RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 15 Dec 2014 10:00:00 +0100 Mobilitics, saison 2 : nouvelle plongée dans l'univers des smartphones et de leurs applications http://www.cnil.fr/nc/linstitution/actualite/article/article/mobilitics-saison-2-nouvelle-plongee-dans-lunivers-des-smartphones-et-de-leurs-applications/ Depuis 3 ans, la CNIL et Inria travaillent ensemble pour comprendre l'écosystème des smartphones. Les résultats du projet Mobilitics montrent que les accès aux données personnelles sont à la fois massifs et peu visibles pour les utilisateurs. Les éditeurs d'applications et leurs fournisseurs de services ou partenaires commerciaux doivent donc intensifier leur effort d'information des utilisateurs, sans s'abriter derrière des contraintes techniques. En la matière, les éditeurs de système...]]> Dès 2011, la CNIL avait souligné le recours massif des utilisateurs de smartphones aux applications téléchargeables, dans un sondage Smartphones et données personnelles. Depuis, la tendance n'a fait que s'accentuer : aujourd'hui, les mobinautes et tablonautes ont en moyenne une trentaine d'applications sur leur appareil, alors que les magasins d'application proposent plus d'un million d'applications au téléchargement. Certaines applications sont payantes, beaucoup sont gratuites (et rémunérées soit par de la publicité, soit par des achats liés). Pour comprendre cet écosystème, la CNIL a souhaité se doter d'un outil d'analyse. Développé avec Inria, Mobilitics a été installé sur des smartphones que des agents de la CNIL ont utilisé à la place de leur téléphone personnel pendant 3 mois.

Rappel : Mobilitics saison 1 (iOS)

Dès la première vague de tests sous iOS, trois enseignements, rendus publics en avril 2013, avaient été tirés :
  • le statut particulier de la géolocalisation, reine des données du smartphone ;
  • la tendance des développeurs et éditeurs d'applications à recourir à des stratégies d'identification aux objectifs très divers (mesures d'audience, statistiques d'utilisation, analytics, monétisation et publicité...) ;
  • la difficulté à corréler les accès aux données avec des actions de l'utilisateur ou des besoins légitimes des applications.

Mobilitics Saison 2 (Android)

Les résultats de l'expérimentation avec des téléphones Android, développés dans la lettre IP n°8, sont convergents avec ces premiers constats de 2013. Les constats et préconisations de la CNIL portent donc désormais sur près de 90% des smartphones en France (environ 66% sont équipés du système d'exploitation Android de Google et 20% du système d'exploitation iOS d'Apple). Ces résultats prouvent que les informations et les outils de maitrise mis à la disposition des utilisateurs sur smartphone restent limités et insuffisants au regard du volume de données collectées sur ces appareils. Plusieurs caractéristiques de l'écosystème peuvent être relevées :

1) La course aux identifiants

Un smartphone contient bon nombre d'identifiants techniques, matériels ou logiciels. Les applications accèdent souvent à ces identifiants, pour des besoins qui leurs sont propres (dont la constitution de profils publicitaires). Sur iOS comme sur Android, entre 50 et 60% des applications testées ont accédé à des identifiants du téléphone. Les fabricants de systèmes d'exploitation, conscients du risque de surexploitation des identifiants, essayent parfois de limiter les usages de chaque identifiant par des moyens techniques ou juridiques. Cependant, les applications récupèrent souvent plusieurs identifiants différents dans le même appareil (sur Android, un quart des applications ont accédé à 2 identifiants ou plus).

2) Un GPS dans votre poche

La localisation est la donnée reine dans l'environnement des smartphones. Elle joue un rôle clé pour les services les plus utiles (car contextualisés) mais peut aussi constituer une intrusion importante dans les habitudes et comportements de la personne. Entre un quart et un tiers des applications accèdent à la localisation. Mais ce qui retient l'attention, c'est la fréquence d'accès. Ainsi, une application de service de réseau social a pu accéder 150 000 fois en 3 mois à la localisation d'un de nos testeurs. Cela représente un accès en moyenne par minute. Certaines applications qui ont obtenu l'autorisation (générique) d'accéder à la localisation ne se privent donc pas de l'utiliser, même lorsque l'application n'est pas visible à l'écran. D'une manière générale, beaucoup d'applications accèdent très souvent à la localisation (ainsi, plus de 3 000 fois en 3 mois pour un jeu). En volume, la géolocalisation est aussi la donnée la plus collectée : elle représente à elle seule plus de 30% des évènements détectés, sans être toujours liée à des fonctionnalités offertes par l'application ou à une action de l'utilisateur.

