• Français -fr 

Blog Archives

Réseaux sociaux : attention à la collecte (parfois involontaire) de données sensibles

Il arrive parfois, dans le cadre de l’utilisation des réseaux sociaux, que des informations sensibles (vie sexuelle, santé, origine ethnique, croyance religieuse…) soient spontanément divulguées par les utilisateurs.
Dans cette situation, l’éditeur du réseau social est ainsi amené à traiter, parfois involontairement, des données sensibles au sens de l’article 8 de la loi Informatique et Libertés du 6 janvier 1978.

L’article 8 I de la loi précitée prohibe la collecte et le traitement des données à caractère personnel dites « sensibles ». L’éditeur d’un réseau social, qui collecte des données sensibles, ne peut donc le faire que parce que les personnes concernées ont donné leur « consentement exprès » en vertu de l’exception énoncée par l’article 8 II 1°.

 

Dans ce cadre, le consentement peut-il être considéré comme obtenu par la validation en ligne de conditions générales d’utilisation (CGU), dès lors que celles-ci sont explicites, détaillées et claires? Faute de quoi le consentement exprès ne pourrait être juridiquement caractérisé, ce qui rendrait le traitement illicite…

La CNIL vient de prendre deux décisions de sanctions précisant qu’il convient désormais de recueillir le consentement exprès des personnes concernées par la mise en place d’une case à cocher dédiée à l’autorisation de traitement de telles données sensibles.

 

 

« Données personnelles. Traitement de des données statistiques: un régime dérogatoire ». Expertises. Mai 2016

Lire l’article

Quel projet de Règlement européen relatif aux données personnelles en 2015 ?

Ce projet de Règlement européen a été adopté en première lecture au Parlement européen en mars 2014. Il inclut des mesures de protection des données personnelles des citoyens et limite l’utilisation de ces données par les services des renseignements et les entreprises.

Il définit un cadre général au sein de l’Union Européenne pour la protection des données. Il s’agirait de créer un corpus de règles relatives à la protection des données valable dans toute l’Union Européenne.

Voici une synthèse non exhaustive des principaux apports du projet de règlement susceptibles d’impacter la pratique des entités procédant au traitement des données à caractère personnel à partir de 2016 :

I. Champ d’application territorial

Le Règlement devrait s’appliquer que le traitement des données ait lieu ou pas dans l’Union. Il s’appliquerait au traitement des données appartenant à des personnes concernées dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées.

II. Principes relatifs au traitement des données

Ces principes devraient être ceux de : i) licéité, loyauté, et transparence ; ii) limitation de la finalité ; iii) limitation des données au minimum ; iv) exactitude ; vi) minimisation de la durée de conservation ; v) effectivité pour la personne d’exercer ses droits ; vi) intégrité, c’est-à-dire protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, et vii) responsabilité.

III. Principe de responsabilité et prise en compte des risques

Innovation importante du projet de Règlement : il remplace les procédures actuelles à base de formalités administratives préalables auprès de l’Autorité de protection des données (la CNIL, en France) par un système d’analyse de risques à réaliser en interne, seuls les projets jugés potentiellement risqués devant être soumis.

Le nouveau principe de « Responsabilité » rendrait obligatoire la documentation de l’ensemble des mesures internes définies et prises par un responsable de traitement ou ses sous-traitants afin d’attester de son niveau de conformité.

Ainsi, il est prévu que chaque responsable du traitement et chaque sous-traitant doive conserver une trace documentaire, régulièrement mise à jour, nécessaire au respect des exigences établies dans le Règlement. En outre, le projet de Règlement prévoit une liste de certaines informations qui devraient être conservées.

Chaque organisme devra être capable de rendre compte à l’Autorité de protection des données, des mesures mises en place en son sein afin de respecter les dispositions légales.

Le responsable du traitement ou, le cas échéant le sous-traitant, devra réaliser une analyse du risque en ce qui concerne les répercussions potentielles du traitement des données prévu sur les droits et les libertés des personnes concernées, tout en évaluant si les traitements sont susceptibles de présenter des risques spécifiques.

Le projet de Règlement dresse la liste des traitements susceptibles de présenter des risques, tels que :

– le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur une période de douze mois consécutifs ;

– le traitement des catégories particulières de données à caractère personnels, des données de localisation, ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur ;

– lorsqu’une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, de la vie privée, des droits ou des intérêts légitimes de la personne concernée ;

– la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu’il soit limité.

En fonction des résultats de l’analyse des risques, le responsable du traitement pourra, notamment, être amené à désigner un délégué à la protection des données, ou à procéder à une analyse d’impact relative à la protection des données.

L’analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements sont sensiblement modifiés.

IV. La nomination d’un Délégué à la Protection des Données Personnelles

Le projet de Règlement prévoit que le responsable du traitement devra systématiquement désigner un Délégué à la Protection des Données dans certaines hypothèses, et notamment lorsque :

– le traitement est effectué par une personne morale et porte sur plus de 5 000  personnes concernées sur une période de douze mois consécutifs ;

– les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ;

– les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l’article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.

