• Français -fr 

Blog Archives

CNIL : programme de contrôle 2017

 

La CNIL a dévoilé son programme de contrôle pour l’année 2017. Rappelons que les thématiques figurant dans ce programme représentent, en général, environ un quart de l’activité totale de la Commission.Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d’assurance : Rappelons qu’un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l’obligation de secret médical.
  • Les fichiers de renseignement. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l’Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l’Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).
  • Les télévisions connectées (« Smart TV »). Les informations recueillies par ces dispositifs sont en effet susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

 

La CNIL envisage également de continuer à entretenir une activité élevée de contrôle des dispositifs de vidéosurveillance et de vidéoprotection.

 

Enseignants, établissements scolaires : formez vos élèves à la protection des données personnelles!

Les enfants et adolescents sont les premiers utilisateurs des réseaux sociaux. Ils sont parfois moins conscients que leurs ainés de la nécessité de protéger leur vie privée.

Dans ce contexte, le référentiel de formation pratique dévoilé par la Conférence mondiale des autorités de protection des données apparaît comme un vrai outil dans la sensibilisation des plus jeunes à la préservation de leur intimité.

Qu’est ce qu’une donnée à caractère personnel? Comment fonctionne l’environnement numérique? Quelles sont les règles essentielles de la protection des données? Comment exercer ses droits? Comment maîtriser les paramètres de sécurité et de confidentialité des comptes et applications utilisés?

Il s’agit, en promouvant l’éducation à la protection des données dans les programmes scolaires, de « former de vrais citoyens numériques, responsables de leurs données et respectueux de celles des autres ».

Drones vs vie privée

La CNIL a publié quelques rappels, indispensables en ces périodes de fêtes où les drones ont largement trouvé leur place sous le sapin.

 

Outre les prescriptions de la Direction Générale de l’Aviation Civile (DGAC) relatives à la sécurité des personnes et des aéronefs, il convient en effet, en présence d’engins désormais capables de filmer ou photographier des personnes ou des endroits privés, d’être attentifs aux règles protégeant la vie privée.

 

Un journaliste fait face à des poursuites pénales pour les photos prises d’une victime des attentats à Paris

Interview de Blandine Poidevin par Amar TOOR du magazine « The Verge »

Lire l’article

NTIC, projet interclubs APM, 20/05/2015

J’aurai le plaisir de participer au projet interclubs APM sur les NTIC le mercredi 20 mai 2015.

Les thèmes abordés principaux seront : 

1.Comment les nouvelles technologies ont changé les données juridiques ?
2.Comment se protéger des atteintes ?
3.Comment manager sa e-réputation ? 

Utilisez votre droit à l’oubli numérique !

Article paru sur Direct Matin, n° 2142 du 2 septembre 2014.

LIRE L’ARTICLE 

Le droit à l’oubli numérique

Fâché de constater qu’une requête effectuée sur ses noms et prénoms dans le moteur de recherche GOOGLE présentait des liens vers deux pages d’un quotidien paru en 1998 et qui le visait dans une affaire de vente aux enchères immobilières, liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale, un ressortissant espagnol avait introduit[1], auprès de l’Office espagnol chargé de la protection des données personnelles, une réclamation à l’encontre de l’éditeur de ce titre de presse ainsi qu’à l’encontre des sociétés GOOGLE SPAIN et GOOGLE INC.

Il demandait que les pages ainsi indexées soient supprimées afin que ses données personnelles n’y apparaissent plus et qu’elles cessent d’apparaître dans les résultats de recherche, au motif que la saisie dont il avait fait l’objet avait été entièrement réglée depuis de nombreuses années et que la mention de celle-ci était désormais dépourvue de toute pertinence.

GOOGLE a introduit en recours contre la décision de l’Autorité Espagnol de protection des données faisant droit à cette demande.

Saisie du dossier, la juridiction espagnole compétente a soulevé la question de savoir quelles obligations incombaient aux exploitants de moteurs de recherche pour la protection des données personnelles et estimé que la réponse à cette problématique dépendait de l’interprétation de la Directive 95/46 relative à la protection des données à caractère personnel, dans la mesure où ces technologies étaient apparues après la publication de celle-ci.

Elle a donc décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union Européenne la question préjudicielle suivante : « le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement doivent-ils être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiée sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers ? ».

L’article 12 b de la Directive prévoit que « les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : […]

b) la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ; […] ».

