Communes : Covid-19 et registres nominatifs d’alerte

registres nominatifs d’alerteLes communes peuvent tenir des registres nominatifs d’alerte pour faciliter l’assistance des personnes vulnérables en situation d’urgence comme celle du Covid-19.

L’obligation légale pour les communes de faciliter l’assistance des personnes vulnérables

Deux lois prévoient la mise en place par les communes de registres nominatifs d’alerte pour faciliter les moyens d’alerte et d’information des populations en situation d’urgence comme la crise sanitaire du Covid-19 que nous vivons actuellement :

  • la loi de 2004 relative à la solidarité pour l’autonomie des personnes âgées et des personnes handicapées (1), prévoyant la mise en place, conjointement par le préfet du département et le président du Conseil général, d’un plan d’alerte et d’urgence au profit des personnes âgées et des personnes handicapées isolées résidant à leur domicile, en cas de risques exceptionnels et notamment de canicule.
  • la loi de modernisation de la sécurité civile d’août 2004 (2), imposant à certaines communes, particulièrement exposées à un risque majeur, d’élaborer un plan communal de sauvegarde. Le maire est tenu d’informer ses administrés de la présence de risques majeurs sur le territoire communal et de gérer la crise lorsque celle-ci survient sur le territoire communal. Afin de mener à bien ces missions, il peut mettre en œuvre un plan communal de sauvegarde, fondé sur des registres nominatifs.

Objectifs d’inscription dans les registres nominatifs d’alerte

La constitution de registres nominatifs par les communes afin de faciliter la prise en charge des personnes en cas de situations exceptionnelles, par exemple en cas de pandémie du Covid-19, est soumise à des règles strictes. Les communes sont tenues de créer des registres nominatifs pour le déclenchement du plan d’alerte et d’urgence et pour celui du plan communal de sauvegarde afin de permettre l’intervention ciblée des services sanitaires et sociaux. L’inscription sur les registres liés à ces deux plans suppose une démarche volontaire, de la personne concernée ou d’un tiers agissant pour son compte.

S’agissant du plan d’alerte et d’urgence, particulièrement pertinent en période de pandémie du Covid-19, le registre a pour objectif d’organiser un contact périodique avec les personnes répertoriées lorsque le plan d’alerte et d’urgence est mis en œuvre. La constitution du registre nominatif concerne les personnes suivantes :

  • les personnes âgées de 65 ans et plus ;
  • les personnes de plus de 60 ans reconnues inaptes au travail ;
  • les personnes adultes handicapées bénéficiant de l’allocation aux adultes handicapés (AAH), de la prestation de compensation, de la carte mobilité inclusion, d’une reconnaissance de la qualité de travailleur handicapé ou d’une pension d’invalidité servie au titre d’un régime de base de la Sécurité sociale ou du Code des pensions militaires d’invalidité et des victimes de guerre.

Le registre doit contenir des données adéquates, pertinentes et limitées (RGPD art. 5) à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, soit :

  • les nom, prénoms et la date de naissance de la personne ;
  • la situation au titre de laquelle elle est inscrite sur le registre nominatif ;
  • son adresse et son numéro de téléphone ;
  • si cela est nécessaire, les coordonnées du service intervenant à domicile et la personne à prévenir en cas d’urgence.

Lorsque le maire constitue le registre nominatif, il est tenu d’informer les habitants de sa commune de sa mise en place, de sa finalité et des modalités d’inscription.

En outre, le RGPD impose que la collecte de ces informations soit faite en respectant les principes suivants : le maire doit mentionner l’identité du responsable de traitement et les coordonnées du délégué à la protection des données, la finalité exclusive du registre et sa base juridique, le caractère facultatif de l’inscription, la possibilité d’être radié à tout moment sur demande, la durée de conservation des données, les catégories de destinataires des données et les droits de la personne concernée, notamment ceux d’accès et de rectification.

S’agissant du plan communal de sauvegarde, qui peut également être mis en place pendant la pandémie du covid-19, son objectif est de guider l’action du maire et de ses équipes dans la gestion de crise et permettre ainsi de limiter pertes de temps et actions improvisées aux conséquences non maîtrisées. Le maire a ainsi la possibilité de tenir un registre complémentaire, plus large que celui dédié au plan d’alerte et d’urgence.

