Tout projet technologique a des implications juridiques fortes. FERAL-SCHUHL / SAINTE-MARIE en a fait son métier. Un cabinet où le droit et les idées sont au service des technologies.
VOTRE RECHERCHE : CNIL, Mesures, Sécurité, Mise en oeuvre, Traitement
Données à caractère personnel : une obligation de sécurité renforcée (janvier 2010) | Feral-Schuhl / Sainte-Marie
Dès 1981 [i], la Cnil précisait que des mesures générales de sécurité nécessaires devaient être prises préalablement à toute mise en oeuvre d'une application informatique et en tenant compte de la finalité du traitement, du volume des informations traitées et de leur degré de sensibilité au regard des risques d'atteinte à la personne humaine. [...] La directive européenne du 24 octobre 1995 [ii] prévoit, en article 17, que les États membres doivent prendre des mesures pour assurer compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. [...] La Cnil, vigilante sur le sujet, n'hésite pas à mettre en demeure certaines sociétés de prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l'ensemble des traitements mis en oeuvre afin que seules les personnes habilitées de par leurs fonctions y aient accès (accès au logiciel de supervision, aux serveurs informatiques) (Cnil, dél. [...]
Contrôle Cnil : quelles mesures et sanctions en cas d'infraction à la Loi Informatique et Libertés (février 2008) | Fera...
La Cnil peut également prononcer des sanctions pécuniaires (y compris à l'égard d'associations ou de personnes morales qui ne tirent pas de profit des traitements des données), sauf dans le cas où le traitement est mis en oeuvre par l'Etat. [...] En cas d'urgence, lorsque la mise en oeuvre d'un traitement ou l'exploitation des données traitées porte atteinte à l'identité humaine, aux droits de l'homme, au droit à la vie privée ou aux libertés individuelles ou publiques, la Cnil peut décider, après la mise en oeuvre d'une procédure contradictoire (i) d'interrompre la mise en oeuvre de tels traitements, pour une durée maximale de trois mois, à l'exception des traitements mentionnés au I (traitements Etat sécurité et infractions pénales sans données à caractère politique, philosophique. [...] D'autre part, lorsque la Cnil décide de prononcer, à l'encontre d'un responsable de traitement, une sanction, prenant la forme d'une sanction pécuniaire, d'une injonction de cesser le traitement entrepris, ou l'interruption de la mise en oeuvre du traitement, celle-ci doit être fondée sur un rapport établi par l'un des membres de la commission (Loi inf. [...]
Les conséquences de la réforme de la protection des données personnelles pour les entreprises | Feral-Schuhl / Sainte-Ma...
Cette étude d'impact devra contenir, a minima, une description générale du traitement envisage, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant a assurer la protection des données. [...] C'est ce qu'on appelle le privacy by design. Le responsable du traitement devra ainsi prendre en compte, au regard des techniques les plus récentes et des coûts liés a leur mise en oeuvre, les mesures et procédures techniques et organisationnelles appropriées de manière a ce que le traitement garantisse la protection des droits de la personne concernée. [...] Le responsable du traitement devra mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapte aux risques présentés par le traitement et a la nature des données a caractère personnel a protéger. [...]
Les formalités déclaratives pour les fichiers de données personnelles (5 novembre 2007) | Feral-Schuhl / Sainte-Marie
Toutefois, la CNIL définit, parmi les catégories les plus courantes de traitements de données à caractère personnel dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, celles qui, compte tenu de leurs finalités, de leurs destinataires, des données à caractère personnel traitées, de la durée de conservation de [...] de ceux d'entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ) de données relatives aux infractions, condamnations ou mesures de sûreté (sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les [...] au contrôle de l'identité des personnes. [...] La mise en oeuvre des traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté doivent être autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Cnil (L. 78, art. 26). [...]
La vidéosurveillance dans l'entreprise : Quelles sont les lois et la jurisprudence encadrant la vidéosurveillance dans l...
..) qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques, (. [...] Ainsi, comme tout traitement de données à caractère personnel, la vidéosurveillance est assujettie aux formalités de déclaration préalable auprès de la Cnil, en précisant les raisons de la mise en place d'un tel dispositif, le descriptif technique des mesures de sécurité ainsi que les modalités d'identification des destinataires des images et le plan de situation des caméras avec l'angle d'orientation choisi et le champ de couverture. [...] En présence d'un dispositif de contrôle par cybersurveillance, il est également prévu que le comité d'entreprise doit être informé et consulté, préalablement à la décision de mise en oeuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés C. trav., art. L.432-2-1 al. 3). [...]
Transfert à l'étranger des données à caractère personnel (janvier 2008) | Feral-Schuhl / Sainte-Marie
Cette appréciation peut se faire au regard des éléments énumérés par la loi informatique et libertés, notamment l'examen des dispositions en vigueur dans l'Etat en question, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, ses fins, sa durée, ainsi que la nature l'origine et la destination des données traitées. [...] inf. et lib., art 69, al. 8). Dans les cas de traitements spécifiques mis en oeuvre pour le compte de l'Etat (tels que les traitements qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales), l'autorisation de transfert de telles données requiert, outre un avis de la Cnil, un décret en Conseil d'Etat. [...] Effectivement, alors qu'un responsable de traitement doit se conformer à l'ensemble des obligations prévues par la loi informatique et libertés à son égard, le sous-traitant doit simplement présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité prévues par la loi ou par le contrat qui le lie au responsable de traitement. [...]
