Tout projet technologique a des implications juridiques fortes. FERAL-SCHUHL / SAINTE-MARIE en a fait son métier. Un cabinet où le droit et les idées sont au service des technologies.
VOTRE RECHERCHE : Dispositif, Personnes, Données
La Cnil encadre l'usage des données biométriques (mai 2008) | Feral-Schuhl / Sainte-Marie
2ème critère. proportionnalité. Le dispositif doit être proportionné à la finalité préalablement définie, à raison des risques qu'il comporte en matière de protection des données à caractère personnel. [...] 3ème critère. sécurité. Des garanties doivent être prises pour que le dispositif permettre à la fois une authentification ou/et une identification fiable des personnes comporter toutes garanties de sécurité pour éviter la divulgation des données. [...] Compte tenu des modalités de mise en oeuvre du dispositif et notamment des moyens utilisés pour garantir la sécurité des données et prévenir tout risque d'usurpation d'identité ou d'utilisation des données pour d'autres finalités, la Cnil a considéré que le recours à la constitution d'une base de données de gabarit d'empreintes vocales aux fins de gérer les mots de passe informatique est adapté et proportionné à la finalité assignée au dispositif, au regard de la protection des données personnelles. [...]
le contrôle biométrique : à quelles conditions ? (février 2009) | Feral-Schuhl / Sainte-Marie
De même, la Cnil observe que les caractéristiques techniques d'un dispositif de reconnaissance vocale permettent de considérer qu'en l'état des connaissances sur la technologie utilisée, le gabarit de l'empreinte vocale de la personne ne constitue pas une donnée biométrique qui laisse des traces pouvant être utilisées à des fins d'identification des personnes [4]. [...] 2 e critère. proportionnalité. Le dispositif doit être proportionné à la finalité préalablement définie, à raison des risques qu'il comporte en matière de protection des données à caractère personnel. [...] 3 e critère. sécurité. Des garanties doivent être prises pour que le dispositif permette à la fois une authentification ou/et une identification fiable des personnes et qu'il comporte toutes les garanties de sécurité pour éviter la divulgation des données. [...]
L'utilisation des dispositifs biométriques au sein des hôpitaux (mars 2008) | Feral-Schuhl / Sainte-Marie
3/ Des garanties doivent être prises pour que le dispositif permette à la fois une authentification ou/et une identification fiable des personnes, et doit comporter toutes garanties de sécurité pour éviter la divulgation des données. [...] Sous réserve du respect des règles ci-dessus exposées, il n'apparaît pas qu'il y ait des obstacles rédhibitoires à une introduction de plus en plus poussée de la biométrie au sein des hôpitaux, et notamment des dispositifs de biométrie sans trace ou de ceux reposant sur des données biométriques enregistrées sur un support individuel exclusif remis à la personne concernée. [...] En ce qu'il suppose un traitement de données à caractère personnel, voire des données biométriques, ce dispositif d'identification à distance doit être mis en oeuvre conformément aux dispositions de la Loi Informatique et Libertés. [...]
L'hébergement des données médicales dématérialisées (mars 2006) | Feral-Schuhl / Sainte-Marie
Les données concernées s'entendent des données relatives aux seuls actes médicaux, qu'il s'agisse d'un acte préventif, de diagnostic ou de soins, qui auront été communiquées par des personnes dûment habilitées. [...] Par ailleurs, s'agissant d'informations personnelles particulièrement sensibles, les traitements de données rendus nécessaires par l'hébergement doivent s'effectuer dans le respect des dispositions de la loi informatique et libertés. [...] La politique de confidentialité et de sécurité de l'hébergeur doit indiquer les mesures mises en oeuvre pour assurer le respect des droits des personnes concernées par les données hébergées. [...]
Les formalités déclaratives pour les fichiers de données personnelles (5 novembre 2007) | Feral-Schuhl / Sainte-Marie
De plus, constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. [...] Toutefois, la CNIL définit, parmi les catégories les plus courantes de traitements de données à caractère personnel dont la mise en oeuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, celles qui, compte tenu de leurs finalités, de leurs destinataires, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées, sont dispensées de déclaration. [...] - et les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées précédemment aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques. [...]
e-discovery : comment concilier les exigences de la procédure américaine avec les règles protectrices des données à cara...
D'autre part, le Discovery porte atteinte aux dispositions de la loi Informatique et Libertés, notamment celles relatives aux droits d'information et d'opposition des personnes concernées, à la proportionnalité du traitement de données, ainsi qu'aux règles en matière de transfert de données hors Union européenne. [...] Cette situation illustre une fois [...] communautaire en matière de protection des données à caractère personnel, conduisant la Cnil et le G29 [...] de l'Union européenne en charge de la protection des données à caractère personnel ) à émettre des recommandations sur cette question. [...] un transfert de données peut avoir lieu dans le cadre d'une procédure de Discovery dès lors qu'est garanti le respect des droits des personnes, que les données recueillies sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles le traitement est mis en oeuvre, que ces données ne sont conservées que pour une durée pertinente, qu'une information générale, claire et complète de toute personne potentiellement concernée doit être réalisée préalablement à la mise en place du traitement de données pouvant faire l'objet d'un transfert de [ses] données personnelles à l'étranger, que les droits d'accès et de rectification sont assurés à ces personnes et enfin, que le transfert doit s'effectuer conformément aux dispositions de la loi informatique et libertés relatives aux transferts internationaux. [...]
