Wikipédia : quelles règles juridiques pour la plus grande encyclopédie en ligne ?

Wikipédia« Wikipédia en français, côté coulisses » : c’était le thème de l’émission Smart Tech du 20 juillet 2020 animée par Delphine Sabattier, à laquelle participait Marie Soulez sur la chaîne d’information économique & financière ‪B Smart.‬

Que faire quand une fiche wikipédia vous concernant contient des erreurs ? Pourquoi est-ce souvent si difficile de la faire corriger ? Quelles règles juridiques s’appliquent à l’incontournable encyclopédie en ligne ? Quel est son statut ?

Autant de questions au programme de l’émission animée par Delphine Sabattier le 20 juillet dernier sur B Smart TV intitulé « Wikipédia en français, côté coulisses », thème auquel la journaliste a d’ailleurs consacré un article dans le dernier numéro de magazine Society (D. Sabattier, L’âge bête de Wikipédia, Society, 9-22 juillet 2020, p. 12).

Wikipédia : collaboration collective et neutralité imposée

Comme l’explique Delphine Sabattier, en introduction du débat auquel participait également Rémy Gerbais, délégué oéprationnel de Wikimédia France, beaucoup des questions susvisées trouvent leur réponse dans le fait que « Wikipédia repose sur un principe à la fois de collaboration collective et de neutralité imposée ».

Marie Soulez

L’occasion pour Marie Soulez de décrypter les enjeux juridiques et les règles de droit applicables à l’incontournable encyclopédie collaborative.

Morceaux choisis :

Quelles sont les règles applicables à Wikipédia, et notamment au regard du droit des données à caractère personnel ? Selon Marie Soulez,

La réglementation sur les données personnelles s’applique à la fois au niveau des contributeurs mais également au niveau des personnes identifiées dans les publications. En tant qu’hébergeur de contenus, Wikipédia est tenu de conserver un ensemble de données permettant l’identification des personnes qui y contribuent ; en ce qui concerne les données apparaissant dans les publications, Wikipédia étant une encyclopédie à vocation d’information du public, un équilibre nécessaire est à trouver entre la préservation du droit à l’information et celui, pour des particuliers, à ne pas avoir un « casier judiciaire à vie » sur Internet ».

Quel est le statut de Wikipédia ? Marie Soulez rappelle la position prise par la Cour d’appel de Paris en 2014 :

Wikipédia qui n’est pas un éditeur de presse, ne peut être tenu responsable de la publication des contenus qu’il publie ».

Wikimedia, à travers la plateforme Wikipédia, n’est qu’un hébergeur de contenus tiers. La loi du 21 juin 2004 est venue poser les jalons en matière de responsabilité de ces hébergeurs, qui ne peuvent être tenus responsables des contenus publiés par des tiers. En effet, face à l’impossibilité de contrôler l’ensemble des contenus publiés, le législateur a exonéré l’hébergeur d’une telle responsabilité, notamment en ne mettant à sa charge aucune obligation générale de surveillance. Ainsi, c’est le contributeur qui est responsable de la publication des propos litigieux. Toutefois, la responsabilité de Wikimédia pourra être engagée si, après notification du demandeur de sa volonté de voir un contenu supprimé et analyse dudit contenu, l’encyclopédie maintien la publication litigieuse ».

Le droit français a-t-il vocation à régir la responsabilité de Wikipédia, entité française mais dépendante de Wikimedia, organisation américaine ?

Les contenus publiés par Wikimédia sont orientés vers le public français. À ce titre-là, bien que Wikimédia soit une entité américaine, le droit français s’applique en vertu de la théorie dite de l’orientation ».

Beaucoup d’affaires touchant aux droits des personnes sur Wikipédia donnent-elles lieu à un procès ?

Lorsque la Cour de Justice de l’Union Européenne a rendu son arrêt sur le droit à l’oubli le 13 mai 2014, une des premières cibles a été Wikipédia. De nombreux demandeurs ont voulu exercer leur droit à l’oubli pour des contenus publiés sur l’encyclopédie en ligne. Toutefois très peu d’affaires sont arrivées en justice : les règles de la communauté Wikipédia, notamment la modération dans la publication de contenus, permettent la résolution des litiges et la suppression des contenus a posteriori ».

Concrètement, que faire lorsqu’on souhaite voir supprimer des informations publiées sur sa page Wikipédia ?

Il ne sera bien sûr pas possible de supprimer une information du seul fait qu’elle déplait. Cela nécessite un contenu inexact, illicite, diffamatoire voire injurieux. Si tel est le cas, il sera possible de mettre en œuvre les actions judiciaires susceptibles de mener à la suppression du contenu (…). Il existe de nombreuses procédures judiciaires d’urgence : référés, lorsqu’un dommage imminent préjudiciable existe, ou encore requêtes judiciaires qui se démarquent par la non-contradiction du défendeur. Bien sûr, les procédures au fond subsistent lorsque les procédures d’urgences n’ont pas permis la réparation du préjudice. »

Voir l’intégralité du débat dans l’émission Smart Tech de la chaîne B Smart (débute à 12:00), Le magazine quotidien de l’innovation, émission du lundi 20 juillet 2020.