Toute collecte de données complémentaires doit également intervenir dans le respect des dispositions du RGPD :

  • par exemple, il ne peut porter que sur des données pertinentes et proportionnées à l’objectif poursuivi. Ainsi, le recueil de données faisant état de la santé des personnes concernées devra être strictement limité au besoin d’en connaître par les services d’aides dans l’objectif d’assurer une prise en charge adéquate et optimale.

Conditions d’inscription dans les registres nominatifs d’alerte

Exactitude des données

Le maire est ensuite tenu de prendre toutes les précautions utiles pour garantir l’exactitude des données, en mettant par exemple régulièrement à jour les informations contenues dans les registres.

La Cnil recommande par ailleurs au maire de rappeler annuellement aux personnes concernées par les registres nominatifs d’alerte, par l’envoi d’un message dédié, de la nécessité de le tenir informé de tout changement relatif à leur situation.

Sécurité des données

Le responsable du ficher étant astreint à une obligation de sécurité, les données recensées dans les registres communaux du plan d’alerte et d’urgence ainsi que du plan de sauvegarde doivent être recueillies, conservées et utilisées dans des conditions garantissant leur intégrité, leur disponibilité et leur confidentialité.

Destinataires des données

Les registres relatifs au plan d’alerte et d’urgence ne peuvent être consultés que par les agents chargés du recueil des informations, sous la responsabilité du maire. Ce dernier peut décider de communiquer les données au préfet, qui pourra à son tour les transmettre aux services chargés de l’organisation et de la coordination des interventions à domicile.

S’agissant des registres complémentaires mis en place en cas de plan de sauvegarde, les données ne peuvent être communiquées qu’aux structures identifiées dans le plan et mobilisables à l’occasion de son déclenchement. Les personnes concernées devront en outre être informées des destinataires de leurs données.

Les plans communaux de sauvegarde commencent à être mis en place dans les communes pour faire face à la pandémie du Covid-19 ; comme l’a rappelé la Cnil, il n’est pour autant pas possible de passer outre, malgré cette période exceptionnelle, les principes et obligations énoncés par le RGPD et repris par la loi Informatique et libertés (3).

Anne Renard
Chloé Perruchot
Lexing Conformité & Certification

(1) Loi n° 2004-626 du 30 juin 2004 relative à la solidarité pour l’autonomie des personnes âgées et des personnes handicapées
(2) Loi n° 2004-811 du 13 août 2004 de modernisation de la sécurité civile
(3) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés




Sécurité numérique des mairies : l’essentiel de la réglementation

Sécurité numérique des mairiesRGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.

Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.

Le cadre règlementaire de la sécurité numérique des mairies

Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :

  • le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
  • le renforcement de la sécurité des données à caractère personnel ;
  • la transformation numérique des administrations ;
  • le renforcement de la sécurité des acteurs critiques pour l’État.

Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.

Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.

Les grands principes de la sécurité numérique des mairies

Cette réglementation s’articule autour de trois principes fondamentaux :

  • la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
  • la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
  • l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.

Le guide ANSSI

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :

  • FICHE 1 : Aide à la mise en œuvre des réglementations
  • FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
  • FICHE 3 : L’usage de la signature électronique
  • FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
  • FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
  • FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
  • FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS

Anne Renard
Lexing Conformité et certification




Les nouveaux outils de conformité Informatique et libertés

conformité informatique et libertésQuels sont les nouveaux outils de conformité Informatique et libertés ? Comment les mettre en œuvre ?

Le cadre juridique de la protection des données a été entièrement révisé par le droit européen qui opère un renversement des logiques antérieures. Le nouveau cadre légal tel que résultant du RGPD supprime les formalités préalables de déclaration des traitements à la Cnil au profit de nouveaux mécanismes d’autocontrôle visant à responsabiliser les acteurs.

