Protection des données à caractère personnel Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs]. La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels). La directive ne s'applique pas au traitement de données: effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques; mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État. Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés.
Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs Le 1er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE). Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. L’article 1 liste les données à conserver Conclusion Like this:
Loi pour la confiance dans l'économie numérique Un article de JurisPedia, le droit partagé. Le principe du pays d'origine Définition des communications sur Internet La LCEN a créé de nouvelles catégories légales, tranchant ainsi la question de la qualification des services sur Internet. La nature juridique des communications sur Internet étant précisée, le législateur s’est ensuite penché sur la responsabilité des acteurs de l’Internet. Définition des responsabilités des acteurs de l'Internet La LCEN a, d’une part, transposé fidèlement la directive européenne sur le commerce électronique en ce qui concerne la responsabilité des prestataires techniques et, d’autre part, déterminé le régime de responsabilité pour les contenus publiés sur Internet. La question de la responsabilité pour les contenus illicites avait fait l’objet de vifs débats car il fallait conjuguer deux impératifs. La LCEN établit un régime situé entre ces deux extrêmes. Conformément au droit de la presse, toute personne nommée ou désignée a un droit de réponse. Voir aussi
La LCEN a enfin son décret sur les données à conserver par les hébergeurs Sept ans après la promulgation de la loi du 21 juin 2004 sur la confiance pour la confiance dans l'économie numérique (LCEN), le décret relatif à la conservation des données "permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne" est enfin paru ce mardi au Journal Officiel. Il précise que devront être conservés pendant un an par les hébergeurs à compter de la création, de la modification ou de la suppression d'un contenu : L'identifiant de la connexion à l'origine de la communication ; L'identifiant attribué par le système d'information au contenu, objet de l'opération ; Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ; La nature de l'opération ; Les date et heure de l'opération ; L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ; Beaucoup plus sensible.
ISO 15408: première norme internationale en matière 01net. le 01/12/99 à 21h47 Le standard ISO 15408, qui vient d'être rendu public, permet de distinguer les exigences fonctionnelles et les contraintes d'assurance, dans le cadre d'une évaluation de la sécurité d'un système informatique. Une caractéristique dont étaient dénués ses standards cousins, les ITSec (Information technology security evaluation criterias). Des projets de sécurité plus cohérents " Il s'agit de s'assurer que, d'une part, les fonctions de sécurité sont pertinentes, efficaces et correctement mises en ?" Les profils de protection doivent être évalués par des centres agréés La réutilisation sous-entend cependant une contrainte : l'entreprise utilisatrice d'un PP existant ne peut qu'ajouter des exigences de sécurité au PP publié, et non pas en enlever. " L'objectif est de permettre une sécurisation des systèmes d'information, toujours plus performante ", ajoute Georges Faidherbe.
Que recommande la Cnil quant aux responsabilités liées au cloud computing ? La Cnil a publié ses recommandations sur l’encadrement juridique du cloud computing. Voici une synthèse basée sur deux axes : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients. Les services de Cloud computing sont en fort développement, tirés par des aspects économiques et de flexibilité de service, possibles grâce à la mutualisation des ressources entre les clients. Le recours au Cloud computing pose cependant plusieurs questions et problèmes liés notamment à la localisation des données, à leur sécurité, à leur accessibilité, au droit applicable, à la réversibilité. (1) La CNIL avait publié une consultation publique fin 2011, demandant aux entreprises qui le souhaitaient de fournir leurs réflexions, dans le cadre des questions posées, avec pour finalité la publication d’un rapport pour améliorer l’encadrement juridique du Cloud computing. Ce faisceau d’indices comprend les quatre critères suivants :
La boite à outils du veilleur 2.0 Dossiers identité numérique et Internet responsable (Académie de Lyon) La question de l’identité numérique et de l’Internet responsable concerne les internautes et les mobinautes. L’Académie de Lyon a mis en ligne en décembre 2012, une séquence pédagogique complète sur l’identité numérique réalisée en 2011-2012 par Valentine Faval-Kapoian, Edwige Jamin et Pascal Mériaux, professeurs au collège de la Dombes (Saint-André-de-Corcy) ainsi qu’un dossier de ressources numériques en ligne sur la question de l’Internet responsable. Ces travaux scolaires coordonnés par des enseignants se basent sur des documents de référence et ont été élaboré dans un but de sensibilisation et d’éducation au numérique en prenant en compte les pratiques numériques des jeunes. Dossier identité numérique Ressources en ligne sur l’Internet responsable Le dossier Ressources numériques en ligne pour l’Internet responsable a sélectionné sur cette thématique des portails généralistes, des dossiers thématiques et des serious games pour sensibiliser les élèves. Licence :
