IDS, IPS, DLP : il faut l’autorisation de la CNIL ! Les moyens de surveillance et de protection des systèmes d’information sont des manifestations de lucidité. Pas une semaine, en effet, ne se passe sans qu’une faille majeure de sécurité ne vienne s’ajouter au cirque incessant des désastres informatiques. Déjà conscient de la nécessité d’imposer une protection minimale, le législateur a imposé une obligation de sécurité (très détaillée dans la formation cil) au responsable du traitement de données personnelles.
La loi informatique et libertés lui oblige, en effet, de mettre en place toutes les précautions utiles afin de protéger son traitement. En vertu de cette obligation, et pour assurer la préservation de leurs biens informatiques, les organisations mettent souvent en oeuvre des systèmes de détection et de prévention contre les intrusions (IDS, IPS, DLP, WAF, etc.). La majorité de ces systèmes sont exploités dans l’illégalité aujourd’hui I – IDS, IPS, DLP… traitent des données relatives à des infractions pénales Alors, qu’observe-t-on ? La notification des violations de données à caractère personnel.
La recette de mise en conformité des sites Internet à la nouvelle réglementation sur les cookies. Par Aurélie Dantzikian Frachon, Avocate. Outre la nécessité de déclarer un tel traitement, la loi impose désormais, dans certains cas, aux responsables de sites d’informer les internautes et de recueillir leurs consentements avant l’insertion de cookies. Une publication de la CNIL en date du 26 avril 2012 apporte quelques précisions sur ce nouveau régime et doit permettre de guider la mise en conformité de vos activités sur Internet, si celle-ci n’a pas déjà été effectuée. 1. Quels « cookies » sont concernés ? Les cookies sont les « informations stockées dans l’équipement terminal », qui sont déposées par un site Internet sur le terminal d’un utilisateur, notamment afin d’étiqueter et donc de « pister » un internaute pour constituer un profil.
Ce terme est à prendre au sens large et inclut les cookies « flash » (aussi appelés « Local Shared Object ») ou encore le stockage local web (aussi appelé « Stockage DOM »). Les cookies soumis à la nouvelle réglementation ne contiennent pas forcément de données à caractère personnel. 2. 3.
Arianeinternet.conseil-etat.fr/arianeinternet/getdoc.asp?id=194347&fonds=DCE&item=1. Protection des données à caractère personnel. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs]. La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).
La directive ne s'applique pas au traitement de données: effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques; mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État. Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés. Le CIL à l’heure du projet de règlement européen. Consécration des droits à l'oubli et à l’anonymisation des décisions de justice sur internet.
J'envisagerai ci-après les points suivants : - la décision du 12 juillet 2011 de la formation contentieuse de la CNIL (1) ;- le conflit entre le principe de publicité des décisions de justice et le droit au respect de la vie privée des personnes (2) ;- la Consécration d’un droit à l'oubli sur internet (3). 1) La décision du 12 juillet 2011 de la formation contentieuse de la CNIL En l’espèce, l'association LEXEEK a pour objet de : « En un mot, tout mettre en œuvre pour permettre l'accès public et gratuit aux ressources juridiques ».
Cette association publiait des décisions de justice non anonymisées sur son site Internet. Ainsi, des particuliers ont découvert que des décisions de justice les désignant nommément étaient publiées sur le site Internet de LEXEEK. Mais le libre accès aux décisions de justice nominatives sur Internet peut être source de préjudices personnel, moral, psychologique, professionnel, matériel, etc … C’est dans ce contexte que la CNIL a été saisie de diverses plaintes. Causes et conséquences de la non-conformité à la loi Informatique et Libertés. Par Matthieu Wiedenhoff, Correspondant Informatique et Libertés. Depuis un certain nombre d’années, le juge judiciaire s’est saisi de la question Informatique et Libertés. La Cour de cassation a eu ainsi l’occasion de se prononcer à plusieurs reprises sur l’impact de la non-conformité à la loi Informatique et Libertés (ci-après « la loi ») au litige qui leur était soumis.