Le contrôle « a posteriori » mieux adapté aux évolutions technologiques, est effectué sur la base d’une autorégulation grâce à la responsabilisation des acteurs (logique de conformité et de responsabilité, dite d’« accountability »).

Les organismes traitant des données à caractère personnel, mais aussi leurs prestataires et sous-traitants, sont désormais pleinement responsables de la protection des données qu’ils traitent. Il leur appartient d’en assurer la conformité à la loi tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité à tout moment (principe d’accountability).

Par conséquent, la protection des données et le respect de la vie privée doivent être intégrés, dès la conception, aux spécifications et à l’architecture des systèmes d’information et de communication.

Parmi les autres outils de conformité Informatique et libertés figure la conduite d’une analyse d’impact relative à la protection de la vie privée. Elle s’effectue avant que le traitement de données à caractère personnel soit mis en œuvre et vise les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques (notamment les traitements à grande échelle de données sensibles).

Ce livre blanc présente la stratégie à adopter pour se mettre en posture de conformité.

  • Quels sont les nouveaux outils de conformité mis en place par la loi ?
  • Comment les mettre en œuvre ?

Ce livre blanc est extrait de la 3e édition de l’ouvrage Informatique et libertés de Maître Alain Bensoussan paru en décembre 2019

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Voir également l’interview vidéo, émission La Quotidienne du 17 décembre 2019.




Formation sur le contentieux informatique et libertés

contentieux informatique et libertésVirginie Bensoussan-Brulé anime une formation sur le contentieux informatique et libertés pour Lamy Formation (Wolters Kluwer).

L’ensemble des organismes qui traite des données à caractère personnel peut être soumis à un contrôle : entreprises privées, associations ou organismes publics, prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un responsable du traitement.

Le contentieux informatique et libertés

Cette formation qui a lieu le vendredi 29 novembre 2019 et abordera notamment :

  • Les infractions à la loi Informatiques et libertés (Panorama des infractions à la loi Informatique et libertés, peines principales et peines complémentaires) ;
  • Pouvoir de sanction de la Cnil (sanctions administratives correctrices et financières) ;
  • La procédure devant la formation restreinte de la Cnil (Aspects procéduraux et mise en situation) ;
  • Les nouvelles règles de responsabilité issues du RGPD (régime de responsabilité et de réparation).

En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises (1).

Dans cette formation au contentieux relatif à la loi informatique et libertés, les objectifs sont triples :

  • premièrement : identifier les différentes infractions à la réglementation sur les données personnelles ;
  • deuxièmement : savoir se défendre devant la formation restreinte de la Cnil ;
  • troisièmement : appréhender le nouveau régime de responsabilité mis en place par le RGPD.

Programme détaillé.

(1)  Cnil, Rapport d’activité 2018




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




Juristendance Informatique et libertés 87 – 2019

Juristendance Informatique et Libertés 87Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés 87(bimestrielle) :

  • Tendance ADPO 2019 : le RGPD, un an et 50 millions € après
  • Point d’actualité sur la certification hébergeur de données de santé
  • Projet de loi des mobilités et accès aux données des véhicules connectés
  • RGPD un an après : quel bilan depuis son entrée en application effective ?
  • Le Conseil d’État valide la proportionnalité d’une sanction de la Cnil
  • Le réseau Lexing® vous informe sur l’application du RGPD
  • Obligation de sécurité : une sanction Cnil disproportionnée
  • Le droit d’opposition nécessite une situation particulière
  • L’application du RGPD en Nouvelle Calédonie
  • Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?
  • Successions : les héritiers face au compte Facebook du défunt
  • Data Protection Days : RGPD, responsable de traitement versus sous-traitant
  • Présentation du bilan d’activité 2018 et des enjeux 2019 de la Cnil

Restez également au cœur de l’actualité législative et jurisprudentielle avec nos programmes 2019 :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Juristendance Informatique et libertés 87, Mai-juin 2019.

De même, n’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Petit-déjeuner Informatique et libertés : bilan et perspectives

activité 2018 de la CnilAlain Bensoussan animera le 11 septembre 2019 un petit-déjeuner débat sur le thème « Informatique et libertés : Bilan et perspectives ».

