Un bref rappel des formalités à accomplir afin de pouvoir effectuer la désignation en qualité de Correspondant Informatique et Liberté (CIL) de votre entreprise, qui peut être extérieur à l’entreprise

Il convient tout d’abord d’informer les instances représentatives du personnel par lettre recommandée avec accusé de réception avant toute notification à la CNIL.

Un courrier doit être adressé au représentant de votre personnel.

La CNIL doit ensuite être informée par courrier recommandé avec demande d’avis de réception, de la désignation du correspondant, à l’aide du formulaire que vous trouverez également joint à ce pli.

La désignation prendra effet un mois après la date de réception de la notification par la CNIL.

Toute modification substantielle affectant les informations mentionnées dans la désignation précédemment notifiée, devra être portée à la connaissance de la CNIL par LRAR, de même qu’un remplacement du correspondant.

Nombreux sont les exploitants de site internet ou de blog qui ont déclaré leurs traitements de données personnelles mais plus rare sont ceux qui se sont penchés sur la question des cookies. Pourtant, souvent utilisés, ils sont soumis à un cadre spécifique

En effet, la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés, prévoit « que toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ainsi, il peut s’agir d’ajouter la mention suivante :

« Pour le bon fonctionnement du site, des cookies sont installés sur le disque dur de l’ordinateur de l’Utilisateur. Ces cookies permettent de vous identifier à chacune de vos connections sur le site et de vous fournir des services personnalisés adaptés vos besoins ou de servir à ___ [l’éditeur du site] à des fins statistiques pour étudier l’usage du site par les internautes.
L’Utilisateur peut s’opposer à l’enregistrement de cookies ou être prévenu avant d’accepter les cookies, en configurant son ordinateur de la manière suivante :

a)Pour Microsoft Internet Explorer 6.0 et 7.0 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Confidentialité » (ou « Confidentiality »).
Sélectionner le niveau souhaité à l’aide du curseur ou cliquez sur le bouton « avancé » pour personnaliser votre gestion des cookies.
b)Pour Microsoft Internet Explorer 5 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Sécurité » (ou « Security »).
Sélectionner « Internet » puis « Personnaliser le niveau » (ou « CustomLevel »).
Repérez la rubrique « cookies » et choisir l’option qui convient.
c)Pour Mozilla Firefox 1.5.X et 2.0.X :
Choisir le menu « Outils », puis « Options… ».
Cliquer sur l’icône « Vie privée » puis sur l’onglet « Cookies » ou « Afficher les cookies… ».
Personnaliser les options qui conviennent.
Toutefois le refus de l’implantation de cookies sur l’ordinateur de l’Internaute est susceptible d’altérer les fonctionnalités du site voire de l’empêcher d’accéder à son espace personnalisé. »

J’animerai ce séminaire organisé par Avolys ce mardi.

Centre de formation
HOTEL IBIS ARQUEBUSE GARE
15A Avenue Albert Premier
LEGALITE DES PREUVES INFORMATIQUES

Mardi 15 Juin 2010
9h00 à 12h30 – 13h30 à 17h00

La CCI Nord de France organise le 17 juin 2010 une journée dédiée à l’intelligence économique.

Cette journée sera ponctuée de 3 ateliers et s’achèvera par une conférence puis d’un cocktail. Les thèmes abordés seront :

Atelier 1 : Mettre en place une cellule de veille en entreprise. Atelier pratique sur ordinateurs

Atelier 2 : Salon à l’international : menaces opportunités. Faire du salon un outil de veille tout en se prémunissant d’attaques éventuelles

Atelier 3 : Développer un pare-feu humain : Première faille de sécurité informatique : les comportements des collaborateurs…phénomène accentué par les réseaux sociaux, … En France les attaques concurrentielles sont négligées. Or ce sont souvent les PME et PMI qui sont la cible d’espionnage économique. A savoir que 80% des menaces sont internes et d’origine humaine.

J’animerai l’atelier 3. Cet atelier mettra en avant les mesures de sécurité minimum et l’intérêt d’encadrer le comportement humain par une charte de sécurité «informatique» respectant le cadre législatif et règlementaire. Quelle est la responsabilité du dirigeant ?

Cette journée se déroule le 17 juin et cet atelier se déroulera dans l’après midi de 15h30 à 17h00 environ.

Le Sarbanes Oxley Act, adopté le 2 juillet 2002 aux Etats Unis à la suite du scandale Enron, n’en finit pas de donner lieu à des débats jurisprudentiels au regard du droit français.

La dernière affaire en date concerne le « code de conduite des affaires » mis en place par la société DASSAULT Systèmes afin de rappeler les règles à respecter par les salariés dans l’exercice de leur activité professionnelle.

Ce code comprenait la mise en place d’un dispositif d’alerte professionnelle permettant aux salariés de signaler tout manquement via une adresse électronique dédiée.

La CNIL a, le 8 décembre 2005, adopté une autorisation unique de traitement automatisé de données à caractère personnel, mise en œuvre dans le cadre de dispositifs d’alerte professionnelle.

De tels dispositifs sont définis comme des systèmes mis à la disposition des employés d’un organisme public ou privé, pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

La CNIL considère que ces dispositifs de whistleblowing constituent des traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toutes dispositions législatives ou réglementaires.

Elle a donc pris le soin d’établir, dans sa délibération, des conditions d’autorisation de mise en œuvre de tels traitements, en conformité avec la loi Informatique et Libertés.

La finalité du dispositif mis en œuvre doit ainsi être limitée à l’établissement de procédure de contrôle interne dans les domaines financiers comptables, bancaires et de la lutte contre la corruption.

La CNIL recommande également d’entourer le traitement d’une alerte transmise par un salarié de précaution particulière telle qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif.