3) Le système d'exploitation, principal maître à bord de votre smartphone

L'éditeur du système d'exploitation n'est pas un acteur comme les autres : il définit les règles que les éditeurs d'applications doivent respecter. Il définit aussi quelles informations et quels outils de maîtrise sont à disposition de l'utilisateur. En fonction de leur stratégie, Apple (pour iOS), Google (pour Android) ou Microsoft (pour Windows Mobile) sont dans une situation privilégiée pour collecter et traiter des données. Certains services étant installés par défaut (et parfois impossibles à désinstaller), l'utilisateur n'a souvent pas d'autre choix que de laisser ces services accéder à des données. Certains de ces services sont particulièrement gourmands en matière de données. Par exemple, une application installée par défaut pour un de nos testeurs a procédé à plus d'un million d'accès à la localisation en 3 mois. Conformément à l'avis du G29 d'avril 2013 concernant les applications mobiles, la CNIL souhaite que l'ensemble des acteurs de l'écosystème (éditeurs d'application, éditeurs des systèmes d'exploitation et responsables des magasins d'applications, tiers fournisseurs de services et d'outils) prenne la juste mesure de leurs responsabilités respectives pour améliorer l'information et les outils de maitrise des données personnelles. Les grands acteurs des systèmes d'exploitation et magasins d'applications ont un rôle clé à jouer. Si les nouvelles versions des systèmes d'exploitation sont souvent l'occasion de changements positifs dans les outils disponibles, ces efforts doivent se poursuivre. Les développeurs, éditeurs d'application et leurs partenaires (par exemple les fournisseurs de solutions d'analytics, de monétisation, etc.) doivent quant à eux minimiser les collectes de données qui ne sont pas liées au service rendu par l'application et adopter une approche de privacy by design, plus respectueuse du droit des utilisateurs.]]>
Actualités Presse GPS Géolocalisation Prospective Expertise technologique Téléphonie mobile Données de trafic Mon, 15 Dec 2014 10:00:00 +0100
Déclaration commune des autorités de protection européennes (G29) http://www.cnil.fr/nc/linstitution/actualite/article/article/declaration-commune-des-autorites-de-protection-europeennes-g29/ The European Data Governance Forum organisé le 8 décembre à Paris (UNESCO) s'achève par la présentation d’une déclaration adoptée par le G29, lors de sa séance plénière du 25 novembre 2014. Les autorités de l’Union européenne souhaitent réaffirmer les valeurs communes de l’Europe et proposer des actions concrètes pour élaborer un cadre éthique européen.]]>

Le Groupe de l’article 29 ouvre cette Déclaration aux commentaires de toute partie intéressée, qu’elle soit de statut public ou privé. Ces commentaires peuvent lui être adressés par l’intermédiaire du site Web disponible à l’adresse www.europeandatagovernance-forum.com. Le Groupe tiendra compte de ces commentaires dans ses activités de l’année 2015.