Informatique et libertés : bilan d’activité de la Cnil

2018 restera comme l’année de l’entrée en application effective du RGPD et celle d’une phase de transition entre l’ancienne législation et la nouvelle.

La Cnil a rendu public en avril son dernier bilan d’activité. En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises.

Le dernier rapport d’activité de la Cnil montre une hausse considérable des plaintes (+32,5 %) dont un tiers concerne la diffusion de données sur internet, 21 % concerne la prospection (notamment pas SMS), 16,5 % le secteur du travail (vidéosurveillance, géolocalisation, cybersurveillance) et 8,9 % le secteur des banques et du crédit (fichiers d’incidents de la Banque de France).

Par ailleurs, au cours du dernier trimestre 2018, la Cnil signale avoir reçu de nombreuses demandes de particuliers ; ces dernier désireux d’exercer leurs droits (accès, opposition, portabilité) et d’obtenir des conseils pour faire aboutir leur demande.

Informatique et libertés perspectives : stratégie de contrôle de la Cnil pour 2019

La Cnil vient de mettre en ligne son sa stratégie de contrôle pour 2019.

Cette année, la Commission a annoncé concentrer son action sur trois grandes thématiques, directement issues de l’entrée en application du RGPD :

  • le respect des droits des personnes (droit d’accès, à l’oubli, à la portabilité des données, etc.) ;
  • le traitement des données des mineurs (réseaux sociaux, biométrie dans les écoles, etc.) ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants (contrats de sous-traitance).

Dans le cadre de ce petit-déjeuner débat, nous vous proposons de préciser les actions à mettre en œuvre pour assurer la conformité de vos activités à la nouvelle réglementation Informatique et libertés.

Le petit-déjeuner débat aura lieu le 11 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 

 




Classement Legal 500 2019 : Alain Bensoussan à l’honneur

Classement Legal 500 Alain Bensoussan à l’honneur

Alain Bensoussan est classé « Leading individual » dans la catégorie IT, télécoms & internet du classement Legal 500 2019

Legal 500 Paris vient de rendre public son classement EMEA 2019.

Alain Bensoussan y est classé « Leading individual » dans la catégorie IT, télécoms & internet.

C’est un honneur et une fierté pour le cabinet Lexing Alain Bensoussan Avocats, qualifié par Legal 500  » d’une des premières boutiques du marché à s’être historiquement spécialisée dans le secteur des nouvelles technologies  » et réputée pour  » son expertise s’agissant de la conduite de projets de transition numérique, du traitement de dossiers en matière de données personnelles, ainsi que pour ses compétences avancées sur les questions du droit des robots et de l’intelligence artificielle « .

The Legal 500 Paris est un ouvrage de référence pour des milliers de professionnels du droit des affaires, y compris de très nombreux juristes d’entreprises. Y sont classées près de 300 cabinets d’avocats opérant en France. The Legal 500 Paris offre une analyse détaillée de 45 domaines d’expertise juridique différents.

Le travail de recherche est effectué par une équipe de rédacteurs expérimentés qui s’entretiennent chaque année avec des centaines d’avocats et interrogent des milliers de clients. Ce sont sur ces bases que sont établis les classements.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Juristendance Informatique et libertés 86 – 2019

Juristendance Informatique et Libertés 86Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés 86 (bimestrielle) :

  • Nouveau protocole de coopération entre la Cnil et la DGCCRF
  • Brexit et transferts de données dans le cadre du RGPD
  • GRC et données personnelles : peut-on tout savoir sur ses clients ?
  • Documation 2019 : RGPD, êtes-vous sûr d’être en conformité ?
  • Cloud : quelles nouvelles contraintes réglementaires ?
  • Panorama du droit de la donnée en 2019, secteur social et médico-social
  • Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD
  • Tourisme d’affaires : quelles obligations dans la gestion des données
  • IP/IT : le cabinet à l’honneur du Guide Décideurs Innovation 2019
  • Les enjeux du RGPD : retour sur l’IT Tour 2018
  • (…)

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et libertés n°86 Mars-Avril 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Petit-déjeuner débat : la jurisprudence de la Cnil depuis le RGPD

jurisprudence de la CnilLe cabinet organise le 15 mai 2019 un petit-déjeuner débat intitulé : « La jurisprudence de la Cnil depuis l’entrée en application du RGPD », animé par Virginie Bensoussan-Brulé.

Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, elle intervient en conseil et contentieux dans les domaines du droit de la presse, droit pénal, ainsi qu’en contentieux en droit de l’internet et droit de la protection des données personnelles.

Le contentieux Cnil post RGPD

Depuis l’entrée en vigueur du RGPD le 15 mai 218, les pouvoirs de la Cnil se sont élargis. En effet, la Cnil peut effectuer des contrôles plus étendus et prononcer des sanctions plus sévères.

La Cnil a désormais le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitement (entreprises, associations, collectivités territoriales, administrations) pour vérifier l’application de la réglementation sur les données personnelles.

A l’issue de missions de contrôles ou sur plaintes, la Cnil peut prononcer diverses sanctions à l’égard des responsables de traitements ou des sous-traitants qui auraient commis un manquement à l’application de la réglementation sur les données personnelles.

Notamment, la Cnil peut prononcer une sanction pécuniaire d’un montant pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

Le 21 janvier 2019, la Cnil a prononcé une amende à l’encontre de la société Google LLC d’un montant de 50 millions d’euros.

Les objectifs du petit-déjeuner débat

Les objectifs du petit-déjeuner débat sont, par l’analyse de la jurisprudence de la Cnil, de :

  • connaître le pouvoir de contrôle et de sanction de la Cnil ;
  • savoir se défendre devant la formation restreinte de la Cnil ;
  • connaître l’actualité des décisions des autorités de contrôle européennes.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Juristendance Informatique et libertés n° 85 – 2019

Juristendance Informatique et Libertés 85Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et libertés bimestrielle) :

  • Vidéoprotection et vidéosurveillance : quelle distinction pour quels régimes ?
  • Blockchain et RGPD : les premiers éléments d’analyse de la Cnil
  • Réseaux sociaux : qui est propriétaire des données collectées ?
  • Données de géolocalisation: mises en demeure FIDZUP et SINGLESPOT
  • Système de géolocalisation de salariés : conditions de mise en place
  • RGPD : les labels Cnil attribués au cabinet Lexing en 2018
  • Algorithmes autoapprenants interdits de prise de décision
  • La sécurité européenne n’est pas négociable
  • Le statut de lanceur d’alerte reconnu aux inspecteurs du travail
  • La réécriture de la loi Informatique et libertés par ordonnance

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et libertés n°85 Janvier-Février 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Mise en demeure de la Cnil à l’encontre de la société Auxia

AuxiaLa société Auxia a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Auxia avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Auxia a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Auxia a utilisé ces données à des fins commerciales, et plus précisément pour proposer des produits d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

La Cnil a également constaté, que lors d’une campagne de prospection téléphonique, certaines conversations avaient été enregistrées sans que les personnes contactées ne soient systématiquement informées de cet enregistrement.

Il s’agit là d’un manquement au I de l’article 32 de la loi Informatique et Libertés, dans sa version applicable aux faits de l’espèce, qui impose de fournir à la personne concernée une information en cas d’enregistrement d’une conversation téléphonique.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Auxia en demeure de cesser le détournement de finalité précité et de procéder à l’information des personnes dont les données avaient été traitées, notamment en ce qui concerne les enregistrements téléphoniques, sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Auxia est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Auxia se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-036 du 25-9-2018
(2) Délibération n°2018-332 du 11-10-2018




Mise en demeure de la Cnil à la société Grand Est Mutuelle

Grand Est MutuelleLa société Grand Est Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

Au terme de ce contrôle, la Cnil a constaté que la société Grand Est Mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Grand Est Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Grand Est Mutuelle a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Grand Est Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le Bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Grand Est Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Grand Est Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-035 du 25-9-2018
(2) Délibération n°2018-329 du 11-10-2018