L'application de la loi Informatique et Libertés du 6 janvier 1978 par les AAI dans le cadre de leurs opérations de sais...
Celui-ci prévoit une autorisation préalable de la CNIL pour mettre en oeuvre les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, ainsi que les traitements automatisés susceptibles (du fait de leur nature, de leur portée ou de leurs finalités) d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire. [...] Lors de la déclaration d'un traitement auprès de la CNIL, il est ainsi demandé au responsable de traitement de pouvoir justifier des mesures de sécurité qu'il met en place compte tenu de la sensibilité du traitement. [...] Ce n'est donc qu'après avoir constaté que le traitement était entouré de certaines garanties essentielles en matière de sécurité des données que la COB a pu mettre en oeuvre le traitement. [...]
le contrôle biométrique : à quelles conditions ? (février 2009) | Feral-Schuhl / Sainte-Marie
Dispositif reposant sur la reconnaissance vocale. La Cnil a autorisé la mise en oeuvre d'un traitement automatisé de données à caractère personnel reposant sur un procédé de reconnaissance vocale et ayant pour finalité la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d'information de la société. [...] [9] Cnil, délib. n o 02-070, 15 oct. 2002, portant avis sur le traitement automatisé d'informations nominatives, mis en oeuvre par le collège Joliot Curie de Carqueiranne, destiné à contrôler l'accès au restaurant scolaire par la reconnaissance de la géométrie de la main. [...] [12] Cnil, délib. n o 00-015, 21 mars 2000, portant avis sur le traitement automatisé d'informations nominatives, mis en oeuvre par le collège Jean Rostand de Nice, destiné à gérer l'accès à la cantine scolaire par la reconnaissance des empreintes digitales. [...]
La Cnil encadre l'usage des données biométriques (mai 2008) | Feral-Schuhl / Sainte-Marie
Aucune image n'est conservée, seule la clé biométrique, résultat du traitement des mesures par un algorithme, est associée à l'identité de la personne. [...] La Cnil a autorisé la mise en oeuvre d'un traitement automatisé de données à caractère personnel reposant sur un procédé de reconnaissance vocale et ayant pour finalité la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d'information de la société. [...] Compte tenu des modalités de mise en oeuvre du dispositif et notamment des moyens utilisés pour garantir la sécurité des données et prévenir tout risque d'usurpation d'identité ou d'utilisation des données pour d'autres finalités, la Cnil a considéré que le recours à la constitution d'une base de données de gabarit d'empreintes vocales aux fins de gérer les mots de passe informatique est adapté et proportionné à la finalité assignée au dispositif, au regard de la protection des données personnelles. [...]
La Cnil, un obstacle aux transferts de données hors Union européenne ? (avril 2008) | Feral-Schuhl / Sainte-Marie
Suite à la sanction pécuniaire de 30 000 euros prononcée par la Cnil [1] à l'encontre de la société Tyco Healthcare France concernant la mise en oeuvre d'un fichier international de gestion des ressources humaines, nombreux sont les acteurs du monde économique et social qui ont déclaré que l'autorité de régulation française, la Cnil, constitue un obstacle aux transferts de données de salariés vers les sociétés mères situées aux Etats Unis [2]. [...] Or, ce n'est pas le transfert en lui-même que la Cnil a sanctionné, mais uniquement le défaut de coopération et de transparence de Tyco, qui avait prétendu avoir suspendu la mise en oeuvre de son fichier relatif à gestion des carrières à l'international [3]. [...] ) mise en oeuvre par le responsable du traitement - exportateur des données - ou de la décision de la Cnil autorisant ce transfert. [...]
- Dispositifs Loi Informatique Libertés Risques Employés
- Droit Personnes
- Loi Libertés
- Dispositifs Employés Organisme public
- Données
- Mise en place Dispositifs
- Oeuvre Traitements Données
- Opérations Article Loi
- Personnes Droit Opposition
- Personnes Traitements
- Portée Autorisation Dispositifs Alerte
- Article Identité Usage Données Tranquillité Autrui
- Caractère Formalités
- Chef d'entreprise Données à caractère personnel
- Conseil d'Etat Contrôle Investigations
- Contrôle Base de données
- Dispositif Employeur Temps de travail
- Dispositif Identification Données
- Dispositif Personnes Données
- Données personnelles Protection
- Données à caractère personnel Encadré
- Données à caractère personnel Principe Objet Déclaration Commission Informatique
- Données Externalisation
- Données Personnes Prestataire Nature
- Données Risque Identité Utilisation
- Données Oeuvre
- Droit Exploitation Oeuvre
- Dispositif Données
- Données à caractère personnel Reconnaissance vocale
- Oeuvre Traitements Données personnelles
- Oeuvre Fonctions de sécurité Système informatique
- Reconnaissance Biométrie
- Reconnaissance Contrôle Temps de travail
- Responsable Traitements
- Responsable Autorisation Acte
- Responsable Oeuvre Données à caractère personnel
- Santé publique Hébergement Données Caractère
- Smartphones Données Géolocalisation
- Confidentialité Données
- Traitements Dispositifs Données Utilisation Vehicule
- Traitements Données Caractère
- Traitements Oeuvre
- Traitements Oeuvre Organismes publics
- Personnes
- Destinataire Données personnelles
- Données personnelles Oeuvre Responsable Norme
- Données à caractère personnel Formalités
- Données
- Obligation
- Oeuvre Cadre