Eric Bonnet
Directeur de la communication juridique
Avocat, Lexing Alain Bensoussan Avocats




Caméras intelligentes et caméras thermiques face au COVID-19

Caméras intelligentes et caméras thermiques

Pour prévenir et évaluer le risque de contagion au COVID-19, des dispositifs de caméras intelligentes et caméras thermiques sont déployés sur la voie publique, dans et aux abords des commerces, dans les transports en commun et sur les lieux de travail.

Caméras intelligentes et caméras thermiques : les garanties à respecter

La Cnil indique qu’il s’agit en pratique « soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants, soit du déploiement de nouveaux systèmes vidéo dédiés : dispositifs de prise de température automatique ‘caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc. » (1).

La pandémie actuelle ne suspend pas les droits des personnes concernées par l’usage de caméras intelligentes et caméras thermiques.

À ce jour, aucun texte spécifique n’encadre le recours à des caméras « intelligentes » et des caméras thermiques.

Cependant, lorsque ces dispositifs collectent des données personnelles, une réglementation (RGPD et Loi du 6 janvier 1978) spécifique s’applique. Par exemple, lorsqu’une image permet d’identifier la personne concernée, le dispositif relève de cette réglementation.

Par conséquent, des garanties doivent assortir la mise en place de tels dispositifs pour respecter cette réglementation :

  • la démonstration du caractère nécessaire et proportionné ;
  • la limitation de la durée de conservation des données ;
  • l’instauration de mesures de pseudonymisation ou d’anonymisation ;
  • l’absence de suivi individuel.

La Cnil indique que « si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD ».

Par ailleurs, la mise en place d’un dispositif de vidéoprotection doit respecter les dispositions du Code de la sécurité intérieure (articles L.251-1 et suivants).

Intelligents ou thermiques : ces dispositifs nécessitent une vigilance accrue

Eviter toutes dérives : sentiment de surveillance, accoutumance, banalisation de technologies intrusives.

Il est donc primordial de concilier la salubrité publique :

  • au droit à la vie privée et à la protection des données personnelles,
  • à la liberté d’aller et venir,
  • à la liberté d’expression et de réunion,
  • au droit de manifester et
  • à la liberté de conscience et d’exercice du culte.

La Cnil a déjà eu l’occasion d’appeler à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018 et plus spécifiquement concernant la reconnaissance faciale en novembre 2019.

Elle émet des réserves sur le recours aux caméras thermiques puisqu’il ne permet pas de détecter les personnes asymptomatiques. Par ailleurs, il peut être contourné par la prise de médicaments réduisant la température corporelle.

La Cnil met en garde contre les déviances du déploiement de caméras intelligentes et caméras thermiques.

Elle indique que « lorsqu’ils constituent des traitements automatisés de données personnes et relèvent à ce titre du RGPD, de tels dispositifs conduisent le plus souvent soit à traiter des données sensibles sans le consentement des intéressés (notamment la température), soit à écarter le droit d’opposition ».

En l’absence de texte juridique spécifique à l’usage de caméras intelligentes, la Cnil appelle donc les acteurs à la plus grande vigilance afin d’éviter de multiplier et de pérenniser les dispositifs de surveillance par caméras.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Cnil, « Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la Cnil et les règles à respecter », 17 juin 2020.




La Cnil publie son rapport annuel pour 2019

rapport annuel pour 2019Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.

Le rapport d’activité de la Cnil 2019, qui coïncide avec l’année de son 40ème anniversaire, est rendu public au moment où le Règlement général sur la protection des données (RGPD) vient de fêter le 25 mai 2020 le deuxième anniversaire de son entrée en application effective.

Nul doute dans ces conditions que ce texte qui a transformé en profondeur le droit de la protection des données à caractère personnel en Europe soit une nouvelle fois au cœur du rapport annuel pour 2019. C’est d’ailleurs le « constat indéniable » que souligne en avant-propos sa présidente Marie-Laure Denis : « L’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens ».

Une très forte mobilisation autour du RGPD de la part de tous les publics

Le rapport souligne ainsi que 68 % des Français se déclarent plus sensibles à la question de la protection de leurs données personnelles. Un taux qui s’explique, selon la Cnil, en partie par « la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée ».

Cela s’est traduit en 2019, en 2019, par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5 %.

La Cnil a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79 % en cinq ans.

L’autorité indique que les 2 287 notifications de violations de données personnelles reçues en 2019 lui permettent également « d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité ».

En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la Cnil a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Le rapport annuel pour 2019 dresse le bilan de l’activité de contrôle et de sanction de la Cnil

Revenant sur l’entrée en application effective du RGPD et la mise en conformité du droit national qui en a découlé, la présidente Marie-Laure Denis souligne que la Cnil s’est « pleinement emparée du nouveau cadre juridique », ayant « activé les nouveaux seuils de sanction prévus par le RGPD, à l’image de la sanction Google de janvier 2019, qui reste encore, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données ».

Le rapport annuel pour 2019 souligne que pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la Cnil s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD.

Pour ce faire, l’autorité dispose aujourd’hui d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.

L’activité de la Cnil en quelques chiffres

En 2019, la Cnil a ainsi procédé à 300 contrôles dont :

  • 169 contrôles sur place ;
  • 53 contrôles en ligne ;
  • 45 contrôles sur pièce ;
  • 18 auditions.