Le responsable du traitement ou le sous-traitant désignent un Délégué à la Protection des Données pour une durée minimale de quatre ans lorsqu’il s’agit d’un salarié ou de deux ans lorsqu’il s’agit d’un prestataire externe.

V. Notifications à l’Autorité de contrôle et à la personne concernée d’une violation de données à caractère personnel

En cas de violation de données à caractère personnel, le responsable du traitement serait tenu d’en adresser notification à l’Autorité de contrôle, sans retard injustifié.

En outre, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification à l’Autorité de contrôle, communique la violation sans retard indu à la personne concernée

VI. Conditions de consentement

La personne concernée devrait être informée, en particulier, de l’existence du traitement des données et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers.

Lorsque le traitement des données est basé sur le consentement, le Parlement européen a confirmé que la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées doit incomber au responsable du traitement.

Les députés ont ajouté que :

– les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le Règlement seraient entièrement nulles ;

– il devrait être aussi simple de retirer son consentement que de le donner ; la personne concernée devrait être informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement ;

– le consentement serait lié à la finalité et deviendrait caduc lorsque cette finalité n’existe plus ou dès que le traitement des données à caractère personnel n’est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées.

Seraient interdits, le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l’orientation sexuelle ou l’identité de genre, l’appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions ou à des condamnations.

VII. Principes généraux en matière de droits des personnes concernées

Le Parlement européen propose en outre de renforcer, de clarifier, de garantir et, le cas échéant, de codifier ces droits qui devraient être clairs et univoques. Ces droits incluraient notamment :

– la fourniture d’informations claires et aisément compréhensibles quant au traitement des données à caractère personnel ;

– le droit d’accéder à ses données, de les rectifier ou de les effacer ;

– le droit d’obtenir des données ;

– le droit de s’opposer au profilage, c’est-à-dire toute forme de traitement automatisé de données destiné à évaluer certains aspects personnels propres à une personne physique ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ;

– le droit de déposer une réclamation auprès de l’autorité de protection des données compétente et d’engager une action en justice ;

– le droit d’obtenir réparation et de percevoir une indemnisation en cas d’opération de traitement illégale.

Ces droits devraient pouvoir en général être exercés sans frais. Le responsable du traitement devrait répondre aux demandes de la personne concernée dans un délai raisonnable.

VIII. Politiques d’information normalisées

Le Parlement européen a introduit un nouvel article stipulant que lorsque des données relatives à une personne concernée sont collectées, le responsable du traitement devrait informer la personne concernée d’une manière visible et facilement lisible et dans un langage aisément compréhensible d’une série éléments d’informations avant de fournir  d’autres informations requises par le Règlement.

Ces éléments d’information porteraient sur la question de savoir si les données : i) sont collectées et conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; ii) sont traitées ou non à des fins autres que celles de leur collecte; iii) sont divulguées à des tiers commerciaux, vendues ou louées; iv) sont conservées ou non sous forme cryptée.

Par la suite, le responsable du traitement devrait également fournir des informations relatives à la sécurité et au traitement des données, le cas échéant des informations relatives à l’existence d’un profilage, des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé, ainsi que des informations indiquant si les données ont été fournies aux autorités publiques au cours de la dernière période de douze mois consécutifs.

IX. Droit à l’effacement

Les députés européens ont renforcé ce droit dans la mesure où la personne concernée pourrait obtenir de tiers l’effacement de tous les liens vers les données à caractère personnel diffusées, ou de toute copie ou reproduction de celles-ci, pour l’un des motifs suivants :

– un tribunal ou une autorité réglementaire basé(e) dans l’Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée ;

– les données ont fait l’objet d’un traitement illicite.

Lorsque le responsable du traitement a rendu publiques les données sans aucune justification, il devrait prendre toutes les mesures raisonnables pour procéder à l’effacement de ces données, y compris par des tiers. Il devrait informer la personne concernée, lorsque cela est possible, des mesures prises par les tiers concernés.

X. Profilage

Le Parlement européen a clarifié que toute personne physique devrait avoir le droit de s’opposer au profilage. La personne concernée devrait être informée de son droit de s’opposer au profilage de façon évidente.

Tout profilage ayant pour effet d’instaurer une discrimination fondée sur la race ou l’origine ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, l’orientation sexuelle ou l’identité de genre devrait être interdit. Le responsable du traitement devrait assurer une protection efficace contre les discriminations pouvant découler du profilage.

En outre, le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ne devrait pas être fondé exclusivement sur le traitement automatisé et devrait inclure une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation.

XI. Sécurité des traitements

La politique de sécurité devrait inclure la capacité : i) de garantir l’intégrité de la personne concernée;  ii) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel; iii) de rétablir la disponibilité des données et l’accès à celles-ci, dans les plus brefs délais, en cas d’incident. 

a)       Transferts ou divulgations non autorisés par la législation de l’Union

Un nouvel article stipule qu’aucune décision d’une juridiction d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il divulgue des données à caractère personnel ne serait reconnue ni rendue exécutoire de quelque manière que ce soit (sans préjudice d’un accord international entre le pays tiers demandeur et l’Union ou un État membre).

b)      Autorité chef de file

Lorsque le traitement de données a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établi dans l’Union, le Parlement a  proposé que l’autorité de contrôle de l’État membre où se situe l’établissement principal du responsable du traitement ou du sous-traitant soit l’autorité chef de file responsable du contrôle des activités de traitement des données dans tous les États membres.

