• Français -fr 

vie privée

Ce mardi 18 septembre, Maître Blandine POIDEVIN animera un atelier sur le RGPD pour Cré’Innov, incubateur d’entreprises innovantes.

Le RGPD est entré en vigueur le 25 mai dernier. Le principe d’« accountability » guidant les nouvelles règles de protection des données personnelles exige la constitution et l’actualisation régulière de la documentation nécessaire à la preuve de la conformité des pratiques mises en œuvre. Cet atelier sera l’occasion de présenter les meilleures pratiques relevées.

Visitez la page de Cré’Innov.

Intervention de Maître Viviane GELLES à la conférence sur « L’édition numérique et le droit à l’image ».

Ce mardi 11 septembre 2018, Maître Viviane GELLES aura le plaisir d’animer une conférence sur « L’édition numérique et le droit à l’image » au sein de l’Université d’Artois.

L’Office Public de l’Habitat de Rennes Métropole ARCHIPEL HABITAT condamné à 30.000 € pour manquement à l’obligation de traiter des données de manière compatible avec les finalités pour lesquelles elles ont été collectées.

L’Office Public de l’Habitat de Rennes Métropole ARCHIPEL HABITAT (ci-après l’OPH) condamné à 30.000 € pour manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées.

Le 24 juillet 2018, la Cnil a prononcé une sanction de 30.000 euros à l’encontre de l’OPH de Rennes pour avoir adressé un courrier à l’ensemble des locataires du parc social pour critiquer la décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL).

La Cnil a considéré que les données des locataires avaient été abusivement utilisées à des fins politiques alors qu’elles avaient été collectées dans le cadre de son activité de bailleurs social.

L’OPH a notamment justifié que ce courrier était une information qui relevait de ses obligations contractuelles en qualité de bailleur.

La Cnil a considéré que la finalité poursuivie excédait ses missions légales, compte tenu notamment des termes utilisés par l’OPH.

En outre, l’autorité a considéré que « si, au titre de ses obligations en qualité de bailleur, l’OPH a la possibilité d’adresser un courrier aux locataires, y compris pour les informer sur les conséquences, avérées ou non, de la réforme du montant des APL, il ne pouvait en revanche légitimement pas utiliser les données à caractère personnel de l’ensemble des locataires du parc immobilier social, dès lors que le courrier adressé dépassait la simple finalité d’information ».

Pour accéder à la décision : https://bit.ly/2MnG1eR

DAILYMOTION condamnée à 50.000 € pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données (article 34 de la Loi Informatique et Libertés).

Le 24 juillet 2018, la CNIL a prononcé une sanction de 50.000 euros à l’encontre de la société DAILYMOTION pour avoir insuffisamment sécurisé les données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo.

« Si la formation restreinte admet que la réussite de l’attaque résulte bien de la conjonction de plusieurs facteurs dont certains ne sont pas imputables à la société, elle considère toutefois que cette attaque n’aurait pas pu aboutir si au moins l’une des deux mesures détaillées ci-dessus avait été prise par la société ».

En conséquence, tout en soulignant que l’attaque subie par la société était sophistiquée, la formation restreinte a néanmoins relevé que cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient étés mises en place. Dans sa décision, la formation restreinte a tenu compte du fait que seuls des adresses électroniques et des mots de passe chiffrés ont été extraits.

Pour accéder à la décision : https://bit.ly/2MHQv5M

Le « upskirting » dans Libération

Retrouvez mon interview dans le quotidien Libération, au sujet de la loi contre les violences sexuelles et sexistes adoptée le 31 juillet dernier par le Parlement.

Note du Ministère de la santé sur le champ d’application du cadre juridique de l’hébergement de données de santé.

Le 11 juillet dernier, le Ministère des solidarités et de la santé a publié une note explicative, sous la forme de questions, concernant le champ d’application du cadre juridique de l’hébergement de données de santé.