8 sanctions ont été prononcées en 2019, dont :

  • 7 amendes d’un montant total de 51 370 000 euros ;
  • 5 injonctions sous astreinte.

Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.

42 mises en demeure ont par ailleurs été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.

Le rôle de conseil de la Cnil aux pouvoirs publics et au Parlement

En 2019, la Cnil a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.

Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la Cnil rappelle qu’elle a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.

La Cnil et l’accompagnement des professionnels

La Cnil aura également consacré l’année 2019 au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.

La coopération européenne renforcée

La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la Cnil a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la Cnil participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la Cnil était « chef de file » sur 54 cas.

Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.

Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).

La Cnil et les enjeux 2020

Dans son rapport annuel pour 2019, la Cnil revient sur son plan d’action sur les cookies.

Concernant le ciblage publicitaire en ligne, la Cnil rappelle qu’elle a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs :

  • répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et
  • accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD.

Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la Cnil publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

Les actions menées par la Cnil durant l’état d’urgence sanitaire

Dans le contexte de la crise sanitaire liée au Covid-19, le rapport annuel pour 2019 rappelle que la Cnil est plus que jamais mobilisée pour protéger la vie privée et les libertés des personnes.

Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.

L’autorité s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.

En outre, la Cnil a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la Cnil va désormais procéder à une série de contrôles de ces outils.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

Commission Nationale de l’Informatique et des Libertés
Rapport d’activité 2019
Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles
La Documentation française, 112 pages, Juin 2020.

V. également le dossier de presse du 9 juin 2020.




Registre d’identification des salariés atteints du Covid-19

identification des salariés atteints du Covid-19L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?

L’obligation de sécurité de l’employeur face au Covid-19

Au nom de son obligation de sécurité, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » (Article L.4121-1 du Code du travail). Cette obligation passe notamment par :

  • des actions de préventions des risques professionnels ;
  • des actions d’information et de formations ;
  • la mise en place d’une organisation et de moyens adaptés.

L’employeur doit garantir la sécurité des salariés dans ce contexte de déconfinement et de retour des salariés dans les locaux. Il est donc confronté à la problématique d’identification des salariés infectés pour éviter une propagation du virus au travail.

L’identification des salariés atteints du Covid-19

Le Ministère du travail a publié des fiches conseils par métier à destination des salariés et des employeurs afin de les accompagner dans la mise en œuvre de mesures de protection contre le Covid-19 sur le lieu de travail (Fiches conseils métiers publiés par le Ministère du travail).

De plus, il est important pour l’employeur de pouvoir être informé lorsque ses collaborateurs ont été contaminés par le Covid-19. Ils seront ainsi identifiés et des mesures seront prises pour éviter toute contamination générale  comme :

  • le placement en quatorzaine ;
  • l’information des personnes ayant été en contact avec le salarié concerné, dans le respect de sa vie privé.

L’employeur peut donc, pour raison de sécurité, créer un registre d’identification des salariés infectés, ayant été exposés ou suspectés.

Le respect du principe de protection des données à caractère personnel

Cependant, s’il met en place un tel registre, il doit le faire dans le respect des principes encadrant la protection des données à caractère personnel prévus à l’article 5 du RGPD et notamment :

  • principe de minimisation des données traitées : seules les données strictement nécessaires à l’accomplissement de la finalité du traitement peuvent être traitées. Par exemple :
    • identité du salarié,
    • situation de télétravail ou non et durée,
    • visite auprès de la médecine du travail,
    • date de signalement.
  • principe d’exactitude des données traitées : les données traitées doivent être mises à jour en fonction de la situation du salarié. Par exemple :
    • cas d’un salarié suspecté d’avoir été exposé au Covid-19 qui réalise un test et qui informe l’employeur du résultat positif ou négatif.
  • limitation des durées de conservation : les données permettant l’identification de la personne ne doivent pas être conservées au-delà de ce qui est strictement nécessaire au regard des finalités poursuivies. Ceci implique qu’elles ne soient pas être conservées au-delà de la période d’épidémie en cours.

Emmanuel Walle
Elena Blot
Lexing Département social numérique




Parution du Minilex DPO édition 2020

DPOLa 3ème édition du Minilex DPO 2020 qui vient de paraître aux Editions Larcier fait le point sur le rôle du délégué à la protection qu’a instauré le RGPD. Il est à jour des deux référentiels de certification des compétences élaborés par la Cnil en 2019.

Les compétences requises pour exercer cette fonction sont autant juridiques que techniques, organisationnelles et stratégiques. Le délégué à la protection doit, en effet, pouvoir dialoguer non seulement avec la direction générale mais également avec les directions opérationnelles notamment des aspects techniques liés aux exigences de protection des données « dès la conception » et de sécurité « par défaut ».

Dans le DPO édition 2020 vous trouverez :

  • Comment choisir son délégué ?
  • Quels sont ses missions, pouvoirs et responsabilités ?
  • Sur quelles bases peut-il être sanctionné ?
  • Quels sont les outils nécessaires au délégué pour exercer ses missions ?
  • Quelles sont les obligations du délégué en matière de sous-traitance ?
  • Une sanction pécuniaire administrative est-elle assurable ?
  • Comment assurer le droit d’accès aux données par les personnes concernées ?

