• Français -fr 

vie privée

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

Maître Charlotte RIAUD a animé ce mardi 22 mai 2018 l’atelier RGPD de « Val de Lys Entreprendre »

Val de Lys – Invitation

« Le Règlement européen sur la protection des données personnelles (RGDP) entre en vigueur le 25 mai 2018.

Il impacte toutes les entreprises, pour tous leurs traitements de données personnelles, que ce soit à l’égard de leurs clients, mais aussi de leurs salariés.
Venez découvrir ce qu’est le RGDP, son périmètre d’application et les mesures à prendre !»

Maître Viviane GELLES interviendra lors de la Conférence RGPD du Pôle Plastium ce jeudi 19 avril 2018

Données personnelles : Google condamnée à supprimer la fiche « Google My Business » d’un chirurgien-dentiste

TGI Paris Ordonnance du 06/04/2018 – Monsieur X / Google France et Google LLC  : Lien

En l’espèce, un chirurgien-dentiste a constaté que la formulation d’une recherche portant sur ses nom et prénom faisait ressortir une fiche « Google My Business » relative à son activité professionnelle, créée sans son consentement, et contenant ses nom, prénom, l’adresse et les horaires d’ouverture de son cabinet et des avis de patients.

Il a sollicité la suppression de cette fiche auprès de Google France et Google LLC, ce qui lui a été refusé. Devant ce refus, il a saisi le Tribunal de Grande Instance de Paris en référé et a sollicité la suppression de cette fiche sur le fondement de la Loi Informatique et Libertés, de la LCEN et des articles 226-16 et suivants du Code pénal.

Le Tribunal de Grande Instance de Paris a fait droit à sa demande, sur le fondement de l’article 226-18-1 du Code pénal notamment, qui dispose : « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Le Tribunal a estimé que les conditions d’application de cet article étaient réunies en l’espèce et qu’il y avait donc lieu de faire cesser un trouble manifestement illicite, dans la mesure où :

  1. Toute information qui permet l’identification d’une personne physique, comme ses nom et prénom, son adresse ou son numéro de téléphone, est constitutive d’une donnée à caractère personnel. La circonstance que de telles données soient relatives à l’activité professionnelle de la personne en question est donc sans incidence sur cette qualification.
  2. Le chirurgien-dentiste a d’abord accepté l’existence de cette fiche, créée sans son autorisation, mais s’y est ensuite opposé en demandant sa suppression.
  3. L’existence de cette fiche implique l’envoi par Google de courriels à des fins de prospection commerciale puisqu’il est proposé au chirurgien-dentiste de payer pour des annonces publicitaires sur la fiche « Google My Business » afin « d’améliorer ses performances », par le biais de Google AdWords Express.

Christine VROMAN

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

Lire l’interview

RGPD : des citoyens mieux armés pour protéger leurs données

Lien vers l’article

 

Est-il possible d’interdire l’usage des réseaux sociaux par les salariés dans l’entreprise ?

1. Sur l’autorisation de l’usage des réseaux sociaux

L’employeur peut choisir d’autoriser ou d’interdire l’usage des réseaux sociaux à des fins personnelles.

Toutefois, dans le cas où il souhaite autoriser l’usage des réseaux sociaux à des fins personnelles, il est permis d’encadrer et de contrôler un tel usage.

2. Sur l’encadrement de l’usage des réseaux sociaux à des fins personnelles

La Cnil a précisé que l’employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam ») (Fiche pratique – les outils informatiques au travail – octobre 2016).

Ce contrôle a pour objectif :
– d’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de Troie…) ;
– de limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…).

Les instances représentatives du personnel doivent être informées ou consultées avant la mise en œuvre d’un dispositif de contrôle de l’activité.

En outre, chaque employé doit être notamment informé :
• Des finalités poursuivies,
• Des destinataires des données,
• De son droit d’opposition pour motif légitime,
• De ses droits.

La Cnil a également eu l’occasion de rappeler que « l’utilisation à des fins personnelles du téléphone au travail est tolérée si elle reste raisonnable et ne porte pas préjudice à l’employeur. Ce dernier peut contrôler l’usage non abusif des lignes à partir de deux sources d’informations : les standards téléphoniques et les relevés d’appels ». (Guide téléphonie de le Cnil – édition 2012).

L’encadrement de l’usage à des fins personnelles des réseaux peut se faire au moyen d’une charte, annexée ou non au règlement intérieur, d’une note individuelle ou d’une note de service.

3. L’amendement de la charte informatique
La charte informatique semble l’outil adapté pour encadrer l’usage des réseaux à des fins personnelles.

A titre d’exemple, il est possible d’encadrer leurs usages de la manière suivante :

L’usage des outils d’échanges de fichiers et de communication instantanée, tout comme les sites de réseaux sociaux ou les forums de discussions sans vocation professionnelle, sera toléré à condition qu’il se limite à un usage strictement raisonnable et à ce qu’il ne porte pas atteinte ou préjudice aux intérêts de l’employeur. Le salarié s’engage aussi à ne pas y tenir de propos diffamatoires envers sa hiérarchie, des collègues, des clients, des fournisseurs ou des prestataires.

Ainsi, le salarié peut se voir interdire de communiquer, à des fins autres que strictement professionnelles, la moindre information sur son activité professionnelle, ses conditions de travail, l’organisation générale, les activités de la société.

Le salarié peut s’engager à ne pas s’inscrire avec son adresse mail professionnelle à des newsletters personnelles (Exemples : Vente Privée, Amazon.fr, etc.) ainsi qu’à des réseaux sociaux pour un usage non professionnel (Facebook, Twitter, Instagram, WhatsApp, etc.).

Dans le cadre d’un usage personnel, le salarié peut s’engager à communiquer exclusivement en son nom propre en rappelant, le cas échéant, que ses propos n’engagent que lui et ne traduisent pas la position officielle de l’entreprise.

Il doit également s’engager à respecter les conditions générales d’utilisation des réseaux sociaux ainsi que les lois applicables.

Une recommandation doit enfin lui être faite afin qu’il utilise les règles de paramétrage de confidentialité des réseaux sociaux afin de limiter la diffusion des informations aux seules personnes devant en connaître.

Blandine POIDEVIN