La déclaration est consultable sur www.europeandatagovernance-forum.com

]]>
Actualités Presse Institutionnels Vie de la CNIL Société de Surveillance Mon, 08 Dec 2014 10:24:00 +0100
8 décembre 2014 - The European Data Governance Forum http://www.cnil.fr/nc/linstitution/actualite/article/article/8-decembre-2014-the-european-data-governance-forum/ Le G29 et la CNIL organisent le 8 décembre une conférence internationale qui se tiendra à l’UNESCO. La conférence a pour thème : Protection des données, innovation et surveillance : quel cadre éthique pour l’Europe ?]]> 2015 est une année charnière pour la protection de la vie privée, avec l'adoption du règlement de l'Union Européenne sur la protection des données, la poursuite des négociations commerciales internationales et les décisions finales à prendre sur la gouvernance de l'internet. Cette période est cruciale pour l'Europe qui, dans le nouvel environnement numérique, doit promouvoir haut et fort les valeurs sociétales qui sont les siennes et définir des actions prioritaires pour le futur. Une réponse d'ensemble à ces défis internationaux ne saurait être élaborée par des acteurs agissant en ordre dispersé. La complexité des problèmes posés demande une réflexion collective de la part de l'ensemble des parties prenantes. La conférence du 8 décembre organisée par le G29 (groupe des autorités européennes de protection des données) et la CNIL est placée sous le patronage de l'UNESCO et de la Délégation permanente française auprès de l'UNESCO. Elle réunira des représentants et experts d'horizons divers - institutions nationales, européennes et internationales, industrie, ONG et société civile - qui présenteront leur point de vue sur les défis actuels de la surveillance numérique et sur la manière d'y répondre de manière adéquate dans une société démocratique. La conférence s'achèvera par la présentation d'une Déclaration adoptée par le G29 qui sera endossable par les parties prenantes qui le souhaiteraient. Cette Déclaration soulignera la responsabilité collective de toutes les parties prenantes dans la définition et le respect d'un cadre éthique pour la collecte et l'utilisation de données personnelles dans l'économie numérique. Elle définira les principes essentiels à inclure dans un tel cadre ainsi que les actions clés à entreprendre par toutes les parties prenantes, des secteurs public et privé, pour garantir le respect des règles. ]]> Actualités Société de Surveillance Vie de la CNIL Presse Institutionnels Services publics Futurs correspondants Wed, 03 Dec 2014 16:18:00 +0100 Droit au déréférencement : interprétation de l'arrêt et critères communs d'instruction des plaintes http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-au-dereferencement-interpretation-de-larret-et-criteres-communs-dinstruction-des-pla/ Les autorités de protection européennes, réunies au sein du G29, ont adopté le 26 novembre des lignes directrices. Celles-ci contiennent une interprétation commune de l'arrêt de la CJUE et des critères communs pour l'instruction des plaintes adressées aux autorités suite au refus de déréférencement par les moteurs de recherche. Dans un souci de transparence et de pédagogie, la CNIL publie le contenu des travaux du G29 sous la forme de questions/réponses.]]> ]]> Actualités Droit à l'oubli Moteurs de recherche Fri, 28 Nov 2014 11:19:00 +0100 [Communiqué G29] Droit au déréférencement : le G29 adopte des lignes directrices http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-droit-au-dereferencement-le-g29-adopte-des-lignes-directrices/ L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12) constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. Il accorde en effet la possibilité aux personnes de demander aux moteurs de recherche, sous certaines...]]> Le mercredi 26 novembre, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères que les autorités utiliseront dans le cadre de l’instruction des plaintes leur parvenant suite à des refus de déréférencement par les moteurs. Dans son arrêt, la Cour confirme l’applicabilité de la Directive 95/46/CE aux moteurs de recherche, ceux-ci étant qualifiés de « responsables des traitements » de données personnelles qu’ils opèrent dans le contexte des activités de leurs filiales établies sur le territoire de l’Union, visant à promouvoir et vendre des espaces publicitaires sur la page des moteurs afin qu’ils soient économiquement rentables. L’arrêt prévoit expressément que l’exercice du droit au déréférencement n’affecte que les résultats obtenus après une recherche effectuée sur la base du nom d’une personne et ne se traduit pas par la suppression du lien dans les index du moteur de recherche. Autrement dit, l’information originale sera toujours accessible en ligne en effectuant une recherche sur d’autres termes ou en consultant directement le site source. Le G29 considère que pour donner plein effet à l’arrêt de la Cour, les décisions de déréférencement doivent être mises en œuvre de manière à garantir effectivement la protection des droits fondamentaux des personnes et à ne pas permettre leur contournement. A cet égard, limiter le déréférencement aux extensions européennes des moteurs de recherche en considérant que les utilisateurs effectuent généralement des requêtes à partir des extensions nationales du moteur ne garantit pas l’application de ce droit de manière satisfaisante. Cela signifie donc, en pratique, le déréférencement devra être effectif sur tous les noms de domaines pertinents, y compris le nom de domaine .com. Toute personne a droit à la protection de ses données. En pratique, les autorités seront amenées à instruire les demandes des personnes ayant clairement un lien avec l’Union européenne, c'est-à-dire des personnes citoyennes ou résidentes d’un pays membre de l’Union. D’une manière générale, les moteurs de recherche ne doivent pas informer de manière systématique les sites sources de ce que certaines de leurs pages ne sont plus accessibles sur la base d’une requête faite sur le nom d’une personne en raison d’un déréférencement. En effet, une telle communication systématique n’a pas de base légale dans la législation européenne de protection des données. Les lignes directrices contiennent également une liste des critères communs que les autorités de protection des données appliqueront pour traiter les plaintes qu’elles reçoivent suite à des refus de déréférencement par les moteurs de recherche. La liste contient 13 critères qui doivent être considérés comme des outils de travail flexibles qui aideront les autorités dans la prise de décision. Les critères seront appliqués au cas par cas et en accord avec les dispositions nationales applicables. Aucun de ces critères n’est déterminant à lui seul. Chacun d’entre eux doit être appliqué à la lumière des principes établis par la Cour et en particulier de celui de « l’intérêt général du public à avoir accès à l’information ».]]> Actualités Droit à l'oubli Moteurs de recherche Directive 95/46 Travaux du Groupe de l’article 29 Fri, 28 Nov 2014 10:40:00 +0100 Trophées EDUCNUM, J-30 : n'attendez plus pour nous envoyer vos candidatures ! http://www.cnil.fr/nc/linstitution/actualite/article/article/trophees-educnum-j-1-mois-nattendez-plus-pour-nous-envoyer-vos-candidatures/ Il reste moins d'un mois avant la clôture des candidatures ! Envoyez-nous vite votre candidature et devenez lauréat de la première édition des Trophées EDUCNUM ! Découvrez les membres du jury qui examineront vos projets.]]> Le 13 octobre dernier la CNIL lançait, au nom du collectif pour l'Education au numérique, la première édition des Trophées EDUCNUM. L'objectif ? Proposer aux étudiants, toutes disciplines confondues, de transmettre leur expérience aux plus jeunes (primaires, collégiens, lycéens) pour leur apprendre à protéger leur vie privée sur le web. Les trophées sont placés sous le parrainage d'Isabelle FALQUE-PIERROTIN, présidente de la CNIL, et de Jacques-Antoine GRANJON, co-fondateur de l'EEMI et PDG de vente-privee.com. Depuis, l'équipe des Trophées EDUCNUM a réuni un jury composé d'experts du monde de la recherche, de l'éducation et de l'économie numérique. Ce panel de regards devrait permettre de révéler et d'encourager les jeunes talents d'aujourd'hui !