Le délégué apparaît comme un des acteurs incontournables du traitement des données personnelles de l’entreprise. Et même dans les cas où sa désignation est facultative, celle-ci facilitera la conformité au RGPD et à la loi informatique et libertés modifiée en juin 2019.

Par des experts de l’Association des Data Protection Officers

Réalisé par des avocats et des DPO de grands groupes tous membres de l’Association des Data Protection Officers (ADPO), cet ouvrage est le fruit de leur expérience.

La troisième édition de cet ouvrage recueille le témoignage de nouveaux experts dans le domaine des services aux entreprises et administrations, de la banque, de la finance et de l’assurance, qui permettront d’accompagner au mieux les délégués dans leurs nouvelles fonctions.

Le DPO 2020 aux éditions Bruylant

Le Minilex « Le Data Protection Officer : une nouvelle fonction dans l’entreprise » est paru chez Bruylant, Editions Larcier, dans la collection Lexing-Technologies avancées & Droit.

Cet livre fait partie de la collection des Minilex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie.

Les auteursVirginie Bensoussan-Brulé, Nadine Chaussier, Hind Chenaoui, Dominique Entraygues, Frédéric Forster, Fabien GandrilleBertrand Lapraye, Hélène Legras, Laurence Legris, Amal Marc, Chloé Torres.




Base légale d’un traitement de vidéosurveillance

traitement de vidéosurveillanceDans un arrêt du 11 décembre 2019 (Aff. C-708/18), la CJUE valide l’intérêt légitime comme base légale d’un traitement de vidéosurveillance, précisant les trois conditions devant être remplies : la poursuite d’un intérêt légitime, la nécessité du traitement pour la réalisation d’un traitement légitime et la conciliation entre les droits et libertés fondamentaux des personnes concernées, ces derniers ne devant pas prévaloir sur l’intérêt légitime poursuivi.

En l’occurrence, le litige concernait l’installation de caméras de vidéosurveillance dans un immeuble en Roumanie, installation que l’un des propriétaires considérait comme une violation de son droit au respect de sa vie privée. La CJUE était alors notamment saisie de la question de savoir si le traitement de vidéosurveillance, mis en place pour assurer la garde et la protection des personnes, biens et actifs, pouvait être fondé sur l’intérêt légitime, sans le consentement des personnes concernées.

L’intérêt légitime comme base légale du traitement

Dans l’affaire concernée, la copropriété de l’immeuble avait mis en place un système de vidéosurveillance pour contrer les nombreux cambriolages et actes de vandalismes qui avaient été perpétrés. La CJUE considère dans un premier temps que la protection des biens et des personnes constitue effectivement un intérêt légitime, précisant que ce dernier devait être démontré, à savoir être né et actuel à la date du traitement, et ne pas présenter un caractère hypothétique. La Cour précise néanmoins qu’il n’est pas nécessaire qu’il ait été porté atteinte à la sécurité des biens et des personnes pour accepter l’existence de l’intérêt légitime.

La CJUE examine dans un second temps si le traitement de vidéosurveillance constituait l’unique moyen de parvenir à lutter efficacement contre les menaces pesant sur les biens et personnes, à savoir s’il n’existait pas un autre moyen moins attentatoire aux libertés et droits fondamentaux des personnes concernées. En l’espèce, la copropriété avait antérieurement vainement tenté de mettre en place des mesures alternatives. En outre, la nécessité et proportionnalité du traitement implique la minimisation des données qui sont collectées. Les caméras de vidéosurveillance ne permettaient en l’espèce que de filmer les parties communes de l’immeuble et les voies d’accès à celui-ci.

Enfin, la CJUE rappelle que doivent être mis balance les droits et intérêts opposés ; doivent être ainsi pris en compte le caractère éventuellement sensible des données traitées, ainsi que la nature et les modalités du traitement. En l’occurrence, la CJUE a fait prévaloir l’importance de la sécurité voulue par les copropriétaires sur l’atteinte à la vie privée, jugeant par conséquent que le dispositif de vidéosurveillance était valide, même sans le consentement des personnes concernées.

Parallélisme avec les recommandations de la Cnil

La Cnil permet que la base légale d’un traitement de vidéosurveillance soit l’intérêt légitime dans un cadre de prévention, c’est-à-dire sans qu’il n’y ait eu antérieurement d’atteintes effectives. Il est dès lors tout à fait possible d’avoir recours à des systèmes de vidéosurveillances dans un immeuble, dès lors que les caméras ne filment que les espaces communs, et ne soient pas orientées vers des espaces privés (balcons, fenêtres, etc.).

Si un tel système est mis en place par une copropriété, seul le syndic ou le gestionnaire peuvent avoir accès aux images qui ne doivent être visionnées qu’en cas d’incident et conservées pour une durée d’un mois maximum. Enfin, conformément à l’obligation d’information prévue aux articles 12 à 14 du RGPD et 48 et suivants de la loi n° 78-17 du 6 janvier 1978, les personnes concernées par le traitement doivent être informées des éléments suivants :

  • le responsable de traitement, ses nom et adresse ainsi que ceux du Délégué à la protection des données (DPD ou DPO pour Data Protection Officer) ;
  • la finalité du dispositif ;
  • la base légale du traitement ;
  • les destinataires des données ;
  • la durée de conservation des images ;
  • la possibilité d’introduire une réclamation auprès de la Cnil.