Mise en demeure Cnil à la société Mutuelle Humanis Nationale

Mutuelle Humanis NationaleLa société Mutuelle Humanis Nationale a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette mutuelle du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle la Cnil a constaté que la société Mutuelle Humanis Nationale avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Mutuelle Humanis Nationale a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Mutuelle Humanis Nationale a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Mutuelle Humanis Nationale en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Mutuelle Humanis Nationale est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Mutuelle Humanis Nationale se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018




Mise en demeure de la Cnil à la société Humanis Assurances

Humanis AssurancesLa société Humanis Assurances a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 13 février 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Humanis.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Humanis Assurances avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Humanis Assurances a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Humanis Assurances a utilisé ces données à des fins commerciales pour des produits et services qui sont proposés par les sociétés du groupe Humanis.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Humanis Assurances en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2) le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du Bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Humanis Assurances est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Humanis Assurances se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Décision n°MED-2018-037 du 25-9-2018
(2) Délibération n°2018-330 du 11-10-2018




Mise en demeure de la Cnil à la société Malakoff Médéric Mutuelle

Malakoff Médéric MutuelleLa société Malakoff Médéric Mutuelle a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.

Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société mutualiste du groupe de protection sociale Malakoff Médéric.

Un détournement de la finalité des données traitées

A l’issue de ce contrôle, la Cnil a constaté que la société Malakoff Médéric Mutuelle avait utilisé, à des fins de prospection commerciale, des données personnelles collectées exclusivement pour le versement des allocations de retraite.

En effet, la société Malakoff Médéric Mutuelle a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la société Malakoff Médéric Mutuelle a utilisé ces données à des fins commerciales, et plus précisément pour proposer des contrats d’assurance de personnes.

Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Malakoff Médéric Mutuelle en demeure de cesser ce détournement de finalité sous un mois.

Une mise en demeure de la Cnil rendue publique

Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.

On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.

En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Malakoff Médéric Mutuelle est justifiée par la nature du manquement constaté – un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes –, et sa gravité. Le nombre important de personnes concernées est également mentionné. Enfin, il est rappelé que la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.

Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite ne lui sera donnée si la société Malakoff Médéric Mutuelle se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.

Alexis Chauveau Maulini
Lexing Data Protection Officer secteur privé

(1) Cnil, Décis. n°MED-2018-034 du 25-9-2018
(2) Cnil, Délib. n°2018-333 du 11-10-2018




Juristendances Informatique et libertés n° 84 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés n°84, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°84, Novembre-Décembre 2018.




Juristendances Informatique et libertés n° 82 – 2018

informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés du mois de juillet-août, notre classement parmi les Best Lawyers édition 2019

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Interviews et vie du cabinet

Outils et nouveautés

Formations Informatique et libertés

Enfin, à signaler, dans la Lettre Juristendance Informatique et libertés, nos petits-déjeuners à venir (Programme).

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°82, Juillet-août 2018.




Petit-déjeuner Informatique et libertés Bilan et perspectives

Informatique et libertés bilanPetit-déjeuner du 12 septembre 2018 « Informatique et libertés Bilan et perspectives » – Alain Bensoussan.

Informatique et libertés Bilan

Le dernier rapport d’activité de la Cnil montre que l’an dernier, le régulateur a reçu un nombre record de plaintes (8360) et de demandes de droit d’accès (4039) et son site Web n’a jamais été autant consulté (4,4 millions de visites).

En 2017, la Cnil a :

  • effectué 341 contrôles dont 47 concernant la vidéoprotection ;
  • réalisé 79 mises en demeure dont 6 publiques ;
  • prononcé 14 sanctions dont une amende de 150 000 € à l’encontre de Facebook, 100 000 € à l’encontre de la société Google Inc., 40 000 € à l’encontre d’une société de location de véhicule,  25 000 € à l’encontre de l’éditeur de 4 sites, 15 000 € à l’encontre d’une société de transport de particuliers.

73 % des contrôles réalisés ont concerné les entreprises du secteur privé, contre 27 % celles du secteur public.

Informatique et libertés perspectives : le programme des contrôles Cnil

A l’heure où la Cnil vient de mettre en ligne son programme des contrôles pour 2018, l’année s’annonce riche en actions.

