Sans titre. Sans titre. Afin de lutter efficacement contre la pandémie à coronavirus 2019 (COVID-19), les autorités françaises ont confirmé mercredi qu’elles travaillaient sur un projet d’application mobile qui permettrait d’alerter assez tôt les personnes ayant été en contact avec une personne déclarée positive au coronavirus.
Nommée StopCovid, cette application vise à limiter la diffusion du virus en identifiant les chaines de transmission, a déclaré le secrétaire d’État au Numérique Cédric O dans un entretien accordé avec le ministre de la Santé Olivier Véran au Monde. « L’application ne géolocalisera pas les personnes. Elle retracera l’historique des relations sociales qui ont eu lieu dans les jours précédents, sans permettre aucune consultation extérieure ni transmettre aucune donnée », explique le secrétaire d’État. « Deux textes sont applicables aux traitements de données de localisation.
Source : CNIL (PDF) Sans titre. Le RGPD s’applique aux personnes.
Protéger les personnes, à travers les données qui les concernent : le texte de 2016 ne vise qu’à cela. Mais qu’est-ce qu’une personne ? Etrange question. Sans titre. Le RGPD, ou Règlement général sur la protection des données, concerne désormais tous les développeurs et les chefs de projets.
Les développeurs doivent notamment comprendre les notions de « données personnelles », de « finalité » et de « traitement ». Cette compréhension est indispensable pour le développement d'une application respectueuse de la loi et des données des utilisateurs. Attention, notamment, à ne pas confondre "anonymisation" et "pseudonymisation" qui ont des définitions très précises dans le RGPD. Que vous travailliez seul(e) ou en équipe au développement d'un projet, que vous soyez amené(e) à gérer une équipe de développement, ou que vous soyez un prestataire réalisant des développements pour des tiers, il est indispensable de s'assurer durant toute la vie du projet que les données de vos utilisateurs ainsi que toutes les opérations effectuées sur celles-ci soit protégées en permanence. RGPD : « Les Américains considèrent la donnée personnelle comme un simple bien commercialisable »
Tribune.
Depuis le 1er janvier 2020, le California Consumer Privacy Act (CCPA) régit le droit des données personnelles des Californiens. Initié à la faveur d’un référendum populaire, il répond aux besoins des citoyens américains de se prémunir de l’emprise des GAFA (Google, Apple, Facebook, Amazon). Pour autant, le texte ne leur permet pas de reprendre le contrôle de leurs vies privées. A l’instar du réglement général sur la protection des données (RGPD) européen, cette nouvelle loi octroie aux Californiens une série de droits sur leurs données personnelles.
Désormais, chaque résident de l’Etat le plus peuplé des Etats-Unis disposera notamment d’un droit d’accès, d’un droit à l’effacement, d’un droit d’opposition sur ses données collectées par les responsables de traitement. Alors que, pour l’Europe, les données personnelles relèvent des droits fondamentaux qui ne peuvent être cédés, les Américains considèrent la donnée personnelle comme un simple bien commercialisable. Sans titre. L’accountability est un principe issu de l’article 5 du RGPD, désignant selon la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
En synthèse, l’accountability implique, pour les organismes traitant des données personnelles : De déployer les mesures appropriées (techniques, organisationnelles, contractuelles, etc.) pour se conformer au RGPD ; D’être en mesure de démontrer sa conformité au RGPD à tout moment. Cette démonstration se base notamment sur la production d’une documentation exhaustive et détaillée, décrivant l’ensemble des procédures et des bonnes pratiques appliquées par l’organisme en matière de données personnelles. Définition et portée. Sans titre. L'article 5, point 1 du Règlement général sur la protection des données (RGPD) pose les principes du traitement des données à caractère personnel, notamment la licéité, la loyauté, la limitation des finalités, la minimisation et l'exactitude des données, la limitation de conservation dans le temps et enfin l'intégrité et la confidentialité de ce traitement.
L'article 5, point 2 dispose : "Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). " C'est donc de cette dernière obligation de principe que découle l'obligation pratique de tenir en permanence à jour une documentation renseignant sur la conformité des traitements de données personnelles au sein de l'entreprise ou de la collectivité publique.
C'est le Dossier de conformité. Voici donc des outils pour monter ou améliorer le dossier de conformité de toute entreprise. Sans titre. Avant l'entrée en vigueur du RGPD, la poursuite de la navigation sur un site quelconque valait acquiescement de l’internaute à l’installation de traceurs publicitaires (cookies).