En conclusion, si l’intérêt légitime peut constituer une base légale du traitement de vidéosurveillance, le responsable de traitement doit toujours procéder à une mise en balance des intérêts en présence, conformément aux lignes directrices du CEPD.

Virginie Bensoussan-Brulé
Chloé Perruchot
Lexing Contentieux du numérique




Mairies : se préparer et réagir en cas d’incident de sécurité

incident de sécuritéLe RGPD impose aux mairies de prendre des mesures pour prévenir tout incident de sécurité et réagir de manière appropriée en cas de violation de données.

L’obligation générale de sécurité des mairies

Comme tout responsable de traitement de données personnelles, les mairies et autres collectivités territoriales sont soumises à une obligation générale de sécurité imposée par le RGPD. Les articles 33 et 34 du RGPD précisent les obligations qui pèsent sur les mairies qui traitent des données à caractère personnel. Au titre de ce principe essentiel, ces organismes doivent mettre en place des mesures visant à :

  • prévenir tout incident de sécurité ;
  • réagir de manière appropriée en cas de violation de données, c’est-à-dire mettre fin à la violation et minimiser ses effets.

Guide Anssi de la sécurité dans les mairies

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’Anssi a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ».

Parmi les 7 fiches que comporte ce guide, l’une s’intitule : « Se préparer et réagir en cas d’incident de sécurité ». Cette fiche a notamment pour objectif d’expliciter les modalités de mise en œuvre du principe général de sécurité dans les mairies ou tout autre collectivité territoriale. La fiche s’inspire d’une méthodologie décrite dans de nombreuses normes ISO, en organisant le processus de gestion des incidents de sécurité autour du cycle suivant.

La préparation – Lors d’une indispensable phase préliminaire de préparation, la mairie doit à la fois définir ce qu’elle considère comme un incident de sécurité et l’organisation qu’elle entend mettre en place autour de la gestion de ces incidents de sécurité. La mairie doit ensuite communiquer en interne, sensibiliser ses collaborateurs et régulièrement auditer les procédures mises en place.

La détection – L’enjeu de la phase de détection pour les mairies est de pouvoir identifier les incidents de sécurité le plus tôt possible afin d’en limiter les conséquences, notamment sur les données personnelles. Cette phase nécessite de combiner une veille constante, l’utilisation d’outils de supervision et de permettre une remontée d’informations efficace.

L’évaluation – Cette phase de filtre consiste à analyser les événements de sécurité à l’aide des critères préalablement définis lors de la phase de préparation et ainsi permettre de les catégoriser en tant qu’incident de sécurité pour pouvoir y réagir.

La réaction – Lorsqu’un incident de sécurité est identifié il est indispensable pour la mairie concernée de remplir ses obligations de notification aux autorités dans le respect des délais imposés (Cnil, Anssi, etc). Par exemple, en cas de violation de données présentant un risque au regard de la vie privée des personnes concernées, l’article 33 du RGPD impose une notification de l’incident de sécurité à la Cnil dans un délai de 72 heures. En outre, dans cette hypothèse l’article 34 du RGPD impose aussi à la mairie de communiquer à la personne concernée l’information selon laquelle elle a été victime d’une violation de données à caractère personnel.

Il convient ensuite de traiter l’incident de sécurité, en prenant toutes les mesures nécessaires afin de limiter la propagation ou la gravité de l’incident. Il est aussi nécessaire de collecter des enregistrements pour conserver des preuves, afin que la mairie puisse être en mesure de déposer plainte si elle l’estime nécessaire.

Tirer les enseignements d’un incident de sécurité

Après la résolution de l’incident de sécurité, la mairie concernée doit prendre le temps d’analyser les causes ayant engendré l’incident et la manière dont elle a su ou non réagir. Cette phase doit permettre la mise en place d’un plan d’action préventive de nature à empêcher la survenance d’un incident similaire.

Enfin, cette phase est aussi l’occasion pour la mairie concernée d’actualiser et d’enrichir les mesures mises en œuvre durant la phase de préparation.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Anne Renard
Directeur Conformité & Certification
Louis Montecot Grall




Sécurité numérique des mairies : l’essentiel de la réglementation

Sécurité numérique des mairiesRGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.

Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.

Le cadre règlementaire de la sécurité numérique des mairies

Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :

  • le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
  • le renforcement de la sécurité des données à caractère personnel ;
  • la transformation numérique des administrations ;
  • le renforcement de la sécurité des acteurs critiques pour l’État.

Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.

Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.

Les grands principes de la sécurité numérique des mairies

Cette réglementation s’articule autour de trois principes fondamentaux :

  • la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
  • la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
  • l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.

Le guide ANSSI

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :

  • FICHE 1 : Aide à la mise en œuvre des réglementations
  • FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
  • FICHE 3 : L’usage de la signature électronique
  • FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
  • FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
  • FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
  • FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS

Anne Renard
Lexing Conformité et certification




La Cnil et la reconnaissance faciale aux abords des lycées

reconnaissance faciale aux abords des lycéesAlain Bensoussan évoque pour Digital Mag la reconnaissance faciale aux abords des lycées et les précisions apportées par la Cnil.

