Données personnelles- Articles-
Le règlement général sur la protection des données s’enrichit de nouvelles lignes directrices sur l’analyse d’impact
12 juin 2017 | CMS FLAprès avoir analysé les contributions reçues dans le cadre de la consultation publique sur la première version de ses lignes directrices explicitant les notions d’autorité chef de file, de délégué à la protection des données et de droit à la portabilité, le G29 a adopté le 5 avril 2017 leurs versions définitives. Lire la suite
Données personnelles : la défense du droit à la vie privée face à la volonté des Etats membres d’imposer une surveillance généralisée
31 mai 2017 | CMS FLLa Cour de justice de l’Union européenne (CJUE) vient d’affirmer une nouvelle fois sa volonté de garantir les droits fondamentaux des personnes dans le monde numérique en complétant l’édifice législatif établi en matière de protection des données (CJUE, 21 décembre 2016, C-203/15 et C-698/15).
De la communication dans l’e-banking
15 mai 2017 | CMS FLLa digitalisation de notre économie pousse parfois les banques à vouloir concentrer la communication avec leurs clients dans l’espace virtuel qu’elles créent pour ces derniers, notamment au moyen de boîtes mail dédiées et sécurisées. On s’interroge parfois sur l’opposabilité au client de cette forme de communication, puisque la prise de connaissance implique une démarche active du client (le log in).
Lire la suite
L’anonymisation des données personnelles devant le Conseil d’Etat
5 mai 2017 | CMS FLLa loi n°78-17 du 6 janvier 1978 dite « informatique et libertés » modifiée s’applique aux « traitements automatisés de données à caractère personnel » : elle prévoit de lourdes obligations à la charge des personnes physiques ou morales déterminant les finalités et moyens de ces traitements, notamment en termes de sécurité, d’information ou encore de respect des droits des personnes. Le règlement européen 2016/679 du 27 avril 2016 dit « règlement général sur la protection des données » renforce encore ces obligations ainsi que les sanctions afférentes ; il s’appliquera à compter du 25 mai 2018.
Données personnelles : modification des clauses contractuelles types et décisions d’adéquation de la Commission européenne
21 février 2017 | CMS FLPar deux décisions d’exécution en date du 16 décembre 2016 (n°2016/2295 et n°2016/2297), la Commission européenne a modifié les clauses contractuelles types et les décisions d’adéquation afin de prendre en considération certaines critiques émises par l’arrêt « Schrems » de la Cour de justice de l’Union européenne (arrêt C-361/14 du 6 octobre 2015; voir notre présentation).
Adresses IP dynamiques et données à caractère personnel
8 février 2017 | CMS FLLe 19 octobre 2016, la Cour de justice de l’Union européenne (CJUE) a rendu une importante décision relative à la qualification de données à caractère personnel des adresses de protocole Internet dynamiques (« adresses IP dynamiques »), en détaillant ses conséquences (CJUE, 19 octobre 2016, C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland).
Droit à l’oubli et au déréférencement : mise en balance avec la liberté d’expression et le traitement des données à des fins journalistiques
24 novembre 2016 | CMS FLLes juges ont de plus en plus souvent à connaître de demandes de particuliers visant à obtenir le déréférencement d’articles contenant des données préjudiciables les concernant. Il appartient aux juges, au cas par cas, de mettre en balance les droits fondamentaux au respect de la vie privée et le droit de s’opposer au traitement de données personnelles avec la liberté d’expression et le droit du public à l’information. Deux décisions récentes illustrent les critères retenus dans la recherche de cet équilibre délicat.
Lire la suite
Lancement du bouclier de protection des données UE-Etats-Unis : une protection renforcée pour le flux de données transatlantiques
22 novembre 2016 | CMS FLDepuis 2000, les modalités de transfert des données à caractère personnel entre la France et les Etats-Unis étaient encadrées par l’accord Safe harbor. Or, par un arrêt du 6 octobre 2015, cet accord a été invalidé par la Cour de … Lire la suite
Windows 10 : la CNIL met Microsoft en demeure
15 novembre 2016 | CMS FLLe 30 juin 2016, après avoir effectué des vérifications relatives aux traitements entrepris dans le cadre du système d’exploitation Windows 10, la Commission nationale de l’informatique et des libertés (CNIL) a mis Microsoft en demeure de se conformer à la réglementation française concernant la protection des données à caractère personnel (décision n°2016-058 du 30 juin 2016). Elle décide par ailleurs que cette décision devrait être rendue publique compte tenu de l’importance des infractions en cause.
L’hébergement des données de santé par un prestataire agréé désormais obligatoire pour tous les professionnels du secteur médical, social et médico-social
10 juin 2016 | CMS FLLa loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé a profondément modifié le Code de la santé publique et notamment son article L.1111-8 relatif à l’hébergement des données de santé.
Droit à l’oubli : CNIL = 1/Google = 0
9 juin 2016 | CMS FLDepuis la décision de la Cour de justice de l’Union européenne du 13 mai 2014 (CJUE, 13 mai 2014, C-131/12, Google Spain SL, Google Inc. : voir notre commentaire paru dans la lettre des propriétés intellectuelles de juillet 2014), les moteurs de recherches sont contraints de mettre en œuvre le droit au déréférencement des internautes. Cela conduit, par exemple lorsqu’une demande est faite via un formulaire mis à disposition par un moteur de recherches, à ce que certains résultats n’apparaissent pas dans la liste produite par ledit moteur à la suite d’une requête nominative.