A cette occasion, il a précisé l’objectif du régime juridique de l’hébergement de données de santé fixé à l’article L1111-8 du Code de la santé publique, le champ d’application de la législation sur l’hébergement de données de santé et les conditions à remplir pour héberger des données de santé.

Pour accéder à la note du Ministère de la santé, cliquez ici.

Christine VROMAN, Avocat

Données personnelles : décision d’adéquation entre l’UE et le Japon

Le 17 juillet dernier, l’Union Européenne et le Japon ont finalisé leurs pourparlers sur l’adéquation réciproque. Ils ont convenu de reconnaître comme «équivalents» leurs systèmes respectifs de protection des données, ce qui permettra la circulation des données entre l’Union Européenne et le Japon en toute sécurité.

La Commission Européenne envisage d’adopter la décision d’adéquation au cours de l’automne prochain. Avant cela, le Japon s’est engagé à mettre en oeuvre des garanties supplémentaires pour protéger les données à caractère personnel des citoyens de l’UE.

Pour accéder au communiqué de presse de la Commission Européenne cliquez ici.

Voir sous les jupes des filles : c’est fini…

Le projet de loi de lutte contre les violences sexuelles et sexistes déposé en mars 2018 s’est enrichi d’un nouvel amendement, destiné à permettre de sanctionner « la captation d’images impudiques ». Parfois désignée sous le terme de « upskirting », la pratique consistant à filmer ou photographier sous les jupes des filles trouverait ainsi une qualification pénale adaptée. Jusqu’ici, les plaideurs tentaient d’en passer par l’agression sexuelle, l’atteinte à la vie privée, les violences… le plus souvent sans beaucoup de succès. En écho à d’autres législations européennes, la France disposera, si l’amendement est retenu, d’un levier pénal pour poursuivre ce type d’agissements.

M6 : « Les auteurs d’upskirting bientôt punis par la loi. »

Maître Viviane GELLES a été interrogée ce 23 juillet 2018 par M6 pour le journal d’informations 1945, sur leur sujet « Les auteurs d’upskirting bientôt punis par la loi. »

Regarder le reportage à 10’04 via le lien.

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

Maître Charlotte RIAUD a animé ce mardi 22 mai 2018 l’atelier RGPD de « Val de Lys Entreprendre »

Val de Lys – Invitation

« Le Règlement européen sur la protection des données personnelles (RGDP) entre en vigueur le 25 mai 2018.

Il impacte toutes les entreprises, pour tous leurs traitements de données personnelles, que ce soit à l’égard de leurs clients, mais aussi de leurs salariés.
Venez découvrir ce qu’est le RGDP, son périmètre d’application et les mesures à prendre !»

Maître Viviane GELLES interviendra lors de la Conférence RGPD du Pôle Plastium ce jeudi 19 avril 2018

Données personnelles : Google condamnée à supprimer la fiche « Google My Business » d’un chirurgien-dentiste

TGI Paris Ordonnance du 06/04/2018 – Monsieur X / Google France et Google LLC  : Lien

En l’espèce, un chirurgien-dentiste a constaté que la formulation d’une recherche portant sur ses nom et prénom faisait ressortir une fiche « Google My Business » relative à son activité professionnelle, créée sans son consentement, et contenant ses nom, prénom, l’adresse et les horaires d’ouverture de son cabinet et des avis de patients.

Il a sollicité la suppression de cette fiche auprès de Google France et Google LLC, ce qui lui a été refusé. Devant ce refus, il a saisi le Tribunal de Grande Instance de Paris en référé et a sollicité la suppression de cette fiche sur le fondement de la Loi Informatique et Libertés, de la LCEN et des articles 226-16 et suivants du Code pénal.