Ces litiges viennent en grande partie de la confusion entretenue autour de la « donnée à caractère personnel ». Selon l’article 2§2 de la loi, il s’agit de toute information relative à une personne identifiée ou identifiable, directement ou pas. Le champ couvert est donc extrêmement large, allant de l’adresse IP à une photo, en passant par les préférences alimentaires ou un relevé bancaire. Dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et protégée à ce titre par la loi. I. II. III. Détail d'un texte. Publicité ciblée: Google annonce une révision profonde de sa politique de confidentialité - Le Huffington Post. Jusqu'ici, si vous aviez envoyé un courriel parlant de football, vous pouviez vous retrouver avec une publicité de football à côté de votre messagerie Gmail. Désormais, si vous avez regardé une video Youtube vous montrant la recette du gâteau aux carottes, et que vous ne vous êtes pas déconnecté de votre messagerie, vous risquez de voir des publicités culinaires un peu partout sur la Toile.
Pour faire face à la concurrence accrue d'Apple et de Facebook dans le domaine de la publicité ciblée, Google vient en effet d'annoncer une révision profonde de sa politique de confidentialité. Les Internautes ne pourront pas désactiver cette fonctionnalité, selon le quotidien américain Washington Post, qui relaie l'information. Ces changements entreront en vigueur au 1er mars, a précisé le groupe californien sur un de ses blogs (traduction ici). Vie privée: «Les données personnelles sont le pétrole du XXIe siècle» - News High-Tech: Web. Vie privée Les défenseurs de libertés individuelles et l'Union européenne (UE) veulent réguler l'exploitation de ce que nous mettons en ligne, sans toujours être conscients de la destination finale. L'UE souhaite harmoniser la protection des données sur Internet.Image: Keystone Nos données personnelles sont une mine d'or pour les entreprises de l'internet.
C'est ce que déclare, en substance, Stefan Gross-Selbeck, le patron de Xing, l'un des plus grands réseaux sociaux professionnels, lors de la conférence DLD réunissant le gratin de l'internet mondial à Munich (sud de l'Allemagne). «Les autorités ne l'ont pas compris. Pour elles, les données sont un motif d'inquiétude, et ont besoin d'être protégées», regrette-t-il. Les milliers de traces numériques que nous laissons en permanence sont «partout exploitées, c'est même ce qui dirige l'innovation dans la Silicon Valley, ce qui créé de la valeur», explique Andrew Keen, auteur et fin connaisseur des nouvelles technologies.
Un fichier non soumis à la loi Informatique et libertés. Cassation : la loi Informatique et libertés inapplicable à la saisie de l’Autorité de la concurrence. L’hébergeur doit accepter les demandes de suppression de données personnelles. Vie privée sur la Toile : un hébergeur de blogs condamné à supprimer des données personnelles. Salutaire loi du 6 janvier 1978 ! Grâce à son article 38 selon lequel "toute personne a le droit de s'opposer, pour des motifs légitimes, à ce que les données à caractère personnel la concernant fassent l'objet d'un traitement", Jean-Marc a convaincu la cour d'appel de Montpellier de faire supprimer ses nom et prénom du site d'hébergement Overblog.com (décision du 15 décembre 2011). Cet internaute, débouté par les juges de première instance, se plaignait d'avoir été démasqué et calomnié sur les commentaires postés sous le blog Unpetitcoucou.over-blog.com, où il intervenait sous un pseudo.
Il a donc fait constater par huissier qu'en tapant son nom sur Google, les requérants atterrissaient sur ce blog et faisaient immédiatement le lien avec l'intéressé. Pis, le nom de Jean-Marc était associé à des éléments de sa vie privée, notamment sa ville et son adresse e-mail, tout en laissant entendre qu'il faisait partie d'un réseau de pédophilie. Détail d'un texte. Données personnelles : la CJUE s’oppose à de nouvelles contraintes. Le nouvel accord UE/États-Unis sur les dossiers passagers (PNR) améliore la protection des données en combattant la criminalité et le terrorisme. Commission européenne – Communiqué de presse Le nouvel accord UE/États-Unis sur les dossiers passagers (PNR) améliore la protection des données en combattant la criminalité et le terrorisme Bruxelles, le 17 novembre 2011 – L'Union européenne et les États-Unis ont paraphé aujourd'hui un nouvel accord relatif au transfert des données des passagers aériens des vols originaires de l'UE à destination des États‑Unis.