Le jury des Trophées EDUCNUM :

  • Isabelle FALQUE-PIERROTIN, Présidente de la CNIL
  • Stéphane DISTINGUIN, Président de Cap digital et de FABERNOVEL, membre du Conseil National du Numérique et du Conseil National de l'Industrie
  • Divina FRAU-MEIGS, Directrice générale du CLEMI, professeur, sociologue des médias à l'Université Sorbonne nouvelle à Paris
  • Daniel LE METAYER, directeur de recherche à l'INRIA, responsable de l'INRIA Project Lab CAPRIS, membre du l'équipe PRIVATICS et du laboratoire CITI
  • Guillemette LENEVEU, Directrice Générale de l'UNAF
  • Jean-Louis PIERREL, chargé des relations universitaires chez IBM
  • Delphine REGNARD, Responsable des ressources numériques Lettres & arts et chef de projet du portail Eduthèque à la Direction du Numérique pour l'Éducation (DNE) au ministère de l'Education nationale, de l'Enseignement supérieur et de la Recherche
  • Joël GRATTEPANCHE, Conseiller pédagogique 1er degré, chef de projet à la Direction du Numérique pour l'Éducation (DNE)
  • Serge TISSERON, psychiatre, docteur en psychologie et psychanalyste, chercheur associé HDR à l'Université Paris VII
Pour rappel, les étudiants ont jusqu'au 15 décembre 2014 pour envoyer leurs projets et remplir leur formulaire de candidature sur www.educnum.fr ]]>
Actualités Jeunes Etablissements d'enseignement Education numérique Fri, 21 Nov 2014 16:28:00 +0100
Assurance : création d’un club conformité http://www.cnil.fr/nc/linstitution/actualite/article/article/assurance-creation-dun-club-conformite/ Le 12 novembre 2014, la CNIL et l’ensemble des fédérations professionnelles concernées ont présenté le pack de conformité pour le secteur des assurances. Afin d’assurer son caractère opérationnel dans le temps, un « club conformité » dédié est créé.]]>

Le pack de conformité : une démarche nouvelle et pragmatique qui fait la preuve de son succès Ce référentiel sectoriel a une triple vocation :