L’employeur doit s’abstenir d’inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif doit en tenir compte.

La société DASSAULT Systèmes a, préalablement à la mise en place de son dispositif d’alerte professionnelle, effectué une déclaration de conformité à l’autorisation unique n°4 élaborée par la CNIL.

Saisie par le Fédération des Travailleurs de la Métallurgie CGT, la Cour de Cassation a eu l’occasion de se prononcer sur la légalité du Code of Business Conduct, mis en place par la société DASSAULT Systèmes.

Dans son Arrêt n° 2524 de la Chambre Sociale du 8 décembre 2009, les Magistrats retiennent qu’aucune mesure d’information et de protection des personnes n’était prévue dans ce dispositif d’alerte professionnelle de manière conforme aux exigences de la Loi Informatique et Libertés et de la délibération de la CNIL portant autorisation unique.

La Cour de Cassation relève également, qu’à partir du moment où le dispositif d’alerte faisant l’objet de l’engagement de conformité à l’autorisation unique transmis par la société DASSAULT Systèmes, avait une finalité différente de celle prévue dans l’autorisation unique, celui-ci devait faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL.

En effet, tandis que la délibération du 8 décembre 2005 de la CNIL prévoit que le traitement mis en œuvre doit répondre à une obligation législative ou règlementaire visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptables, bancaires et de lutte contre la corruption pouvant être élargi à tout domaine lorsque l’intérêt vital de la société ou l’intégrité physique ou morale de ses employées est en jeu, la société DASSAULT Systèmes permettait plus généralement à ses employés de dénoncer les faits de délits d’initiés, de conflits d’intérêt, de harcèlement, de discrimination ou de divulgation d’informations confidentielles.

La Cour de Cassation a, en conséquence, invalidé le dispositif mis en place.

En conséquence, comme souvent en matière de droit des données personnelles, le débat porte sur la finalité réelle du procédé mis en place.

Lors d’un petit-déjeuner organisé chez Atheos (Rueil-Malmaison), seront évoqués avec plusieurs spécialistes la question de la mise en oeuvre d’un SIEM (Security Information and Event Management) et la gestion des logs, en partenariat avec Loglogic et Atheos. J’y participerai au sujet de l’archivage de ces données et notamment des logs.

Je participerai à ce débat organisé par le CLUSIF : une conférence relative à la Sécurité du Cloud Computing et de la virtualisation, mercredi 14 avril à 16h

Cet événement est organisé en partenariat avec Orange Business Services

pour s’inscrire

Sur le web CLUSIF ou par e-mail

Présentation de cette conférence

Le Cloud Computing est le secteur des services informatiques qui devrait connaitre la plus forte croissance dans les prochaines années (selon une enquête de l’IDC de 971 M€ en 2008 à 6 000 M€ en 2013).

Pour les entreprises et plus particulièrement les directions des systèmes d’information, cette nouvelle organisation leur permettra d’offrir l’informatique à volonté, instantanément disponible, sans engagement et à la demande. Cela devrait ainsi satisfaire aux attentes de leurs utilisateurs.

La sécurité des informations ainsi déployées et offertes devient alors la problématique à résoudre. Les risques identifiés portent aussi bien sur les conditions de protection physique du site d’hébergement, que sur celles des accès logiques et de la séparation entre les différentes données.

Le risque juridique acquiert dans ce type de configuration une acuité particulière : comment prouver la conformité aux exigences légales et/ou réglementaires sur le traitement des informations (plus particulièrement les données nominatives), comment identifier la chaine de responsabilités dans le cas d’un recours en responsabilité civile ou encore comment conserver preuves et indices dans une action au pénal ?

Conditions d’inscription

Conférence gratuite pour les adhérents CLUSIF (inscription obligatoire, voir le lien ci-dessous), payante pour les extérieurs. Nous vous rappelons aux adhérents du CLUSIF qu’ils peuvent se faire remplacer par un collègue ou collaborateur s’ils ne sont pas eux-même disponibles. Et, comme à chaque fois, un cocktail sera ensuite l’occasion de discussions informelles.

Programme de cet événement

Le programme est en cours de constitution, le nom de certains intervenants sera confirmé très prochainement.

La conférence sera articulée autour de 4 interventions :

• Maître Blandine Poidevin, avocate, abordera les aspects de droit des données personnelles, de propriété intellectuelle, de confidentialité et de régime de responsabilités.
• M. Stéphane Duproz, TelecityGroup, abordera les questions de sécurité physique des datacenters.
• (sous réserves) M. Pascal Sauliere, Microsoft, fera une présentation de la sécurité du Cloud Computing.
• Un retour d’expérience sur la mise en œuvre d’un projet de virtualisation dans une grande administration française.

Inscription

L’inscription est obligatoire pour tous :

• soit sur le web CLUSIF : http://www.clusif.asso.fr/fr/infos/event/#conf100414
• soit par email : secretariat@clusif.asso.fr

  Avez-vous bien noté l’horaire ? Début de la conférence à 16h. Accueil à partir de 15h40.

Nous profiterons de cette manifestation organisée par l’Ordre des avocats de Lille pour débattre de ces thèmes autour d’Alex Turk, président de la CNIL et sénateur du Nord.

« Droit de l’Internet : les nouvelles contraintes juridiques » Lire la suite de ce billet »

Les entreprises mettent toutes en place en ce moment des plans de continuité d’activité face à une épidémie grippale. Souvent, ces plans exigent la collecte de données personnelles relatives à la santé des salariés et de leur proche, dans la mesure où l’entreprise demande la cause de l’arrêt-maladie afin de prendre les précautions recommandées comme le télé-travail. Lire la suite de ce billet »