En cas d'adoption par le Parlement européen et par les États membres de l'Union au Conseil des ministres, le nouvel accord sur les dossiers passagers (données PNR) remplacera l'accord de 2007 actuellement en vigueur et permettra d'améliorer la protection des données tout en combattant efficacement le terrorisme et les formes graves de criminalité transnationale.
L'accord est un texte juridiquement contraignant qui instaure des règles plus strictes en matière de coopération policière et répressive. Contexte Pour de plus amples informations. Le cadre juridique de la géolocalisation. Par Blandine Poidevin. Toute collecte d’informations personnelles doit respecter les principes fondamentaux du droit à la vie privée et, notamment, de la loi relative à l’Informatique, aux Fichiers et aux Libertés (loi n°78-17 du 6 janvier 1978 modifiée par la loi 2004-801 du 6 août 2004). À ce titre, un traitement doit notamment porter sur des données collectées de manière loyale et licite. Les données doivent être collectées pour des finalités déterminées. Les données collectées doivent être adéquates, pertinentes et non excessives au regard de la finalité mise en œuvre. Ces données doivent également être exactes, complètes, voire mises à jour et conservées pendant une durée proportionnelle à la finalité consacrée. À ce titre, les applications de géolocalisation sur mobile entrent dans le cadre de cette législation.
C’est ainsi que la CNIL a, dans le cadre d’un communiqué du 15 octobre 2010, posait la problématique du service Facebook Places. Il recommande que le consentement soit renouvelé chaque année. Lancement des premiers labels CNIL : procédures d'audit de traitements et formations. Détail d'un texte. Reader (133) République des fiches et mécanisation des rapports sociaux. Le recours aux fichiers [cf volet n°1], dans le domaine de l’aide sociale en particulier, est particulièrement sournois et destructeur à bien des égards. Dans l’aide sociale, la notion de fichier est à double détente. Un « dossier social » n’est qu’un « dossier administratif » au sein d’une administration. Quand il est informatisé, c’est un dossier « sensible » au sens de la loi Informatique et Libertés (« appréciation sur les difficultés sociales des personnes », art. 25).
Il y a donc le « fichier social » au sens « qui contient des informations sociales » (comme le fichier CAF); et le « fichier social » qui est tenu et abondé par des professionnels du social (celui d’une assistante sociale de quartier par exemple). Car la tendance est à la centralisation, au nom d’une certaine « efficience » des deniers publics. Cette philosophie transparaît dans la gestion des quelque 4 millions d’allocataires du Revenu de solidarité active. Mais arrêtons-nous un instant sur le SIAO.
ÉPILOGUE. La République des fiches. «Pour réduire la fraude, le premier impératif me paraît être la sensibilisation des acteurs des prestations sociales (…). Cette culture du contrôle, de la sanction, du ciblage, que l’on connaît dans l’administration fiscale, doit se répandre chez les prestataires sociaux. Cette révolution culturelle me semble bien partie. Dès le moment où les acteurs des prestations sociales – qui sont les seuls à maîtriser l’information – arriveront à détecter précocement les fraudes, nous pourrons avoir une action beaucoup plus pertinente, y compris sur le plan judiciaire.»
Non, raté. Celui qui parle ainsi n’est pas Xavier Bertrand, ni même l’un des soldats du groupe Droite populaire comme Thierry Mariani, en verve cet été en pour relancer l’idée de la traque aux « fraudeurs sociaux ». Non, celui qui prône cette « révolution culturelle » est un haut gradé du ministère de l’Intérieur. Cette manie a même été testée sur les enfants. Dernier exemple: le RNCPS. . [...] Revue Z / design: Bureau d'études. Détail d'un texte. Article 29 Opinion du 15 juillet 2011. Autorise l'interconnexion du cadastre et du fichier des inscriptions scolaires pour établir la carte scolaire. La Commission nationale de l'informatique et des libertés, Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-I-8° ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 modifiée en 2007; Formule les observations suivantes : Le Président, Alex TÜRK.
Refuse à Bwin la possibilité de demander le relevé de cpte bancaire du joueur. La Commission nationale de l'informatique et des libertés, Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ; Vu la loi n°2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne, notamment ses articles 17, 18 et 22 ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ; Sur le rapport de M.