Le Tribunal de Grande Instance de Paris a fait droit à sa demande, sur le fondement de l’article 226-18-1 du Code pénal notamment, qui dispose : « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Le Tribunal a estimé que les conditions d’application de cet article étaient réunies en l’espèce et qu’il y avait donc lieu de faire cesser un trouble manifestement illicite, dans la mesure où :

  1. Toute information qui permet l’identification d’une personne physique, comme ses nom et prénom, son adresse ou son numéro de téléphone, est constitutive d’une donnée à caractère personnel. La circonstance que de telles données soient relatives à l’activité professionnelle de la personne en question est donc sans incidence sur cette qualification.
  2. Le chirurgien-dentiste a d’abord accepté l’existence de cette fiche, créée sans son autorisation, mais s’y est ensuite opposé en demandant sa suppression.
  3. L’existence de cette fiche implique l’envoi par Google de courriels à des fins de prospection commerciale puisqu’il est proposé au chirurgien-dentiste de payer pour des annonces publicitaires sur la fiche « Google My Business » afin « d’améliorer ses performances », par le biais de Google AdWords Express.

Christine VROMAN

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

Lire l’interview

RGPD : des citoyens mieux armés pour protéger leurs données

Lien vers l’article

 

Est-il possible d’interdire l’usage des réseaux sociaux par les salariés dans l’entreprise ?

1. Sur l’autorisation de l’usage des réseaux sociaux

L’employeur peut choisir d’autoriser ou d’interdire l’usage des réseaux sociaux à des fins personnelles.

Toutefois, dans le cas où il souhaite autoriser l’usage des réseaux sociaux à des fins personnelles, il est permis d’encadrer et de contrôler un tel usage.

2. Sur l’encadrement de l’usage des réseaux sociaux à des fins personnelles

La Cnil a précisé que l’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam ») (Fiche pratique – les outils informatiques au travail – octobre 2016).

Ce contrôle a pour objectif :
– d’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de Troie…) ;
– de limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…).

Les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un dispositif de contrôle de l’activité.

En outre, chaque employé doit être notamment informé :
• Des finalités poursuivies,
• Des destinataires des données,
• De son droit d’opposition pour motif légitime,
• De ses droits.

La Cnil a également eu l’occasion de rappeler que « l’utilisation à des fins personnelles du téléphone au travail est tolérée si elle reste raisonnable et ne porte pas préjudice à l’employeur. Ce dernier peut contrôler l’usage non abusif des lignes à partir de deux sources d’informations : les standards téléphoniques et les relevés d’appels ». (Guide téléphonie de le Cnil – édition 2012).

L’encadrement de l’usage à des fins personnelles des réseaux peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service.

3. L’amendement de la charte informatique
La charte informatique semble l’outil adapté pour encadrer l’usage des réseaux à des fins personnelles.

A titre d’exemple, il est possible d’encadrer leurs usages de la manière suivante :

L’usage des outils d’échanges de fichiers et de communication instantanée, tout comme les sites de réseaux sociaux ou les forums de discussions sans vocation professionnelle, sera toléré à condition qu’il se limite à un usage strictement raisonnable et à ce qu’il ne porte pas atteinte ou préjudice aux intérêts de l’employeur. Le salarié s’engage aussi à ne pas y tenir de propos diffamatoires envers sa hiérarchie, des collègues, des clients, des fournisseurs ou des prestataires.

Ainsi, le salarié peut se voir interdire de communiquer, à des fins autres que strictement professionnelles, la moindre information sur son activité professionnelle, ses conditions de travail, l’organisation générale, les activités de la société.

Le salarié peut s’engager à ne pas s’inscrire avec son adresse mail professionnelle à des newsletters personnelles (Exemples : Vente Privée, Amazon.fr, etc.) ainsi qu’à des réseaux sociaux pour un usage non professionnel (Facebook, Twitter, Instagram, WhatsApp, etc.).

Dans le cadre d’un usage personnel, le salarié peut s’engager à communiquer exclusivement en son nom propre en rappelant, le cas échéant, que ses propos n’engagent que lui et ne traduisent pas la position officielle de l’entreprise.

Il doit également s’engager à respecter les conditions générales d’utilisation des réseaux sociaux ainsi que les lois applicables.

Une recommandation doit enfin lui être faite afin qu’il utilise les règles de paramétrage de confidentialité des réseaux sociaux afin de limiter la diffusion des informations aux seules personnes devant en connaître.