Saisie d’une expérimentation prévoyant le recours à la reconnaissance faciale à l’entrée de deux lycées marseillais et niçois, la Cnil a considéré que « ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités » (Séance plénière du 17 octobre 2019).

Reconnaissance faciale aux abords des lycées : les données sensibles d’un public… sensible

S’agissant de mineurs de plus de 15 ans, même si leur consentement était acquis, la question se pose d’un choix réel et non contraint. Par ailleurs, la sécurisation des données biométriques est toujours problématique et ce proportionnellement au risque important d’atteinte aux libertés individuelles des personnes concernées.

Après un examen attentif du projet, la Cnil a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).

En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

Les technologies de reconnaissance faciale présentent beaucoup d’intérêt en matière de sûreté et de sécurité, mais elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles.

Ces technologies soulèvent encore de nombreuses questions non résolues. C’est pourquoi la Cnil a appelé à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan,  « Reconnaissance faciale aux abords des lycées, les précisions de la Cnil », DigitalMag n° 258 p.42-43 décembre 2019.




Les contrats cloud Microsoft rattrapés par le RGPD

contrats cloud MicrosoftDepuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

  • l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
  • l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
  • la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

  • Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
  • La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
  • On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
  • Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.




La Cnil lance une plateforme Données & design RGPD

plateforme Données & designLe Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

  • le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
  • le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
  • plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

  • la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
  • la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
  • la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




Intelligence économique : conférence à l’IHEDN sur le RGPD

conférence à l’IHEDN

Virginie Bensoussan-Brulé évoque l’impact du RGPD lors d’une conférence à l’IHEDN le 11 octobre 2019 dans le cadre d’un cycle dédié à l’intelligence économique.

L’Institut des Hautes Etudes de Défense Nationale (IHEDN) organise chaque année depuis 1996 plusieurs cycles de formation à l’intelligence économique et stratégique, à destination des cadres des secteurs public et privé.

Conférence à l’IHEDN

L’objectif de ces formations : s’approprier les concepts d’Intelligence économique, les méthodes d’organisation et les outils utiles pour le management de l’information stratégique.

Le programme des cycles s’articule autour de modules thématiques de présentations générales, de retours d’expériences et d’exercices.

Le programme traite de l’organisation de l’Etat en matière d’Intelligence économique et principalement des métiers et fonctions qui participent à la mise en place d’une démarche d’Intelligence économique dans une organisation.

Le programme comprend différents modules thématiques dont l’un est consacré à « La sécurité économique ».

C’est dans le cadre de ce module que Virginie Bensoussan-Brulé, avocate, directrice du Pôle Droit pénal numérique du cabinet Lexing Alain Bensoussan Avocats, prononce une conférence à l’IHEDN dans le cadre du 66ème cycle Intelligence économique et stratégique (IES), cette conférence est dédiée aux impacts du RGPD.

Cette conférence se déroule le vendredi 11 octobre 2019 de 16h15 à 17h45.

Eric Bonnet
Avocat
Directeur de la communication juridique




Guide de la Cnil pour la mise en conformité des mairies au RGPD

guide de la Cnil pour la mise en conformité des mairies au RGPDCe « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].

Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD

Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].

Principaux changements pour les mairies depuis l’entrée en application du RGPD

Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :

  • l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
  • la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
  • l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Mise à disposition d’outils à destination des collectivités territoriales

Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :

  • un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
  • des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
  • des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
  • une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
  • un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.

Focus sur les missions du Délégué à la Protection des Données (DPD)

Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.

L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).

Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales

Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.

La Cnil précise notamment les règles concernant les traitements suivants :

  • équipement des agents de police municipale de caméras mobiles ;
  • dispositifs de lecture automatisée des plaques d’immatriculation ;
  • gestion des téléservices des mairies.

Analyses d’impact au sein des collectivités territoriales

Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.

Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.

Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.

Anne Renard
Alicia Béré
Lexing Conformite et certification

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment




Petit-déjeuner : Le droit des contrats à l’épreuve du RGPD

contrats à l'épreuve du RGPDLe cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




RGPD et Data : quels outils pour quelles obligations ?

quels outils pour quelles obligationsLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

RGPD/GDPR : quels outils pour quelles obligations ?

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 1er octobre et 15 novembre 2019 et présentera quels outils pour quelles obligations en abordant les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Formation au contentieux informatique et libertés

informatique et libertésLe cabinet anime une formation sur le contentieux informatique et libertés pour Lamy Formation (Wolters Kluwer).

Le contentieux informatique et libertés

Cette formation est assurée par Virginie Bensoussan-Brulé, les 1er octobre et  29 novembre 2019 et abordera notamment :

  • Les infractions à la loi Informatiques et libertés (Panorama des infractions à la loi Informatique et libertés, peines principales et peines complémentaires) ;
  • Pouvoir de sanction de la Cnil (sanctions administratives correctrices et financières) ;
  • La procédure devant la formation restreinte de la Cnil (Aspects procéduraux et mise en situation) ;
  • Les nouvelles règles de responsabilité issues du RGPD (régime de responsabilité et de réparation).

Dans cette formation au contentieux informatique et libertés, les objectifs sont triples :

  • premièrement : identifier les différentes infractions à la réglementation sur les données personnelles ;
  • deuxièmement : savoir se défendre devant la formation restreinte de la Cnil ;
  • troisièmement : anticiper le nouveau régime de responsabilité mis en place par le RGPD.

