des problématiques particulières qu’il convient de manier avec précaution, notamment pour la publication sur les réseaux sociaux.

Dreyfus est spécialisé peut vous aider dans la gestion de votre présence en ligne. N’hésitez pas à nous contacter pour tout renseignement.

 

Read More

Le droit à l’oubli consacré par la Cour européenne, Google débouté !

nathalie dreyfus Written by Nathalie Dreyfus12/06/2014

business-dreyfus-81-150x150La Cour de Justice de l’Union Européenne, le 13 mai dernier, a débouté Google en considérant qu’un moteur de recherche est responsable du traitement des données personnelles qui apparaissent sur les pages web (CJUE, Google Spain SL, Google Inc. / Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, 13 mai 2014, C-131/12).
Un internaute espagnol a réclamé auprès de l’Autorité espagnole de protection des données la suppression de deux articles de presse relatifs à son endettement. Il a demandé également à ce que les articles ne soient plus indexés par Google au motif qu’ils n’étaient plus d’actualité.
A cet égard, la Cour européenne fait primer un droit fondamental : le droit à l’oubli. Désormais, les moteurs de recherche sont tenus de supprimer, à la demande de toute personne, les résultats de recherche considérés comme non pertinents et désuets.
Par ailleurs, la Cour considère que Google et les autres moteurs de recherche sont tenus de contrôler les informations à caractère privé puisqu’ils extraient, enregistrent et organisent  ces données de manière systématique. Ils sont donc responsables de leur traitement.
Quant aux personnes concernées, elles ont un droit de contrôle sur leurs données personnelles, même si elles ne sont pas des personnalités publiques. Dès lors, si une personne souhaite qu’une information non pertinente ou mensongère la concernant soit supprimée des résultats du moteur de recherche, elle doit en faire la demande quand bien même l’information a été publiée licitement. Elle peut s’adresser directement à l’exploitant du moteur de recherche qui doit en examiner le bien-fondé.
Enfin, la décision de supprimer ou non les données personnelles d’une personne dépend de la « nature de l’information, de sa sensibilité pour sa vie privée et de l’intérêt du public à disposer de cette information, lequel peut varier en fonction du rôle joué par cette personne dans la vie publique ».
En définitive, la Cour européenne est venue consolider le droit à l’oubli. Néanmoins, il ne s’agit pas d’un droit absolu puisqu’un équilibre entre la liberté d’expression et d’information et le droit à la vie privée doit être trouvé. Enfin, des problématiques liées à la mise en œuvre du droit à l’oubli se posent déjà à la suite de cette décision.
En effet, trois jours après la publication de cette décision, Google a reçu des centaines de demandes pour faire retirer des informations personnelles. Google fait part de la complexité de traiter ces demandes en raison des nombreuses langues et de la nécessité d’un examen attentif pour chacune d’elles.
Néanmoins, la décision de la Cour européenne prévoit que l’absence de réponse du moteur de recherche peut conduire à la saisine d’une autorité de contrôle ou d’une autorité judiciaire et à la condamnation à une amende importante.
Afin d’encadrer le droit à l’oubli, le rapport d’activité de la Cnil, présenté le 19 mai dernier, propose des moyens efficaces de maitriser la diffusion des données personnelles. Tout d’abord, la Cnil suggère l’élaboration d’un référentiel standard de durées de conservation des données. L’idée serait de mettre à disposition des responsables de traitement un guide de référence leur permettant de savoir combien de temps ils peuvent conserver des données personnelles. En outre, la Cnil propose des outils offrant aux internautes une meilleure maîtrise de la publication de leurs données. Par exemple, ils pourraient définir une date limite de diffusion de leurs publications ou les modifier ou les supprimer. Enfin, la Cnil préconise que le droit à l’oubli soit complété par une obligation de déréférencement sans délai à la charge des moteurs de recherche dès lors que l’internaute a obtenu l’effacement de l’information initiale.

 

Read More

Cloud computing : la CNIL lance une consultation auprès des professionnels

nathalie dreyfus Written by Nathalie Dreyfus25/11/2011

Nouvelle forme d’externalisation des ressources informatiques qui permet d’accéder, via l’Internet et à l’aide d’un simple navigateur web, à une pluralité de services informatiques, le Cloud computing représente un enjeu économique majeur mais soulève également de nombreuses questions juridiques, notamment quant à la protection des données personnelles.

La consultation lancée par la CNIL a pour objectif de définir ce que désigne le Cloud computing. A cet égard, la CNIL propose de procéder par faisceau d’indices. S’agissant de la protection des données personnelles, le prestataire, c’est-à-dire l’hébergeur du système du Cloud computing, est considéré en principe comme un sous-traitant agissant conformément aux instructions d’un responsable du traitement des données, le client.

La question peut toutefois s’avérer plus délicate et la CNIL s’interroge sur le point de savoir si le prestataire, présumé sous-traitant, ne pourrait pas dans certains cas partager la responsabilité du traitement. Il pourrait en aller ainsi par exemple lorsque le prestataire propose au client des services supplémentaires lui donnant la faculté de contrôler la façon dont les données personnelles sont traitées.

La détermination de la loi applicable fait également l’objet d’une discussion avec, en particulier, les conséquences de l’application du critère de l’utilisation de moyens de traitements dans un Etat membre de l’Union européenne par une entreprise établie dans un pays extérieur à cette union. En effet, sauf dans l’hypothèse d’opérations de pur transit, ce critère a pour effet de rendre la loi de l’Etat, ou de chacun des Etats sur le territoire du ou desquels ces moyens sont utilisés.

La CNIL s’interroge aussi sur les procédures qui peuvent être utilisées pour protéger les transferts de données personnelles vers des pays n’assurant pas une protestation équivalente à la règlementation européenne. Il s’agit notamment des Binding Corporate Rules ou clauses contractuelles types conformes aux principes du droit européen et approuvées par les autorités européennes. Le dernier jeu de clauses adopté par la Commission en février 2010 ne prend pas en compte le cas des chaines de sous-traitance, élément qui ne manquera pourtant pas de se révéler essentiel dans l’économie du Cloud computing.

Au delà de la problématique des transferts de données personnelles, la CNIL s’attache également à la transcription des principes de sécurité dans les contrats avec les prestataires, notamment en matière de confidentialité et de réversibilité.

Les réponses à la consultation lancée auprès des parties prenantes sont attendues pour le 27 novembre 2011. Il ne fait aucun doute que la CNIL est amenée à jouer un rôle critique dans la combinaison des nouvelles solutions offertes par le Cloud computing et la protection des données personnelles. A suivre !

Cliquez ici pour télécharger ce document en version PDF

 

Read More