CNIL
Get flash to fully experience Pearltrees
L es moyens de surveillance et de protection des systèmes d’information sont des manifestations de lucidité. Pas une semaine, en effet, ne se passe sans qu’une faille majeure de sécurité ne vienne s’ajouter au cirque incessant des désastres informatiques. Déjà conscient de la nécessité d’imposer une protection minimale, le législateur a imposé une obligation de sécurité (très détaillée dans la formation cil ) au responsable du traitement de données personnelles. La loi informatique et libertés lui oblige, en effet, de mettre en place toutes les précautions utiles afin de protéger son traitement. En vertu de cette obligation, et pour assurer la préservation de leurs biens informatiques, les organisations mettent souvent en oeuvre des systèmes de détection et de prévention contre les intrusions (IDS, IPS, DLP, WAF, etc.).
IDS, IPS, DLP : il faut l’autorisation de la CNIL !
La notification des violations de données à caractère personnel
28 mai 2012 Le nouvel article 34 bis de la loi de 1978 transpose l'obligation de notification des violations de données à caractère personnel prévue par la directive 2002/58/CE modifiée dite "Paquet Télécom". Cette obligation a été insérée dans la loi informatique et libertés bien qu'elle ne concerne pas toutes les entreprises, mais seulement les fournisseurs de services de communications électroniques. Des mesures d'application ont été précisées par le décret n°2012-436 du 30 mars 2012. Qu'est-ce qu'une "violation de données à caractère personnel " ?
Outre la nécessité de déclarer un tel traitement, la loi impose désormais, dans certains cas, aux responsables de sites d’informer les internautes et de recueillir leurs consentements avant l’insertion de cookies. Une publication de la CNIL en date du 26 avril 2012 apporte quelques précisions sur ce nouveau régime et doit permettre de guider la mise en conformité de vos activités sur Internet, si celle-ci n’a pas déjà été effectuée. 1. Quels « cookies » sont concernés ? Les cookies sont les « informations stockées dans l’équipement terminal », qui sont déposées par un site Internet sur le terminal d’un utilisateur, notamment afin d’étiqueter et donc de « pister » un internaute pour constituer un profil.
La recette de mise en conformité des sites Internet à la nouvelle réglementation sur les cookies. Par Aurélie Dantzikian Frachon, Avocate.
Fichage
La politique européenne en matière de protection des données à caractère personnel vise à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne. Pour cette raison, ont été fixées des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demandée la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données. Des objectifs pour atteindre une meilleure protection de la vie privée grâce à l'emploi des technologies de l'information et de la communication, ainsi que des actions précises pour réaliser ces objectifs, ont été définis.
Protection des données à caractère personnel
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [ Voir actes modificatifs ]. La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels). La directive ne s'applique pas au traitement de données: effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques; mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État.
Protection des données à caractère personnel
Le CIL à l’heure du projet de règlement européen
05 avril 2012 Le projet de règlement européen diffusé par la Commission européenne le 25 janvier 2012 fait du correspondant informatique et libertés un acteur central de la conformité des organismes. La CNIL dresse un premier portrait synthétique de ce que pourraient être le statut et les missions des futurs délégués à la protection des données (DPD). Même si tout peut encore changer, de grandes tendances apparaissent. Le tableau ci-dessous reprend de manière synthétique les éléments du projet de règlement européen concernant le statut et les missions des délégués à la protection des données.
Présentation : Pour la première fois, le 12 juillet 2011, la formation contentieuse de la CNIL a sanctionner un site internet pour pratiques attentatoires au respect de la vie privée des personnes et au droit à l'oubli numérique pour avoir diffuser des décisions de justice non anonymisées. J'envisagerai ci-après les points suivants : - la décision du 12 juillet 2011 de la formation contentieuse de la CNIL (1) ; - le conflit entre le principe de publicité des décisions de justice et le droit au respect de la vie privée des personnes (2) ; - la Consécration d’un droit à l'oubli sur internet (3). 1) La décision du 12 juillet 2011 de la formation contentieuse de la CNIL
Consécration des droits à l'oubli et à l’anonymisation des décisions de justice sur internet
Depuis un certain nombre d’années, le juge judiciaire s’est saisi de la question Informatique et Libertés. La Cour de cassation a eu ainsi l’occasion de se prononcer à plusieurs reprises sur l’impact de la non-conformité à la loi Informatique et Libertés (ci-après « la loi ») au litige qui leur était soumis. Ces litiges viennent en grande partie de la confusion entretenue autour de la « donnée à caractère personnel ». Selon l’article 2§2 de la loi, il s’agit de toute information relative à une personne identifiée ou identifiable, directement ou pas.
Causes et conséquences de la non-conformité à la loi Informatique et Libertés. Par Matthieu Wiedenhoff, Correspondant Informatique et Libertés
Publicité ciblée: Google annonce une révision profonde de sa politique de confidentialité - Le Huffington Post
Jusqu'ici, si vous aviez envoyé un courriel parlant de football, vous pouviez vous retrouver avec une publicité de football à côté de votre messagerie Gmail. Désormais, si vous avez regardé une video Youtube vous montrant la recette du gâteau aux carottes, et que vous ne vous êtes pas déconnecté de votre messagerie, vous risquez de voir des publicités culinaires un peu partout sur la Toile. Pour faire face à la concurrence accrue d'Apple et de Facebook dans le domaine de la publicité ciblée, Google vient en effet d'annoncer une révision profonde de sa politique de confidentialité. Les Internautes ne pourront pas désactiver cette fonctionnalité, selon le quotidien américain Washington Post, qui relaie l'information. Ces changements entreront en vigueur au 1er mars, a précisé le groupe californien sur un de ses blogs (traduction ici ).