Programme détaillé.




Aspects contractuels de la protection des données – RGPD et loi I & L modifiée

Aspects contractuels de la protection des données Le cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




Webinar RGPD spécial cabinets d’avocats : élaborer son registre des activités de traitement

Webinar RGPD spécial cabinets d'avocatsAnne Renard anime un webinar RGPD spécial cabinets d’avocats avec notre partenaire Wolters Kluwer le 5 juillet 2019.

Au programme : la cartographie et l’élaboration du registre des activités de traitement d’un cabinet d’avocats.

La question de la protection des données à caractère personnel est plus que jamais au cœur des préoccupations de toute entreprise ou organisation et la profession d’avocat n’y échappe pas ce qu’a d’ailleurs récemment rappelé la Présidente de la Cnil.

Les données à caractère personnel collectées et traitées par les cabinets d’avocats (données personnelles de clients, données RH, marketing & communication, etc.) doivent être protégées dans la mesure où elles sont susceptibles d’impacter la vie privée de leurs clients, collaborateurs et partenaires.

Une chose est sûre : depuis l’entrée en application du RGPD, les cabinets d’avocats doivent repenser leur gouvernance des données personnelles et déployer l’ensemble des actions nécessaires à une mise en conformité totale avec ce nouveau cadre juridique de la protection des données personnelles. Ceux-ci ont notamment l’obligation de tenir un registre de leurs activités de traitement.

Le webinar, proposé par Lamy Formation le 5 juillet 2019 de 10H à 12 H et animé par Anne Renard, abordera en particulier la réalisation de la cartographie des traitements et l’élaboration et le maintien du registre des activités de traitement.

Webinar RGPD spécial cabinets d’avocats

Programme

1. Etape 1 : La réalisation de la cartographie des traitements : un préalable nécessaire

  • Qu’est-ce qu’une cartographie des traitements ?
  • Comment élaborer une cartographie des traitements ?
  • Comment réaliser une analyse du niveau de conformité à partir de la cartographie ?

2. Etape 2 : L’élaboration et le maintien du registre des activités de traitement

  • Sur la base de la cartographie réalisée, comment élaborer et maintenir le registre des activités de traitement ?
  • Quels sont les différents outils mis à disposition par la Cnil pour l’élaboration du registre ?

Avocate, Anne Renard dirige le département Conformité et certification du cabinet Lexing Alain Bensoussan Avocats. Elle est Délégué à la Protection des Données (DPO) recommandée de la profession d’avocat par le Conseil National des Barreaux.  A ce titre, le cabinet a développé une offre à destination des cabinets d’avocats tenant compte de la taille des structures d’exercice et des moyens humains et financiers en découlant.

 




Décret d’application de la loi Informatique et libertés : la boucle est bouclée

Décret 2019-536Le décret 2019-536 du 29 mai 2019 achève, au niveau réglementaire, le travail d’adaptation du droit français au nouveau cadre européen issue du Règlement (UE) 2016-679 du 27 avril 2016 (RGPD).

Cette adaptation s’est faite en 3 étapes :

Ce dernier texte tire les conséquences du choix symbolique de ne pas avoir abrogé la loi fondatrice du 6 janvier 1978 et de procéder plutôt à son remaniement (forme et fond) tel qu’il résulte de l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a totalement réécrit la loi « Informatique et libertés ».

Le décret n° 2019-536 pour l’application de la loi n° 78-17 réformée

Le texte opère la mise en cohérence nécessaire des dispositions remaniées au regard du droit européen. Mais surtout, il fait entrer en application la loi de 1978 telle que modifiée par l’ordonnance de 2018.

Il harmonise l’état du droit, adapte certaines règles de procédure devant la Cnil et précise les droits des personnes concernées. Enfin, il abroge également le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi de 1978.

La Cnil s’est prononcée sur l’ensemble des dispositions du décret dans une délibération du 9 mai 2019. Elle estime que le texte améliore la lisibilité du cadre juridique national et sa mise en cohérente avec le RGPD.

Des principes fondateurs pérennes

Sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et libertés ». Les principes fondateurs posés il y a près de quarante ans demeurent toujours valables pour encadrer les systèmes d’information à caractère personnel, à savoir :

  • « l’informatique doit être au service de chaque citoyen » (L. 78-17, art. 1) ;
  • « son développement doit s’opérer dans le cadre de la coopération internationale » (L. 78-17, art. 1).

L’économie générale de la loi vise la protection la plus grande possible des droits, anciens et nouveaux (tels le droit à l’oubli et à la portabilité des données), consacrés dans le domaine numérique.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications




Formation sur les outils et process de mise en oeuvre du RGPD

outils et process de mise en oeuvre du RGPDLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

Les outils et process de mise en œuvre du GDPR (RGPD)

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 2 juillet, 1er octobre et 15 novembre 2019 et abordera les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Tendance ADPO 2019 : le RGPD, un an et 50 millions € après

Tendance ADPO 2019La réunion annuelle de l’Association des Data Protection Officers (ADPO) se tiendra le 5 juin 2019, un an après l’entrée en application  en application du RGPD.