1. mieux maitriser les risques inhérents à une collecte et à des traitements de données personnelles toujours plus massifs à l'heure de la révolution numérique, 2. permettre l'élaboration de nouveaux produits et services innovants à la personne respectueux de la vie privée, 3. simplifier les formalités administratives à réaliser auprès de la CNIL. Il constitue ainsi une réponse opérationnelle aux besoins des professionnels concernant l'application de la loi " informatique et libertés ". Il s'agit de travailler, dans le cadre d'une étroite concertation entre la CNIL et les acteurs du secteur, à la mise en place d'outils juridiques de simplification ou d'allégement des formalités (normes simplifiées et autorisations uniques) et de bonnes pratiques spécialement adaptées à un secteur professionnel (fiches pratiques). Le pack est aussi un moyen d'anticiper sur les changements attendus avec le projet de règlement européen sur la protection des données. Il en résulte pour les responsables de traitement une simplification substantielle des formalités au profit d'une relation plus dynamique avec le régulateur. Introduction


Fiche n°1 : la passation, la gestion et l'exécution des contrats d'assurance (NS-016)


Fiche n°2 : la gestion commerciale des clients et prospects pour le secteur des assurances (NS-056)


nir Fiche n°3 : la collecte du NIR et la consultation du RNIPP (AU-031)

Fiche N°4 : La collecte des données d’infractions, de condamnations ou des mesures de sûreté (AU-032)

lutte contre la fraudeFiche n°5 la lutte contre la fraude (AU-039)

Un " club conformité " pour le secteur de l'assurance pour garantir l'effectivité dans le temps

Il est indispensable de faire vivre le pack de conformité de manière à ce qu'il soit à jour des pratiques professionnelles et des nouvelles règlementations pour le secteur des assurances. Pour cette raison, la CNIL a proposé lors de la présentation du pack organisé par l'Association Française de l'Assurance de mettre en place un " club conformité ". Il permettra aux professionnels du secteur de continuer à échanger à intervalle régulier afin de vérifier la bonne application des règles et processus organisationnels à l'aune des évolutions du métier de l'assureur et de trouver les nouvelles réponses en cas d'évolution. Ce " cercle de confiance " permettra enfin de créer un effet d'entrainement vertueux dans la diffusion de la conformité " informatique et libertés " grâce à l'action démultiplicatrice des réseaux professionnels concernés.]]>
Actualités Déclarants Assureurs pack de conformité Obligation des assureurs Thu, 13 Nov 2014 11:11:00 +0100
Prospection commerciale par courrier électronique : mise en demeure de la société PRISMA MEDIA http://www.cnil.fr/nc/linstitution/actualite/article/article/prospection-commerciale-par-courrier-electronique-mise-en-demeure-de-la-societe-prisma-media/ La CNIL a adopté le 13 octobre 2014 une mise en demeure à l’encontre de la société PRISMA MEDIA spécialisée dans l’édition et la commercialisation de magazines périodiques et de sites internet.]]> En juillet 2012, la société PRISMA MEDIA a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec ses obligations légales, notamment concernant les traitements de données relatives aux prospects. Au regard des mesures prises par la société, la CNIL a clôturé cette mise en demeure en janvier 2013. Afin de vérifier l’effectivité de ces mesures, la CNIL a procédé à un nouveau contrôle en mars dernier. Ce contrôle a permis de constater que la société ne fournit pas systématiquement aux personnes concernées une information suffisante quant aux traitements mis en œuvre. Elle ne fournit pas non plus une information permettant de considérer comme libre, spécifique et informé le consentement de ces personnes à recevoir de la prospection commerciale par voie électronique. En outre, la société ne fait pas totalement droit aux demandes d’opposition de ces dernières et conserve les données pendant des durées excessives. Pour ces raisons, la Présidente de la CNIL a adopté une nouvelle mise en demeure à l’encontre de PRISMA MEDIA le 13 octobre 2014. Au regard de la taille de l’organisme, du nombre de personne concernées par ses traitements et de la nécessité de sensibiliser plus largement les responsables de traitement au cadre légal encadrant la prospection commerciale par voie électronique, cette mise en demeure est rendue publique. La société dispose d’un délai d’un mois pour se mettre en conformité. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.]]> Actualités Grand public Citoyens Consommateurs Internautes Patients Jeunes Parents Salariés Automobilistes Tue, 04 Nov 2014 00:00:00 +0100 Mort numérique ou éternité virtuelle : que deviennent vos données après la mort ? http://www.cnil.fr/nc/linstitution/actualite/article/article/mort-numerique-ou-eternite-virtuelle-que-deviennent-vos-donnees-apres-la-mort/ De nombreux internautes s’interrogent sur le devenir des données concernant leurs proches ou eux-mêmes après la mort. C’est dans ce contexte qu’a émergé le concept de « mort numérique », potentiellement porteur d’interrogations juridiques mais également sociétales. Sensible à la dimension humaine de cette thématique et soucieuse d’assurer une protection effective de l’identité individuelle, la CNIL ouvre le débat des enjeux de la mort numérique.]]>