Vie privée: «Les données personnelles sont le pétrole du XXIe siècle» - News High-Tech: Web
Vie privée Les défenseurs de libertés individuelles et l'Union européenne (UE) veulent réguler l'exploitation de ce que nous mettons en ligne, sans toujours être conscients de la destination finale. L'UE souhaite harmoniser la protection des données sur Internet. Image: Keystone Nos données personnelles sont une mine d'or pour les entreprises de l'internet. C'est ce que déclare, en substance, Stefan Gross-Selbeck, le patron de Xing, l'un des plus grands réseaux sociaux professionnels, lors de la conférence DLD réunissant le gratin de l'internet mondial à Munich (sud de l'Allemagne).Cassation : la loi Informatique et libertés inapplicable à la saisie de l’Autorité de la concurrence
Vie privée sur la Toile : un hébergeur de blogs condamné à supprimer des données personnelles
Salutaire loi du 6 janvier 1978 ! Grâce à son article 38 selon lequel "toute personne a le droit de s'opposer, pour des motifs légitimes, à ce que les données à caractère personnel la concernant fassent l'objet d'un traitement", Jean-Marc a convaincu la cour d'appel de Montpellier de faire supprimer ses nom et prénom du site d'hébergement Overblog.com (décision du 15 décembre 2011). Cet internaute, débouté par les juges de première instance , se plaignait d'avoir été démasqué et calomnié sur les commentaires postés sous le blog Unpetitcoucou.over-blog.com, où il intervenait sous un pseudo. Il a donc fait constater par huissier qu'en tapant son nom sur Google , les requérants atterrissaient sur ce blog et faisaient immédiatement le lien avec l'intéressé. Pis, le nom de Jean-Marc était associé à des éléments de sa vie privée, notamment sa ville et son adresse e-mail, tout en laissant entendre qu'il faisait partie d'un réseau de pédophilie.Le nouvel accord UE/États-Unis sur les dossiers passagers (PNR) améliore la protection des données en combattant la criminalité et le terrorisme
Commission européenne – Communiqué de presse Le nouvel accord UE/États-Unis sur les dossiers passagers (PNR) améliore la protection des données en combattant la criminalité et le terrorisme Bruxelles, le 17 novembre 2011 – L'Union européenne et les États-Unis ont paraphé aujourd'hui un nouvel accord relatif au transfert des données des passagers aériens des vols originaires de l'UE à destination des États‑Unis. En cas d'adoption par le Parlement européen et par les États membres de l'Union au Conseil des ministres, le nouvel accord sur les dossiers passagers (données PNR) remplacera l'accord de 2007 actuellement en vigueur et permettra d'améliorer la protection des données tout en combattant efficacement le terrorisme et les formes graves de criminalité transnationale.C’est ainsi que la CNIL a, dans le cadre d’un communiqué du 15 octobre 2010, posait la problématique du service Facebook Places. La CNIL a, par exemple, jugé la notification des tags de photos qui envoie une notification à l’utilisateur lorsqu’un ami le « tag » dans un lieu, insuffisant, dans la mesure où l’autorisation des personnes devrait être systématiquement demandée avant qu’elles ne soient taguées. De même, la CNIL rappelle à cette occasion qu’en application de la loi Informatique et Libertés, l’utilisateur doit avoir été informé de la mise en place d’un système de publicité ciblée et y avoir expressément consenti [ 1 ]. A cette occasion, la CNIL rappelle que les applications de géolocalisation sur mobile, entraînent le risque de partager trop d’informations sur soi et prend l’exemple du site anglais pleaserobme.com, qui recense les maisons vides à partir de tweet de types « parti de chez moi, suit au Starbuck », localisé via le service « foursquare » [ 2 ].
Le cadre juridique de la géolocalisation. Par Blandine Poidevin
Lancement des premiers labels CNIL : procédures d'audit de traitements et formations
03 novembre 2011 Les deux premiers référentiels d’évaluation permettant à la CNIL de labelliser des procédures d’audit de traitements de données et des formations "Informatique et libertés" ont été publiés au journal officiel du 3 novembre 2011. La première campagne de labellisation est ainsi officiellement ouverte. Des demandes peuvent dès à présent être adressées à la CNIL.A N N E X E RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES D'AUDIT DE CONFORMITÉ DE TRAITEMENTS Introduction Un audit « Informatique et libertés » est un audit dont les critères permettent de juger de la conformité de traitements de données à caractère personnel à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 . Le champ d'un tel audit concerne les traitements de données à caractère personnel mis en œuvre dans un périmètre délimité, non seulement en termes de lieux, d'unités organisationnelles, d'activités, de processus ou de période de temps couverte, mais aussi en termes de types de traitements ou de traitements particuliers. La procédure d'audit décrit le déroulement, la gestion et le contenu des audits, tel qu'ils sont mis en œuvre par le requérant.