Cette situation était la résultante d'une législation très permissive qui a laissé finalement donner aux régies l’opportunité de gonfler leurs activités commerciales. Fin juillet, la CNIL a publié au Journal officiel sa délibération sur les lignes directrices relatives entre autres à l'usage des cookies et autres traceurs. Des lignes directrices qui concernent donc le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés.
Nous pouvions y lire que « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : « 2° Des moyens dont il dispose pour s'y opposer. Sans titre. Une enquête menée par l’association norvégienne de défense des consommateurs Norwegian Consumer Council (Forbrukerrådet), à laquelle se sont associées dix autres organisations similaires, dont la Fédération romande des consommateurs (FRC), a documenté comment de nombreuses applications pour smartphones envoient des données hautement personnelles à des milliers de partenaires publicitaires.
Le document de 185 pages a montré comment des applications populaires telle Tinder abusent de la confiance des internautes ; elles accumulent des masses considérables de données, en plus des habitudes et du comportement des utilisateurs. Ces informations sont utilisées pour créer des profils complets sur les mobinautes qui peuvent être utilisés à des fins publicitaires ciblées mais également à d'autres fins. Intitulée «Out of Control» (Hors de contrôle), l’enquête démontre « comment les consommateurs sont exploités par l’industrie de la publicité en ligne », écrivent les auteurs de l’étude. Et vous ? Sans titre. Le Règlement Général sur la Protection des Données ("RGPD") peut se résumer en une phrase : les données personnelles sont utiles mais elles constituent une matière dangereuse.
C’est la raison pour laquelle elles doivent être mises sous contrôle, c’est-à-dire repérées, canalisées, confinées et sécurisées. Le RGPD, entré en vigueur en Mai 2018, a une réputation de sévérité et de complexité. Cette réputation n’est pas imméritée. Pourtant, une idée résume ce vaste édifice législatif : les données personnelles représentent un danger. Tel est le principe implicite qui sous-tend la quasi-totalité des dispositions obligatoires du RGPD. RGPD : Sur la licéité des traitements de données à caractère personnel. (JUR) Droit au déréférencement des données personnelles. Aux termes de l’article 9 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales, les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi, et les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du Code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits.
Prospection téléphonique : nécessité de mettre en place un process au cours de l’appel pour être conforme au RGPD. Par Sarah Lamyeiche, Avocat. La CNIL a infligé le 21 novembre 2019 une amende de 500.000 € à l’encontre d’une entreprise d’installation d’équipements d’isolation en raison du non-respect des règles édictées par le « RGPD » notamment au regard de ses méthodes de prospection téléphonique (CNIL, Délibération de la formation restreinte n°SAN-2019-010 du 21 novembre 2019 concernant la société Futura Internationale).
Cette lourde amende administrative assortie d’une astreinte ainsi que d’une sanction complémentaire de publication intervient compte tenu non seulement de la pluralité des manquements en cause mais aussi et surtout au regard de leur persistance et de leur gravité. Ainsi, la CNIL relève cinq manquements aux obligations prévues par le Règlement européen relatif à la protection des données constitués par les pratiques de la société d’isolation lors de ses démarchages téléphoniques et du suivi de la relation client. 1. La procédure à mettre en place lors d’un démarchage téléphonique. Consentement exigé par le RGPD : expression d’une volonté éclairée ou pis-aller ? Par Alia Oukacha, Etudiante.
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, la protection des internautes est assurée par l’exigence d’un consentement préalable à l’utilisation de leurs données personnelles. Pilier fondamental du RGPD, ce consentement doit être donné « par un acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant » (concernant 32, RGPD). Alia Oukacha, Etudiante en Master 2 Droit des affaires et Management-gestion (M2/MBA) de l’Université Paris II Panthéon-Assas. Depuis la mise en place du RGPD, deux problématiques se dégagent.
Un « oui » plein et entier ? Le consentement doit s’exprimer par un acte positif, mais quelle forme revêt-il ? Le RGPD a un impact bénéfique sur la confiance des consommateurs dans toute l'Europe et contribue à renforcer la sécurité des données depuis son introduction, selon une étude de Check Point. Je connais pas mal de monde chez CheckPoint et j'oserai affirmer qu'un rapport émanant de cette boîte sur un tel sujet a sûrement plus de crédibilité que si ça sortait de chez Gardner... @vxlan.is.top Très bien, mais le rapport n'émane pas de "Check Point Software Technologies Ltd". Il à était fait pour eux par on ne sait qui. Analyses d'impact du RGPD : la Cnil publie la liste des traitements non-concernés.