Données de géolocalisation : le loueur de voitures est qualifié de responsable du traitement
8 juin 2016 | CMS FLDans un arrêt rendu le 18 décembre 2015, le Conseil d’Etat a approuvé la Commission nationale de l’informatique et des libertés (CNIL) d’avoir considéré qu’un loueur de véhicules équipés d’un dispositif de géolocalisation de ses clients répondait à la qualification de responsable du traitement de données à caractère personnel (CE, 18 décembre 2015, n°384794).
Mise en demeure de la CNIL : les nombreux manquements de Facebook à la loi « informatique et libertés »
8 juin 2016 | CMS FLPar une décision n°2016-007 du 26 janvier 2016, la présidente de la CNIL a mis en demeure Facebook Inc. et Facebook Ireland Limited de remédier à de nombreux manquements à la loi dite « informatique et libertés » du 6 janvier 1978.
Légalité de l’effacement des adresses IP un an après la dernière connexion
7 juin 2016 | CMS FLLa société ETAI, qui commercialise notamment une revue « RTA », a constaté que celle-ci était mise à disposition gratuitement et sans son accord sur le forum d’un site Internet. Par ordonnance du tribunal de commerce de Paris, l’hébergeur et éditeur du site Internet Car&Boat Média, a été condamné à communiquer tous renseignements en sa possession concernant l’utilisateur du pseudonyme diffusant le lien gratuit vers la revue.
Lire la suite
Open Data : le premier décret d’application est paru
3 juin 2016 | CMS FLPour mémoire, la loi n°2015-1779 du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public a été adoptée dans le but d’assurer la transposition de la directive 2013/37/UE du 26 juin 2013.
Privacy shield : les premières pierres de l’édifice
25 mai 2016 | CMS FLLes modalités de transfert de données personnelles entre la France et les Etats-Unis étaient encadrées depuis 2000 par une décision de la Commission européenne. Ce cadre juridique, dit « Safe harbor« , a toutefois été remis en cause à l’automne 2015 par la Cour de justice de l’Union européenne. Prises de court, les entreprises concernées ont donc dû mettre en place des dispositifs transitoires, afin que les transferts de données puissent continuer dans l’attente de l’adoption de mesures pérennes. La Commission européenne a ensuite proposé, fin février 2016, un nouveau cadre de réglementation pour ces transferts, sur lequel le G29 a produit ses premières observations le 13 avril 2016.
Données personnelles : faille de sécurité chez un sous-traitant, vous êtes responsable
30 mars 2016 | CMS FLChaque responsable de traitement doit veiller à ce que son sous-traitant et même le sous-traitant de son sous-traitant assure la sécurité des données à caractère personnel qui lui sont confiées. C’est ce qu’a rappelé le Conseil d’Etat dans un arrêt du 30 décembre 2015, en confirmant la sanction infligée par la CNIL à Orange, dans sa délibération du 7 août 2014, en raison d’une faille de sécurité dans le système d’information de son sous-traitant secondaire.
Proposition de règlement « données personnelles » : dernière ligne droite !
29 février 2016 | CMS FLA la suite de la proposition de règlement pour la protection des données à caractère personnel de la Commission européenne, déposée le 25 janvier 2012, certains points de dissension avaient pu naître entre le Parlement européen et le Conseil de l’Union européenne. Lire la suite
Sur la possibilité d’appliquer la loi nationale sur la protection des données à une société étrangère
23 février 2016 | CMS FLLa société Weltimmo, immatriculée en Slovaquie, publiait via son site Internet des annonces immobilières de biens situés en Hongrie. Ce faisant, elle traitait les données personnelles des annonceurs. La publication des annonces était gratuite pendant un mois et devenait payante passé ce délai.
Interdiction du traçage des internautes non-membres de Facebook en Belgique. Quid en France ?
22 février 2016 | CMS FLBien que la décision commentée ait été prononcée par une juridiction belge, la question se pose de savoir si –à supposer des faits similaires– la même décision aurait pu être prononcée par des juridictions françaises.
Lire la suite
Défaut de sécurité de données clients : sanction de 50 000 € à l’encontre d’Optical center
22 février 2016 | CMS FLMalgré les scandales récents liés à la captation de données, nombre d’entreprises n’ont toujours pas pris la pleine mesure de la nécessité de protéger leurs données ou celles de leurs clients. En témoigne la délibération récente de la Commission nationale de l’informatique et des libertés (CNIL) à l’encontre d’Optical center (délibération de la formation restreinte n°2015-379 du 5 novembre 2015).
Sanction pénale pour traitement non déclaré à la CNIL : le nombre des données concernées est sans incidence
18 février 2016 | CMS FLEn vertu de l’article L.226-16 du Code pénal, est réprimé le fait, y compris par négligence, de procéder ou faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi n°78-17 du 6 janvier 1978. Lire la suite