Transfert à l'étranger des données à caractère personnel (janvier 2008) | Feral-Schuhl / Sainte-Marie
Dans le premier cas, la protection des données à caractère personnel ayant été harmonisée à l'échelle européenne par la directive 95/46 du 24 octobre 1995, le transfert de données personnelles, qu'il soit effectué sur le territoire national français, ou vers un Etat membre de l'Union européenne, doit en principe répondre aux mêmes exigences, c'est-à-dire le respect des dispositions de la directive précitée. [...] Le Safe Harbor est un dispositif, mis en place aux Etats-Unis, par lequel les entreprises américaines aux Etats-Unis peuvent volontairement s'auto-certifier comme adhérant aux principes énumérés de protection des données personnelles et de protection de la vie privée, négociés entre les autorités américaines et la Commission Européenne, et publiés par le Ministère du Commerce des Etats-Unis. [...] Les sociétés adhérentes au Safe Harbor doivent toutefois effectuer des démarches supplémentaires afin que les données concernant le personnel des sociétés exportatrices soient couvertes par ce dispositif. [...]
La Cnil, un obstacle aux transferts de données hors Union européenne ? (avril 2008) | Feral-Schuhl / Sainte-Marie
L'article 68 de la loi du 6 janvier 1978, modifiée le 6 août 2004, dispose, conformément à l'article 25 de la directive européenne du 25 octobre 1995, que le transfert de données à caractère personnel (information se rattachant à une personne physique et permettant l'identification même indirecte de celle-ci [5] ) hors de l'Union européenne n'est licite/possible que si le pays destinataire des données présente un niveau de protection suffisant ou équivalent au droit communautaire. [...] obligation d'informer les personnes dont les données qui leurs sont rattachées font l'objet du transfert et obligation d'obtenir l'autorisation de la Cnil. [...] S'agissant de l'information préalable des personnes concernées, les dispositions de l'article 101 du décret n° 2005-1309 du 20 octobre 2005, modifié par le décret 2007- 451 du 25 mars 2007, précisent le contenu de l'information qui doit mentionner les 6 éléments suivants. [...]
La collecte des données personnelles : les règles à respecter (juin 2008) | Feral-Schuhl / Sainte-Marie
Les informations ne doivent en aucun cas concerner des données sensibles, comme par exemple les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou encore l'appartenance syndicale des personnes, la santé ou des informations relatives à la vie sexuelle. [...] S'inspirant d'une recommandation de la Cnil présentée dans son rapport du 15 mai 2007, il était prévu que les données faisant directement ou indirectement apparaître les origines raciales ou ethniques des personnes puissent être recueillies pour les besoins d'études ayant pour finalité la mesure de la diversité des origines des personnes, de la discrimination et de l'intégration mais que leurs traitements restent soumis à l'autorisation de la CNIL et que les personnes concernées conservent leur droit d'opposition à ce traitement. [...] De même, l'article 226-21 du même Code incrimine le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de [...] de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement (également 5 ans d'emprisonnement et 300 000 euros d'amende). [...]
Testez vos connaissances juridiques en matière de RFID (mars 2006) | Feral-Schuhl / Sainte-Marie
6. Faut-il déclarer à la CNIL Oui. Dès lors que l'on collecte des données personnelles sur les consommateurs ou sur les salariés. [...] Les systèmes RFID sont alors considérés comme entrant dans la catégorie des systèmes de traitement des données personnelles au sens de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. [...] Il convient donc de respecter l'obligation de déclaration des traitements opérés à la Cnil (Commission nationale informatique et liberté) et l'obligation d'information des personnes sur lesquelles des données sont recueillies. [...]
- CNIL Information Consentement
- CNIL Traitements
- Etats membres Législation Dispositions Protection juridique
- Autorité Systèmes Enregistrements Traitements
- Caractère Informations Identification Individus
- Caractère Protection Données personnelles
- Conservation Adresses Collecte Disposition
- Contexte Recommandation
- Dispositifs Contrôle d'accès Lieux de travail
- Dispositifs Données personnelles Piratage
- Dispositifs CNIL
- Dispositifs Utilisation Vehicule
- Dispositifs Employés Organisme public
- Dispositifs Information Activité Hébergement Destination Clients
- Contrôle
- Données à caractère personnel Directive
- Identification Distance Oeuvre Dispositions Loi Informatique
- Données personnelles Union Européenne Niveau Protection des données
- Données personnelles Personnes physiques Données à caractère personnel
- Données à caractère personnel Personnes physiques Union Européenne
- Traitement Destinataire
- Droits Information Opposition
- Décision Principe Administrative Trafic Opérateurs
- Entreprises Données personnelles Loi
- Information Objet Délai Procédé
- Information
- Juge Traitement Droit Opposition Propriétaires
- Loi Traitement
- Obligation Informer Objet Transfert Autorisation
- Oeuvre CNIL Traitements Données personnelles
- Oeuvre Authentification Contrôle Identité
- Oeuvre Justice Besoins Missions Défense
- Oeuvre Traitement
- Disposition Communauté
- Information Loi
- Protection Intégrité physique
- Reconnaissance Biométrie CNIL
- Respect Droits
- Santé Informations Vie sexuelle
- Sociétés Démarches
- Solutions Confidentialité Données à caractère personnel
- Sécurité Hébergeur
- Traitements Dispositifs Utilisation Vehicule
- Traitements Article
- Traitements Informations
- Traitements Personnes physiques
- Traitement CNIL
- Traitement Destinataire Données personnelles
- Traitement Mesures
- Transferts Informations Caractère