On l'espérait depuis le 25 mai… 2018, soit depuis la date d'entrée en application du RGPD dans tous les pays de l'Union européenne ; cette liste, et surtout celle précisant les traitements devant faire l'objet d'une analyse d'impact, "pouvait" en effet être publiée au plus tard à cette date. Réutilisation des informations publiques et respect des données personnelles.
Les jurisprudences Google My Business en matière de données personnelles. Nous avons évoqué en leur temps les trois ordonnances de référé prises par des TGI au sujet de fiches Google My Business de professions libérales, donc identifiées sous le nom patronymique du professionnel (nos actualités du 20 avril 2019, du 23 avril 2019 et du 10 septembre dernier). Dans les trois affaires, des professionnels de santé avaient demandé la suppression de la fiche portant leur nom et qu'ils n'avaient pas sollicitée auprès de Google, au motif qu'ils contenaient des avis négatifs mensongers, voire vengeurs.
Si le premier demandeur a obtenu gain de cause en application de la protection des donnée à caractère personnel (loi du 6 janvier 1978 modifiée et RGPD), les deux suivants se sont vus opposer un refus. RGPD et preuve de la contrefaçon en ligne : retour sur la jurisprudence "Mile High Distribution/Orange". Par Pascale Demoly, Avocat. La société canadienne Mile High Distribution, producteur d’œuvres audiovisuelles qu’elle commercialise sur divers supports, notamment par DVD et par mise à disposition pour le téléchargement payant a constaté la présence de ses œuvres offertes au téléchargement sans son autorisation sur des plateformes d’échange de fichiers en ligne.
Elle a mandaté la société Media Protector, société de droit allemand, afin de procéder à la captation sur internet d’un certain nombre de données de trafic en lien avec lesdits téléchargements tels que l’adresse IP utilisée lors du téléchargement, les date et heure du téléchargement, l’intitulé de l’œuvre téléchargée, le nom du fournisseur d’accès à internet auquel se rattache l’adresse IP identifiée. Elle considérait enfin qu’elle ne procédait à aucune opération informatique de profilage, de sorte qu’elle ne serait par conséquent pas tenue de respecter les dispositions du RGPD applicables en France depuis mai 2018.
Droit au déréfencement : deux arrêts de la CJUE à propos de Google. Le « droit à l'oubli » ne s'applique que dans l'UE, tranche la Cour de justice de l'Union européenne après plusieurs années de lutte opposant la CNIL à Google. En Europe, Google vient de gagner un procès qui l’oppose à la CNIL depuis plusieurs années. Aujourd’hui, la plus haute juridiction du continent a tranché en faveur de Google dans le cadre du bras de fer qui l’oppose à la CNIL depuis 2016 au sujet du « droit à l'oubli ». [Point de vue] LinkedIn, l’entreprenariat et les données personnelles : meilleurs alliés et pires ennemis. Par Pierre Loir, DPO. Nous sommes donc fort nombreux à ne pas vraiment réfléchir à la licéité d’une telle entreprise, moi compris, je m’inclus (du moins initialement) dans le lot.
Mais si l’on se penche un peu sur la nouvelle règlementation en matière de protection des données, le fameux RGPD, il est évident que c’est un nombre massif de données personnelles, d’opinions diverses et variées qui sont partagées sur cette plateforme qui héberge ses données, a priori, hors de l’Union Européenne. LinkedIn ne fait pas que mettre à disposition sa plateforme, elle exploite également les données des utilisateurs pour profiler et personnaliser les contenus, ainsi que pour adapter ses offres payantes. Windows 10 : nouvelles inquiétudes sur la collecte de données personnelles. « Est-ce que Microsoft collecte plus de données qu’il n’en a besoin ? » Voici la question que le gendarme néérlandais des données personnelles, l’Autoriteit Persoonsgegeven, a transmise à son équivalent irlandais, la Data Protection Commission, a-t-on appris mardi 27 août.