Sur les réseaux sociaux : à terme plus de morts que de vivants ?

De nombreux internautes s’interrogent sur le devenir des données concernant leurs proches ou eux-mêmes après la mort. C’est dans ce contexte qu’a émergé le concept de « mort numérique », potentiellement porteur d’interrogations juridiques mais également sociétales. Sensible à la dimension humaine de cette thématique et soucieuse d’assurer une protection effective de l’identité individuelle, la CNIL ouvre le débat des enjeux de la mort numérique. Le développement de nouveaux modes d’exposition de soi en ligne a conduit à faire vivre son identité après la mort de multiples façons : il peut s’agir d’entretenir le souvenir d’un défunt, de créer un avatar qui dialoguera avec les vivants ou de laisser des messages ainsi que des biens dématérialisés (fleurs ou bougies) à ses héritiers ou ses proches. Ainsi, de nombreux sites proposent de faire vivre la personne après la mort, de rendre visible sa dernière « demeure » sur la toile, de proposer une tombe virtuelle, d’organiser un testament numérique ou enfin, de gérer ses identités numériques post-mortem. Certaines collectivités locales proposent également des services de ce type(cimetières 2.0, bornes interactives dans les cimetières, gestions des données des personnes décédées, organisation de la réutilisation des archives de l’état-civil, etc.). Dès lors, comment concilier le droit à l’oubli numérique et les possibilités d’atteindre l’éternité numérique offertes par la vie en ligne ? D’ici quelques années, une majorité des personnes décédées se sera dotée d’une identité numérique post-mortem. En effet, à défaut d’effacement programmé par la personne concernée, le profil d’un défunt continue d’exister, d’être visible sur la toile et d’être référencé par les moteurs de recherches.

La mort sous l'angle "Informatique et libertés"

Que les données concernent des personnes vivantes ou des personnes décédées, la CNIL, interlocuteur naturel des internautes en matière de protection des données personnelles, veille à ce que l’informatique ne porte atteinte, ni à l’identité du défunt, ni à la vie privée de ses héritiers. Sur le plan de la loi Informatique et Libertés, la question de la mort numérique invite à s’interroger sur la prise en compte par les réseaux de la mort d’une personne, mais également sur le respect de ses droits ainsi que sur leur application effective par ses héritiers. Les droits d’accès, de modification, et de suppression prévus par la loi sont des droits personnels qui s’éteignent à la mort de la personne concernée. La loi ne prévoit pas la transmission des droits du défunt aux héritiers : un héritier ne peut donc, sur le fondement de la loi Informatique et Libertés, avoir accès aux données d’un défunt. La loi autorise toutefois les héritiers à entreprendre des démarches pour mettre à jour les informations concernant le défunt (enregistrement du décès par exemple). Pourtant, les familles des personnes disparues qui s’adressent à la CNIL veulent pouvoir accéder aux données concernant le défunt, ou exigent au contraire leur suppression. Dans ce contexte souvent douloureux, la Commission fait face à des problématiques aussi bien techniques que juridiques. Chargée de veiller au respect des durées de conservation des données conformément à la finalité poursuivie, elle s’intéresse à l’effacement, la suppression, le déréférencement ou la désindexation des données des personnes décédées. Toutefois, la prise en compte de l’intérêt des héritiers n’est pas évidente en l’absence d’expression de la volonté du défunt. Afin de pallier cette carence, les grands acteurs de l’Internet, tels Google et Facebook proposent désormais des fonctionnalités permettant de paramétrer « la mort numérique ».