La Commission Européenne estimait que les droits ainsi conférés aux personnes concernées n’étaient susceptibles d’être mis en œuvre qu’à la condition que le traitement en question soit incompatible avec la Directive ou pour des raisons prépondérantes et légitimes tenant à leur situation particulière et non, pas au simple motif qu’elles estiment que ce traitement est susceptible de leur porter préjudice ou qu’elles souhaitent que les données faisant l’objet dudit traitement tombent dans l’oubli.

La Cour de Justice relève, pour sa part, qu’une telle incompatibilité peut résulter, non seulement, du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques.

Partant de là, le raisonnement mené par la Cour repose sur l’idée qu’un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec la Directive lorsque ces données s’avèrent, ensuite, comme n’étant plus nécessaires au regard des finalités pour lesquelles elles avaient collectées ou traitées.

La Cour de Justice de l’Union Européenne invite, par conséquent, la juridiction à l’origine de sa saisine à examiner si la personne concernée avait un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultat, affichée à la suite d’une recherche effectuée à partir de son nom, en précisant qu’un tel droit ne présuppose pas que l’inclusion d’informations en question, dans la liste de résultat, cause un préjudice à la personne concernée.

A cet égard, il sera rappelé les dispositions des articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne[2] prévoyant que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications » outre son « droit à la protection des données à caractère personnel la concernant » impliquant que de tels « données doivent être traités loyalement, à des fins déterminés et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ».

Ces droits doivent être considérés comme prévalant non seulement sur l’intérêt économique de la société GOOGLE mais également sur l’intérêt du public à trouver l’information recherchée lors d’une requête portant sur le nom de la personne concernée.

Une telle prévalence sera, cependant, écartée lorsque des raisons particulières peuvent être invoquées telles que le rôle joué par la personne concernée dans la vie publique, ou encore lorsque l’ingérence dans ses droits fondamentaux serait justifiée par l’intérêt prépondérant du public à avoir accès à l’information en question.

En l’absence de telles raisons particulières dans le litige qui lui était soumis par la juridiction espagnole, la Cour de Justice de l’Union Européenne a considéré, eu égard à la sensibilité des informations contenues dans les annonces litigieuses pour la vie privée du requérant et au fait que leur publication initiale avait été effectuée seize ans auparavant, que ladite personne justifiait d’un droit à ce que ces informations ne soient plus liées à son nom sur internet.

C’est à la suite de cette décision que la société GOOGLE a mis en place un formulaire[3] disponible sur internet permettant à tout internaute européen de faire usage de ce qui semble désormais être consacré comme un véritable droit à l’oubli numérique.

Le formulaire ainsi proposé à rencontrer un franc succès puisque que, moins deux semaines après sa mise en ligne, plus de 40 000 demandes avaient été présentées au moteur de recherche.

La société américaine a, à cette fin, mis en place une équipe dédiée examinant les demandes qui lui sont soumises.

Les premières applications mettant en œuvre ce droit à l’oubli ont, toutefois, permis de constater que la suppression par GOOGLE de liens litigieux s’accompagnait d’une information, donnée par le moteur de recherche, de la suppression ainsi effectuée.

La CNIL relève, d’ores et déjà, que le formulaire proposé par la firme californienne ne concerne que les URL, excluant ainsi les services mis en œuvre par GOOGLE, tels que GOOGLE SUGGEST.

Elle regrette également que l’accès au formulaire soit difficile, comme c’est d’ailleurs le cas pour la plupart des formulaires en ligne proposés par les géants du net.

En parallèle, le groupe de l’article 29 regroupant les CNIL européennes a décidé, lors de sa réunion plénière des 3 et 4 juin 2014, de confier à un groupe de travail l’analyse des conséquences de l’arrêt de la Cour de Justice de l’Union Européenne.

Il s’agira, notamment, de définir des lignes directrices permettant aux Autorités Européennes de protection des données d’adopter une approche commune dans la mise en œuvre pratique de l’arrêt ainsi rendu, afin d’envisager des réponses harmonisées aux plaintes qui seront reçues par lesdites Autorités suite à des demandes d’effacement restées infructueuses.


[1]           C.J.U.E., 13 mai 2014, Affaire C-131/12, GOOGLE SPAIN et GOOGLE INC c/ AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

[2]              2000/C 354/01