Avec « Privacy Sandbox », Google veut sauver son business publicitaire tout en préservant votre vie privée. Accueil Inscrivez-vous gratuitement à laNewsletter Actualités. Paradoxalement, le RGPD facilite le vol de données personnelles. Accueil Inscrivez-vous gratuitement à laNewsletter Actualités Le règlement européen donne à chaque personne un droit d’accès à ses données. Nouvelles lignes directrices de la Cnil pour les cookies. Quelles responsabilités sur WhatsApp et les réseaux sociaux Facebook, Twitter, LinkedIn ? Par Patrick Lingibé, Avocat. (JUR) Création d’un fichier des ressortissants étrangers se déclarant mineurs non accompagnés. Vous êtes très facile à retrouver grâce à un algorithme, même lorsque vos données ont été « anonymisées », selon un nouveau rapport.
Données personnelles : la loi du 6 janvier 1978 restructurée et son nouveau décret d'application en vigueur. Facebook pense que la confidentialité sur les réseaux sociaux n'existe pas et qu'il n'y aurait pas de vie privée en ligne. Le fichage secret de Monsanto au regard du RGPD. Pour la direction juridique d'Ubisoft, « Your privacy is not a game ! Transfert de données hors Union européenne : quels enjeux un an après l’entrée en application du RGPD ? Réforme de la protection des données. Règlement général sur la protection des données.
Données personnelles : Sécuriser les données, un enjeu de taille. Mentions légales et politiques de protection des données : la tentation du copier-coller. Par Franck Delamer, Conseil PI. Sécuriser les données en 5 leçons. Par Aleksandra Thélot, Juriste. Cnil : Comment gérer vos données ? Se former au RGPD : plusieurs manières de compléter vos connaissances ! Data Legal Drive, une plateforme de gouvernance RGPD au service des DPO en entreprise. La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019, l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD. Biométrie sur les lieux de travail, la CNIL trace son chemin. Par Olivier Soulaire, Avocat. Cnil : Lancement d'un MOOC sur le RGPD pour tous. Les Exigences de Sécurité du RGPD. Par Jean-Pierre Mistral, Director Global Data Privacy.
La photographie du territoire, entre donnée personnelle et donnée publique. Par Azéline Boucher, Doctorante. 50 millions d’Euros : le prix à payer par Google LLC pour non-conformité au RGPD. Par Claudia Weber, Avocat et Odile Jami-Caston, Juriste. La protection des données personnelles : quelle solution face aux GAFAM ? Par Désiré Allechi, Juriste. Fiche pratique : La fonction de DPO. Plus de 18 000 applis Android collectent des identifiants... sans en avoir le droit. RGPD : Salariés et cadres, comment faire valoir votre droit d’accès à vos données personnelles ? Maître Frédéric Chhum, Avocat et Marion Simone, Elève-avocate.
Enceintes connectées : quels risques sur la vie privée des utilisateurs ? Données personnelles : les bons conseils de la CNIL pour exercer vos droits. Droit au déréférencement : vers un droit à l’oubli limité à l’échelle de l’Union Européenne. Par Antoine Cheron, Avocat. La plupart des utilisateurs de Facebook ne savent pas que le réseau social enregistre une liste de leurs centres d'intérêt, selon une étude. RGPD, cookies et mentions légales - Les Infostratèges. Un consentement valide au sens du RGPD. Par Charlotte Galichet, Avocat. Propriété intellectuelle et numérique : une pratique révolutionnée par le RGPD. RGPD : la CNIL a déjà enregistré plus de 1 200 violations de données personnelles. Cnil : Liste prévue par le RGPD des traitements pour lesquels une analyse d'impact est requise - Les Infostratèges.
RGPD : la version 2.0 du logiciel PIA disponible sur le site de la Cnil - Les Infostratèges. RGPD : Recueil des principales lignes directrices du G29 et du CEPD - Les Infostratèges. Retours et perspectives de la Cnil, 6 mois après l'entrée en application du RGPD - Les Infostratèges. Données personnelles : publication de l'ordonnance de réécriture de la loi du 6 janvier 1978 - Les Infostratèges.
La rédaction d’une politique de cookies et le RGPD. Par Jean-Pierre Mistral, Director Global Data Privacy. La Cnil, les procédures de certification et les codes de conduite du RGPD - Les Infostratèges. RGPD : quels nouveaux défis pour les cabinets d’avocats ? RGPD : les cadres de références publiés par la Cnil - Les Infostratèges. RGPD et données RH : le consentement des salariés n'est pas nécessaire (ni pertinent) ! Par Camille-Antoine Donzel, Avocat.
Le nouveau Règlement européen sur les données non personnelles - Les Infostratèges.