Sur le thème “Le RGPD, un an et 50 millions € après”, la 3ème Journée « Tendance ADPO 2019 » consacrée au bilan d’une année d’application effective du RGPD se déroulera

le Mercredi 5 juin 2019 de 9H à 12H30 
au siège d’Accenture, Happen Space, 118, Avenue de France, 75013 Paris.

Programme de la journée Tendance ADPO 2019

9H00-9H30 : Accueil Café

9H30- 9h45 : Avant-propos,

  • par Laurence Legris, Director of Legal Services, Regulatory and Compliance (Gallia – France, BeNeLux, Ile Maurice)
  • et Chloé Torres, Secrétaire Général de l’ADPO ;

9H4510H15 : Intervention

  • de Thomas Dautieu, Directeur de la conformité, CNIL ;

10h15–10h45 : « Le contentieux devant la formation restreinte de la Cnil : modalités, délais et moyens de défense »

10H45-11h15 : Pause café

11h15-12h15 : Table ronde « L’application sectorielle du RGPD », avec la participation de

  • Nadine Chaussier, AXA France ;
  • Dominique Entraygues, Présidente de la Commission Gouvernance et Conformité de l’ADPO ;
  • Laurence Legris, Director of Legal Services, Regulatory and Compliance (Gallia – France, BeNeLux, Ile Maurice) ;
  • Benjamin Boireau, Data Protection Officer, My Money Bank.
  • Débat animé par Chloé Thorres, avocate, directrice du département Informatique et libertés, du cabinet Lexing Alain Bensoussan Avocats.

12h15-13h00 : Assemblée Générale de l’ADPO (réservée aux membres).

Nous vous remercions de l’intérêt que vous portez à l’ADPO. Les inscriptions sont désormais closes.

Pour tout renseignement :

Eric Bonnet
06 74 40 72 01
eric-bonnet@lexing.law
Véronique Delhaye
06 74 48 13 25
contact-adpo@data-protection-officer-association.eu



Petit-déjeuner Informatique et libertés : bilan et perspectives

activité 2018 de la CnilAlain Bensoussan animera le 11 septembre 2019 un petit-déjeuner débat sur le thème « Informatique et libertés : Bilan et perspectives ».

Informatique et libertés : bilan d’activité de la Cnil

2018 restera comme l’année de l’entrée en application effective du RGPD et celle d’une phase de transition entre l’ancienne législation et la nouvelle.

La Cnil a rendu public en avril son dernier bilan d’activité. En 2018, la Cnil a utilisé ses nouvelles prérogatives en adoptant les premières sanctions dans le nouveau cadre répressif. Elle a ainsi procédé à 49 mises en demeure, dont cinq concernent le secteur de l’assurance. Au total, l’autorité a prononcé dix sanctions pécuniaires (dont 9 publiques) à l’encontre d’entreprises.

Le dernier rapport d’activité de la Cnil montre une hausse considérable des plaintes (+32,5 %) dont un tiers concerne la diffusion de données sur internet, 21 % concerne la prospection (notamment pas SMS), 16,5 % le secteur du travail (vidéosurveillance, géolocalisation, cybersurveillance) et 8,9 % le secteur des banques et du crédit (fichiers d’incidents de la Banque de France).

Par ailleurs, au cours du dernier trimestre 2018, la Cnil signale avoir reçu de nombreuses demandes de particuliers ; ces dernier désireux d’exercer leurs droits (accès, opposition, portabilité) et d’obtenir des conseils pour faire aboutir leur demande.

Informatique et libertés perspectives : stratégie de contrôle de la Cnil pour 2019

La Cnil vient de mettre en ligne son sa stratégie de contrôle pour 2019.

Cette année, la Commission a annoncé concentrer son action sur trois grandes thématiques, directement issues de l’entrée en application du RGPD :

  • le respect des droits des personnes (droit d’accès, à l’oubli, à la portabilité des données, etc.) ;
  • le traitement des données des mineurs (réseaux sociaux, biométrie dans les écoles, etc.) ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants (contrats de sous-traitance).

Dans le cadre de ce petit-déjeuner débat, nous vous proposons de préciser les actions à mettre en œuvre pour assurer la conformité de vos activités à la nouvelle réglementation Informatique et libertés.

Le petit-déjeuner débat aura lieu le 11 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 

 




Le réseau Lexing® vous informe sur l’ application du RGPD

application du RGPDCe numéro spécial international est consacré à l’ application du RGPD par les autorités de protection des données des Etats membres.

Le Règlement général sur la protection des données personnelles offre aux autorités de contrôle des moyens de pression plus importants.

Grâce à ces nouveaux moyens les autorités peuvent agir efficacement contre tout organisme qui contreviendrait au RGPD.

En outre, le montant des sanctions prévu par le RGPD a été considérablement élevé (de l’ordre du milliard d’euros).

Par conséquent, il est intéressant de savoir comment ces diverses autorités se sont saisies de leur nouvelles prérogatives depuis mai 2018.

Les membres du réseau Lexing® dressent un tableau de la situation actuelle à travers le monde.

Les pays suivants ont contribué à ce numéro : Afrique du Sud, Allemagne, Australie, Belgique, France, Grèce, Hongrie, République tchèque.

Lettre Juristendances Internationales Informatique et Télécoms n°21, Avril 2019.