En 2018, la Cnil contrôlera le respect du RGPD entré en application depuis le 25 mai 2018 et portera particulièrement son attention sur les secteurs :

  • RH (traitements liés au recrutement)
  • immobilier (pièces justificatives demandées par les agences immobilières) et
  • prestataires liés au contrôle du stationnement (gestion du stationnement payant au moyen d’équipements connectés).

300 contrôles sur place, sur audition, sur pièces et en ligne sont planifiés. La Cnil a toutefois annoncé que les contrôles sur les nouvelles exigences du règlement ne commenceront pas avant la fin de l’année, ce qui laisse encore quelques mois pour se mettre en conformité…

Dans le cadre de ce petit-déjeuner débat, nous vous avons proposé de préciser les actions à mettre en œuvre par les entreprises pour assurer la conformité de leur activité à la réglementation Informatique et libertés.

Le petit-déjeuner débat a eut lieu dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes




Juristendances Informatique et libertés n° 81 – 2018

Informatique et libertésA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la 2ème édition du Minilex Data Protection Officer aux éditions Larcier.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

Articles Juristendances Informatique et libertés

Interviews et vie du cabinet

Outils et nouveautés

Formations

Enfin, à retenir dans la Lettre Juristendance Informatique et libertés nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°81, Mai-Juin 2018




Faire face à un contentieux Informatique et libertés devant la Cnil

contentieux Informatique et libertés« Faire face à un contentieux Informatique et libertés devant la Cnil » est le thème du petit-déjeuner débat animé par Virginie Bensoussan-Brulé le 20 juin 2018.

La Commission nationale de l’informatique et des libertés a le pouvoir d’effectuer des contrôles sur place, sur pièces, sur audition ou en ligne auprès de l’ensemble des responsables de traitements (entreprises privées, associations, collectivités territoriales, administrations) et de leurs sous-traitants pour vérifier l’application de la réglementation sur la protection des données personnelles.

A l’issue de missions de contrôle ou sur plaintes, la Commission peut prononcer diverses sanctions à l’égard des responsables de traitements et de leurs sous-traitants qui auraient commis un manquement à la réglementation sur la protection des données personnelles.

Elle peut notamment prononcer une sanction pécuniaire pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Cette sanction peut être rendue publique.

La Commission peut également dénoncer au procureur de la République les infractions à la loi Informatique et libertés prévues aux articles 226-16 et 226-24 du Code pénal. Virginie Bensoussan-Brulé le 20 juin 2018

Un contentieux devant la Cnil représente un enjeu majeur pour les responsables de traitement concernés, compte tenu des risques financiers et en termes d’image.

Afin de faire face à un contentieux Informatique et libertés devant la Cnil, Virginie Bensoussan-Brulé vous aide à  :

  • Identifier les différentes infractions à la loi Informatique et libertés ;
  • Se préparer aux contrôles de la Cnil ;
  • Élaborer un plan d’action pour répondre aux mises en demeure et rapports en cas de procédure contentieuse Cnil ;
  • Savoir se défendre devant la formation restreinte de la Cnil ;
  • Comprendre le nouveau régime de responsabilité mis en place par le RGPD.

Ce petit-déjeuner débat s’est déroulé le 20 juin 2018 dans nos locaux situés immeuble Cap Etoile 58, boulevard Gouvion-Saint-Cyr 75017 Paris.

Inscription close




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




Juristendances Informatique et libertés n° 80 – 2018

A retenir dans la Lettre JuristendancesA retenir dans la Lettre Juristendances Informatique et libertés bimestrielle, la parution du Guide pratique RGPD-GDPR Compliant d’Umanis élaboré par Lexing Alain Bensoussan Avocats.

Parmi les actualités à retenir dans la Lettre Juristendances Informatique et libertés figurent également :

ARTICLES JURISTENDANCES :

INTERVIEWS ET VIE DU CABINET

OUTILS ET NOUVEAUTÉS

Enfin, à retenir dans la Lettre Juristendance Informatique nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendances Informatique et libertés n°80, Mars-avril 2018