Les enjeux de la régulation de la mort numérique

L’encadrement juridique de la mort numérique ne devrait pas reposer sur les seules conditions générales d’utilisation des sites, d’autant plus que de nombreuses questions n’ont parfois pas de réponses. Dans quelles conditions les héritiers peuvent-ils récupérer les données du défunt ?Si rien n’est prévu dans les conditions générales d’utilisation des sites, quels sont les héritiers qui pourront demander la mise à jour ou la suppression des données ? Comment résoudre les conflits entre des héritiers qui n’ont pas toujours la même perception de la volonté post-mortem du défunt (si un héritier souhaite accéder aux données alors qu’un autre souhaite les supprimer) ? S’agissant de la conservation et l’accessibilité des données, la Commission a été invitée à plusieurs reprises à se prononcer sur le cadre juridique de la conservation et l’archivage des données des personnes décédées et sur leur accessibilité et leur réutilisation. Cependant la régulation de la mort numérique ne se limite pas à la seule protection des données personnelles des défunts ou de la vie privée de leurs ayants-droits. Le droit des contrats ainsi que le droit des successions devront sans doute évoluer pour répondre à ces nouveaux besoins exprimés par les utilisateurs et anticiper la problématique de la mort en ligne. À la veille de l’adoption d’un règlement européen consacrant de nouveaux droits (le droit à l’oubli ou le droit à la portabilité des données), il semble nécessaire d’introduire dans les débats, la question de la prise en compte de la mort par les réseaux sociaux et ses conséquences pour les personnes. La CNIL n’ayant pas vocation à arbitrer l’équilibre qui doit être trouvé entre les besoins de suppression de toutes traces de l’identité après la mort, et la volonté d’atteindre l’immortalité numérique en continuant à faire vivre l’identité au-delà de la mort. Cependant, il apparaît essentiel que les autorités de protection des données, en concertation avec les pouvoirs publics, les professionnels de l’Internet, les acteurs de la société civile et les citoyens, ouvrent la discussion sur ce sujet qui tend à devenir une problématique incontournable de « l’âge numérique ». ]]>
Actualités Internautes Réseaux sociaux Droit à l'oubli Fri, 31 Oct 2014 09:38:00 +0100
Vidéosurveillance au travail : mise en demeure de la société APPLE RETAIL France http://www.cnil.fr/nc/linstitution/actualite/article/article/videosurveillance-au-travail-mise-en-demeure-de-la-societe-apple-retail-france/ Le 14 octobre 2014, la Présidente de la CNIL a adopté une mise en demeure à l’encontre de la société APPLE RETAIL France, l’enjoignant à mettre en conformité tous les systèmes de vidéosurveillance des APPLE STORE situés sur le territoire français.]]> En décembre 2013, la société APPLE RETAIL FRANCE a fait l’objet d’une mise en demeure portant sur le dispositif de vidéosurveillance des salariés installé au sein de l’APPLE STORE d’OPERA à Paris. Il était notamment demandé à la société de réorienter certaines caméras qui filmaient en permanence des salariés et de leur délivrer une information complète. En février 2014, la société a justifié s’être mise en conformité avec ses obligations pour le magasin visé à la procédure, entrainant la clôture de la mise en demeure. Toutefois, des contrôles menés en mai et juin 2014 dans d’autres magasins APPLE STORE ont révélé que la société n’avait pas adopté des mesures de conformité similaires à l’ensemble de ses magasins. L’information des salariés sur le dispositif demeurait lacunaire et certaines caméras continuaient à filmer des salariés à leur poste de travail sans justification particulière. La persistance de ces manquements a conduit la Présidente de la CNIL à mettre à nouveau en demeure la société de modifier l’intégralité des dispositifs de vidéosurveillance de ses 16 magasins sur le territoire national. Compte tenu de la nécessité d’informer les nombreux salariés de la société et de rappeler leurs obligations aux employeurs désirant déployer de tels systèmes de vidéosurveillance, eu égard au caractère intrusif des dispositifs en cause, la CNIL a décidé de rendre publique cette mise en demeure. Il est rappelé que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société APPLE RETAIL FRANCE se conforme à la loi dans le délai de deux mois qui lui est imparti. Dans ce cas, la clôture de la procédure fera l'objet d'une même publicité.]]> Actualités Mise en demeure Entreprises privées Salariés Vidéosurveillance Travail Assurance chômage Oeuvres sociales Gestion du personnel des RH Recrutement Thu, 30 Oct 2014 16:47:00 +0100