5 étapes pour faire le point sur sa présence en ligne C’est un sujet que nous abordons régulièrement sur ce blog. Comment travailler son identité numérique ? Autrement dit, comment maitriser ce qui se dit sur nous en ligne et donc l’impression que les personnes pourront se faire sur nous ? Il est bien sûr impossible de le faire entièrement. Pour commencer, parce que les données qui la composent sont multiples. Une identité n’est pas un tout uniforme, elle se compose de fragments venus d’univers différents (pro, passions, activités, musique, …). Vérifier ce qui se dit sur vous C’est forcément par là qu’il faut commencer : quels sont les éléments vous concernant qui sont déjà en ligne ? Mais ce n’est pas tout ! Faire du ménage Vous voilà désormais avec un certain nombre de résultats. Créer des comptes à son image Une fois le ménage fait, il vous reste à vous demander si ce qu’il reste vous correspond bien. Si ce qu’il reste n’est pas suffisant, vous pourrez toujours créer de nouveaux espaces. Adapter ses actions Mettre en place des alertes
La jurisprudence et l’obligation de sécurité des données personnelles L’essentiel : la jurisprudence n’hésite pas à exiger du responsable du traitement une obligation de résultat. Contrairement à une opinion répandue, celle-ci est parfaitement normale et est la conséquence d’une interprétation traditionnelle de la loi en matière pénale. 1. - Si la jurisprudence reste assez rare, son étude révèle que les juges font preuve de sévérité. En témoigne la décision du TGI de Versailles, du 4 mars 2002, qui va pratiquement jusqu’à imposer une obligation de résultat au responsable du traitement. Dans cette espèce, le tribunal condamnait en effet le directeur des ressources humaines d’une grande entreprise pour avoir constitué un fichier de gestion du personnel dont une partie avait été transmise à la presse. Le raisonnement de la Cour est intéressant : il « appartenait à X qui dirigeait la constitution du fichier d’assurer la totale confidentialité des opérations. 2. - En réalité, cette jurisprudence est une application normale de la loi.
La protection des données personnelles : une obligation impérative [Billet] Protection de la vie privée Publié le 03/10/2012 • Par Delphine Gerbeau • dans : Billets juridiques, France img_arobase_une_juridique - © Getty La mésaventure de la ville de Montreuil (Seine-Saint-Denis) qui vient de se faire rappeler à l’ordre par la CNIL pour avoir diffusé sur un site internet des données électorales nominatives vient rappeler que, si le traitement informatique et la mise à disposition des données est facilité par les nouvelles technologies, et le web, les autorités publiques n’en sont pas moins dépositaires de données sensibles qu’il convient de gérer avec prudence. La commune de Montreuil vient donc de se faire rappeler à l’ordre par la Commission nationale informatique et libertés, pour avoir diffusé sur Internet les tableaux rectificatifs qui servent à informer la population des nouveaux électeurs de la commune ainsi que des personnes radiées des listes électorales. Haut de page
Données personnelles : jurisprudence récente Ccass, Crim., 14 mars 2006 Fabrice X, professionnel de l’informatique, « aspirait » sur internet (sites web, annuaires, forums de discussion), au moyen de logiciels, des adresses électroniques de personnes physiques en vue de la diffusion de messages publicitaires aux titulaires de ces adresses. Ceci constitue une collecte de données nominatives au sens de l’article 226-18 du Code Pénal. Le fait qu’il s’agisse d’informations diffusées sur des sites publics est inopérant. L’utilisation qui en a été faite est sans rapport avec l’objet de leur mise en ligne. Le fait d’identifier et d’utiliser des adresses électroniques, même sans les enregistrer, constitue une collecte de données nominatives. Le consentement de ces personnes n’a à aucun moment été recueilli. Il s’agit par conséquent d’une collecte déloyale faisant obstacle au droit d’opposition des personnes concernées. Fabrice X a été condamné au versement de 3000 euros d’amende. Cass.Crim., 28 septembre 2004 TGI Paris, 4 avril 2006
La clé USB personnelle du salarié peut servir à son licenciement. Par Carole Vercheyre-Grard, Avocat. C’est la leçon qu’il faut retenir de l’arrêt rendu par la Cour de cassation le 12 février 2013 (Cour de cassation, Chambre sociale, 12 février 2013, 11-28.649, Publié au bulletin ). Dans cette affaire, une salariée engagée le 26 juillet 2006 en qualité d’assistante administrative par la société PBS, a été licenciée pour faute grave par lettre du 20 février 2009 pour avoir enregistré sur une clé USB des informations confidentielles concernant l’entreprise et des documents personnels de collègues et du dirigeant de l’entreprise. La Cour d’appel avait déclaré le licenciement sans cause réelle et sérieuse, en retenant que l’employeur ne pouvait se prévaloir d’un moyen de preuve illicite, la salariée n’étant pas présente lorsque sa clef USB personnelle a été consultée par son employeur et n’ayant donc pas été informée de son droit d’en refuser le contrôle ou d’exiger la présence d’un témoin. Il s’agit d’un présomption simple.