Blandine POIDEVIN

L’accès aux fichiers personnels du salarié : jurisprudence récente

Deux décisions rendues récemment au sujet de la consultation, par l’employeur, des fichiers personnels de son salarié, méritent d’être soulignées.

Arrêt « Libert c. France » rendu par la CEDH le 22 février 2018 :

En l’espèce, un salarié de la SNCF contestait son licenciement intervenu suite à la découverte, par son employeur, de fausses attestations et de nombreux fichiers pornographiques sur le disque dur de son ordinateur professionnel.

La CEDH a été saisie de la question de savoir si la consultation, par l’employeur, des fichiers d’un salarié identifiés sous les termes « Données personnelles », en dehors de sa présence, constituait une atteinte au droit au respect de la vie privée (article 8 de la CEDH).

La CEDH a répondu par la négative, en tenant compte notamment :

  • des dispositions de la charte utilisateur de la SNCF, qui imposait que les informations à caractère privé soient clairement identifiées sous le terme « Privé » ;
  • du but légitime de la SNCF, qui pouvait légitimement vouloir s’assurer que ses salariés utilisent les équipements qu’elle met à leur disposition pour l’exécution de leurs fonction en conformité avec leurs obligations contractuelles et la réglementation.

Extrait de l’arrêt :

« 52. Certes, en usant du mot « personnel » plutôt que du mot « privé », le requérant a utilisé le même terme que celui que l’on trouve dans la jurisprudence de la Cour de cassation, selon laquelle l’employeur ne peut en principe ouvrir les fichiers identifiés par le salarié comme étant « personnels » […]

Toutefois, […], cela ne suffit pas pour mettre en cause la pertinence ou la suffisance des motifs retenus par les juridictions internes, eu égard au fait que la charte de l’utilisateur pour l’usage du système d’information de la SNCF indique spécifiquement que « les informations à caractère privé doivent être clairement identifiées comme telles (option « Privé » dans les critères OUTLOOK, notamment) [et qu’]il en est de même des supports recevant ces informations (répertoire « PRIVÉ »).

La Cour conçoit en outre qu’ayant constaté que le requérant avait utilisé une partie importante des capacités de son ordinateur professionnel pour stocker les fichiers litigieux (1 562 fichiers représentant un volume de 787 mégaoctets), la SNCF et les juridictions internes aient jugé nécessaire d’examiner sa cause avec rigueur »

Arrêt « Mme X. c/ Autour du bain » rendu par la Cour d’appel de Toulouse le 2 février 2018 :

En l’espèce, une salariée contestait son licenciement intervenu suite à la découverte, par son employeur, de propos tenus sur sa messagerie Facebook personnelle (propos injurieux, irrespectueux et malveillants à l’encontre de son employeur et de ses collègues).

S’agissant de la loyauté de la preuve des faits reprochés, la Cour d’appel de Toulouse a considéré que le fait pour une salariée de laisser affichés sur son poste de travail les propos tenus sur sa messagerie Facebook personnelle leur fait perdre leur caractère privé.

Dès lors, son employeur, qui avait pris connaissance des conversations visibles de l’ensemble des salariés du magasin, était fondé à la licencier pour faute grave.

Extrait de l’arrêt :

« Mme X. fait grief au jugement entrepris d’avoir retenu que les messages échangés avec sa collègue sur la messagerie de son compte Facebook n’étaient pas des messages privés, alors que la mise à disposition du compte Facebook sur le lieu de travail ne signifie nullement que l’employeur puisse s’approprier le contenu des conversations privées échangées et que, puisqu’il est établi que la plupart des conversations ont été échangées lorsque la salarié se trouvait placée en arrêt de travail, ces conversations étaient nécessairement privées. 

Toutefois, la Sarl Autour du bain produit l’attestation circonstanciée de Mme Z. selon laquelle la session Facebook de Mme X. était volontairement restée ouverte sur l’ordinateur de l’entreprise, rendant les conversations publiques et visibles de l’ensemble des salariés du magasin. Mme X. ne produit aucun élément de nature à remettre en cause la sincérité de cette attestation ni à démontrer que l’employeur aurait usé d’un stratagème pour accéder à la messagerie Facebook de la salariée qui, à défaut d’être ouverte, est protégée par un login et un mot de passe. 

