• Français -fr 

Blog Archives

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

Prospection syndicale : pas d’exception à la loi.

En cette période de grève, les actions syndicales sont plus actives, y compris en terme de prospection.

Il semble utile de rappeler que le droit des données personnelles doit être respecté de la même façon que pour les autres organisations.

A titre d’illustration, une décision de la CNIL en date du 16 février 2012 avait été rendue à l’encontre d’un syndicat.

En l’espèce, le syndicat CGT des établissements d’enseignement supérieur de l’Académie de Lille avait envoyé plusieurs courriels de « prospection syndicale » (et non commerciale) non sollicités, sur les adresses de messagerie électronique professionnelle des salariés de l’Université de Lille 1.

Suite à ces envois, une des salariés a adressé au syndicat plusieurs demandes d’opposition. Le syndicat n’ayant donné aucune réponse à ses demandes, la salariée avait saisi la CNIL.

La CNIL avait mis en demeure le syndicat, par sa décision n° 2011-004 du 19 mai 2011, dans un délai d’un mois à compter de sa notification, de :

• préciser les moyens par lesquels il a pris connaissance de l’adresse électronique des personnels de l’Université de Lille 1 et veiller à ne pas collecter des données à caractère personnel de manière déloyale ou illicite, en particulier ne pas collecter d’adresse électronique à des fins de prospection syndicale à l’insu des personnes concernées ;
• préciser les raisons pour lesquelles le droit d’opposition de la plaignante n’a été pris en compte que tardivement ;
• prendre toute mesure de nature à garantir qu’il soit tenu compte, de manière immédiate et systématique, du droit d’opposition exercé par toute personne concernée en application de l’article 38 de la loi du 6 janvier 1978 ;
• etc.

La CNIL avait alors considéré que le syndicat avait commis plusieurs manquements, notamment au titre de la collecte loyale des données (article 6 1° LIL). A cet égard, la CNIL avait relevé que :

• il est établi que le syndicat a fait usage, à des fins de prospection syndicale, d’adresses de messageries électroniques professionnelles. Celles-ci constituent des données à caractère personnel au sens de la loi du 6 janvier 1978 modifiée, dès lors qu’elles contiennent des informations relatives à des personnes physiques identifiées ou qui peuvent être identifiées au sens de l’article 2 alinéa 2 de la loi précitée.
• sur le fond, en premier lieu, la formation restreinte constate qu’il ressort des termes de la plainte que l’intéressée n’a jamais sollicité d’envois de messages de prospection syndicale sur son adresse des messagerie professionnelle et qu’elle n’a jamais été informée préalablement à cette prospection. Elle considère, dès lors, qu’elle ne peut écarter le grief de collecte déloyale formulé à l’encontre du syndicat.

Avec l’application imminente du RGPD le 25 mai, la vigilance sur ces sujets doit être accrue ainsi qu’une gestion rigoureuse des droits des personnes concernées.

Cela suppose de mettre en place au plus vite des actions de sensibilisation pour toutes les organisations, quelle que soit leur taille.

Blandine POIDEVIN

CNIL : programme de contrôle 2017

 

La CNIL a dévoilé son programme de contrôle pour l’année 2017. Rappelons que les thématiques figurant dans ce programme représentent, en général, environ un quart de l’activité totale de la Commission.Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d’assurance : Rappelons qu’un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l’obligation de secret médical.
  • Les fichiers de renseignement. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l’Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l’Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).
  • Les télévisions connectées (« Smart TV »). Les informations recueillies par ces dispositifs sont en effet susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

 

La CNIL envisage également de continuer à entretenir une activité élevée de contrôle des dispositifs de vidéosurveillance et de vidéoprotection.

 

Assemblée Générale du Club DSI – GUN. Marc en Baroeul. Le 1er Mars 2017 à 9h

J’aurai le plaisir  de participer à l’Assemblée Générale du Club DSI Gun qui se tiendra le 1er mars à l’Hôtel Mercure de Marcq en Baroeul. J’aborderai le Règlement Général sur la Protection des Données (GDPR).

Invitation

« Protection des données personnelles ». Cabinet Jurisexpert. 13 juin 2016

Ce que l’adoption du Règlement du 27 avril 2016 va changer pour les entreprises.

Nous avons eu le plaisir d’organiser un petit déjeuner sur ce thème. Nous y avons abordé les thèmes, entre autres, suivants: Sanctions, DPO, analyse d’impact, tenue du registre, failles de sécurité…

Nous avons eu l’occasion de faire un tour d’horizon des nouvelles contraintes devant être intégrées par les entreprises avant l’application du Règlement en 2018.

 

DES PRATIQUES DISCRIMINATOIRES EN MATIERE DE DONNEES PERSONNELLES

Chaque entreprise dispose aujourd’hui de bases de données informatiques, qu’ils s’agissent de traitements relatifs à ses clients, à ses prospects ou salariés.

S’agissant d’informations générales propres à la commande, à la gestion des ressources humaines, …, certaines informations, une fois enregistrées et exploitées par un logiciel, peuvent avoir pour effet d’exclure des personnes du bénéfice d’un droit ou d’un contrat.

Il peut, par exemple, s’agir d’une inscription dans un fichier en tant que mauvais payeur, client à problème, à risque…

La loi informatique et libertés n° 78-17 du 6 janvier 1978 qui encadre strictement les traitements mis en place par les entreprises dispose en son article 25 I.4 que « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire » sont soumis à autorisation préalable de la CNIL.

C’est ainsi que la CNIL a eu l’occasion d’interdire l’exploitation de fichiers relatifs à des mauvais payeurs dans le domaine de la téléphonie. Sont souvent en cause certains outils de scoring.

Plus récemment, le LOSC et le PSG se sont fait épinglés à ce sujet.

En effet, des procédures sont en cours d’instruction auprès de la CNIL, suite à des plaintes des supporters.

S’agissant du LOSC, se trouve en cause sa pratique de filtrage géographique des adresses IP des internautes lors de l’achat de billet. Ainsi, les acheteurs identifiés comme provenant géographiquement de Paris et des alentours se voyaient interdire l’achat de billet, lors de la rencontre LOSC / PSG.

S’agissant du PSG, est en cause son fichier des interdits de stade qui conserverait l’identité des supporters pour une durée supérieure à la durée de l’interdiction.

Rappelons que de par la loi, les entreprises peuvent disposer du droit de procéder à certains traitements, c’est le cas des clubs de football s’agissant des traitements des interdictions de stade judiciaires ou administratives.

Toutefois, ces traitements, même autorisés par la loi, font l’objet de conditions strictes.

Tout autre traitement doit respecter les conditions de l’article 6 de la loi informatique et libertés, concernant notamment la loyauté de la collecte, la légitimité de la finalité et une durée de conservation non excessive.

Le PSG avait déjà fait l’objet d’une mise en demeure de la part de la CNIL en septembre 2013 pour avoir détenu un fichier sous forme de liste d’exclusion de supporters.

La prise en compte par les entreprises du cadre juridique qui leur est applicable en matière de données personnelles est pourtant aujourd’hui indispensable et doit être mis à jour régulièrement.

Ainsi, la présidence lettone de l’Union Européenne a confirmé, début janvier, son intention d’arriver en accord au sujet du nouveau règlement relatif aux données personnelles au conseil des affaires intérieures des 12 et 13 mars 2015.

Utilisez votre droit à l’oubli numérique !

Article paru sur Direct Matin, n° 2142 du 2 septembre 2014.

LIRE L’ARTICLE