XII. Sanctions administratives

Un amendement stipule que l’autorité de contrôle devrait infliger à toute personne ne se conformant pas aux obligations énoncées dans le Règlement l’une au moins des sanctions suivantes :

– un avertissement par écrit lors d’une première infraction non intentionnelle ;

– des vérifications périodiques régulières de la protection des données ;

– une amende pouvant atteindre 100 millions EUR ou au maximum 5% du chiffre d’affaire annuel mondial dans le cas d’une entreprise, le montant le plus élevé devant être retenu.

Si le responsable du traitement ou le sous-traitant est détenteur d’un «label européen de protection des données» valable, l’amende serait exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence.

Suite à la dernière réunion des Ministres de l’Union Européenne, le 13 mars 2015, ces derniers ont trouvé un compromis sur certains points, tels que le guichet unique et les principes généraux, ouvrant la voie à un accord sur une approche générale de la réforme de la protection des données en juin 2015.

En effet, les Ministres se sont entendus sur une approche générale partielle en se fixant de clôturer la position du Conseil sur ce dossier lors du Conseil JAI du mois du juin 2015, ce qui ouvrirait la possibilité de lancer les négociations en trilogue (Commission / Conseil / Parlement) sous la présidence luxembourgeoise.

La Commissaire européenne en charge de la Justice a exprimé l’espoir de parvenir à un accord en trilogue en 2015.

Blandine Poidevin
Spécialiste des technologies de l’information et de la communication
Cabinet Jurisexpert

Marketing digital,18 juin 2014, Paris.

J’aurai le plaisir d’animer l’Atelier 1 « Droit et numérique », organisé par Experian Marketing Services, le mercredi 18 juin 2014 à Paris, à partir de 14h00.

Que faut-il faire ou ne pas faire dans vos programmes marketing digital ?

Le programme de la conférence du 18/06/2014.

 

 

 

Les rencontres du Barreau de Lille le 20 juin 2013, EDHEC.

Vous trouverez ci-après le programme de la conférence à laquelle j’aurais le plaisir de participer sur le thème « Vendre ou acheter en ligne: Quelles obligations, quelles précautions? »

Programme / Invitation

Réseaux sociaux et données personnelles

Le cadre juridique applicable aux réseaux sociaux n’est pas exactement identique à celle d’un site standard.

En fournissant les moyens permettant de traiter les données des membres du réseau et en déterminant la manière dont ces données peuvent être utilisées à de fins publicitaires ou commerciales, y compris la publicité fournie par des tiers, le site en question assume la qualité de responsable du traitement des données, conformément à la loi Informatique et Libertés du 6 janvier 1978.

L’avis n° 5/2009 adopté par le groupe de travail « article 29 » sur la protection des données relativement aux réseaux sociaux en ligne, rappelle qu’il leur appartient de garantir la mise en place de paramètres par défaut respectueux de la vie privée afin de limiter l’accès des données personnelles des membres aux contacts choisis par ceux-ci.

Aussi, il est nécessaire dans les conditions générales d’utilisation proposées d’indiquer aux internautes la politique appliquée à cet égard.

Il appartient également au réseau social d’assurer un niveau de sécurité approprié des données traitées, tant au moment de la conception du système de traitement, qu’au moment même du traitement.

Dans l’hypothèse où les données des membres seraient utilisées à des fins de marketing direct, ou que les données seraient partagées ou communiquées avec des tiers, ou encore dans le cas de traitement de données sensibles, il s’agira d’informer les membres de ces aspects.

Les données sensibles ne peuvent, en outre, être traitées sans le consentement explicite des membres concernés.

Par ailleurs, il appartient également au réseau social de mettre en garde les membres contre les risques d’atteinte à leur vie privée et à celle des autres, lorsqu’ils mettent des informations, images ou idées, en ligne sur le réseau social.

Aussi, il peut également être recommandé de leur conseiller de ne pas mettre en ligne des photos ou informations concernant d’autres personnes sans le consentement de celles-ci.

La page d’accueil devra également présenter un lien vers un contact à même de recevoir les réclamations des membres, relativement à la protection de leurs données.

Enfin, un délai maximal de conservation des données des membres inactifs pourrait être prévu, au delà duquel les comptes correspondants seraient supprimés.

Les membres doivent, enfin, être autorisés à prendre un pseudonyme dans leur communication via le réseau social mis en place.

Il conviendra également de procéder aux formalités préalables déclaratives auprès de la CNIL.

A cette fin, il me sera indispensable que le responsable du traitement ait une vision claire et exhaustive de l’ensemble des données traitées dans le cadre du réseau social mis en place, ainsi que des destinataires d’éventuels transferts à l’étranger et sous-traitants auxquels il peut avoir recours dans la mise en œuvre de ces traitements.