Les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé »

Par Christine VROMAN

« Les start-up et la mise en conformité RGPD » Blanchemaille . 06/03/2018

Charlotte RIAUD aura le plaisir d’animer, ce mardi 6 mars 2018 à 11h, un atelier au sein de Blanchemaille sur le thème « Les start-up et la mise en conformité RGPD ».

La nouvelle réglementation européenne relative aux données personnelles conduit les professionnels à placer au cœur de leurs process et de leurs outils la protection des données personnelles.

Plutôt qu’une contrainte, le respect des données personnelles est un enjeu concurrentiel, valorisant la confiance des utilisateurs et des investisseurs.

Blanchemaille By euratechnologie. Rue du Fontenoy, à Roubaix

Cybersécurité au niveau européen

La Commission européenne propose la création d’une nouvelle Agence de cybersécurité de l’UE, qui assistera les États membres dans la gestion des cyberattaques, ainsi qu’un nouveau système européen de certification, qui permettra de garantir la sécurité d’utilisation des produits et services dans l’environnement numérique.

Votre traitement de données relève-t-il du « profilage » au sens du RGPD ?

L’entrée en application le 25 mai 2018 du Règlement Général concernant la Protection des Données (RGPD, Règlement UE 2016/679 )nous oblige à revoir nos pratiques en matière de traitement des données personnelles. Le profilage en est une illustration.

Le profilage de données fait l’objet d’un encadrement juridique plus strict que d’autres traitements en terme, par exemple, d’information des personnes physiques, d’étude d’impact à réaliser pour le responsable de traitement…

A ce titre, l’article 4-4° du RGPD définit le profilage comme : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

En conséquence, les traitements qui ne sont pas automatisés (c’est-à-dite intervention humaine) sont donc exclus de la notion de profilage.

Le considérant 24 du Règlement indique que le profilage permet de prendre des décisions concernant une personne physique OU d’analyser ou prédire ses préférences, ses comportements ou ses dispositions d’esprit.

L’article 22 du Règlement dispose que : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Concernant la notion de « traitement automatisé produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative », le considérant 71 du Règlement donne l’exemple du rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne, sans aucune intervention humaine.

En outre, il indique que ce type de traitement inclut le profilage, dès lors que ce dernier produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire, de manière significative.

Toutefois, le cadre juridique n’est pas définitif, le G29 (groupe européen réunissant les autorités nationales en matière de protection des données) n’a pas encore publié ses lignes directives, celles publiées à ce jour relatives au règlement concernent le Data Privacy Officer, la portabilité, l’autorité nationale chef de file et l’analyse d’impact.

De même, la CNIL indique que ces lignes directrices sont « en cours d’élaboration » et devraient être publiées au second semestre 2017. Nous aurons donc bientôt plus de précision sur cette notion de profilage.

En mars 2017, la CNIL avait consulté les professionnels afin de recueillir leurs questions et leurs difficultés d’interprétation, notamment sur le profilage, afin d’orienter le G29. Elle a publié sa synthèse des contributions le 23 mai dernier.  Il ressort de cette synthèse les demandes suivantes de la part des professionnels :

  • Une demande de définitions plus précises de certaines notions abordées dans les articles du Règlement européen relatifs au profilage (profilage, impact significatif, traitement automatisé etc.) ;
  • Une interrogation sur l’étendue des droits des personnes, notamment vis-à-vis du degré de précision de l’information à fournir à la personne concernée ainsi que de son consentement ;
  • Une argumentation visant à prouver la nécessité du profilage dans certains secteurs d’activité, notamment en matière de marketing (publicité ciblée), du secteur public et dans le domaine des ressources humaines.

Il convient de rester attentif à cette notion particulièrement sensible dans le BtoC.