RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Thu, 04 Feb 2016 16:44:00 +0100 Safe Harbor : le G29 analyse les conséquences de la décision de la CJUE http://www.cnil.fr/nc/linstitution/actualite/article/article/safe-harbor-le-g29-analyse-les-consequences-de-la-decision-de-la-cjue/ Les 2 et 3 février 2016, le G29 s’est réuni à nouveau pour évaluer les conséquences de la décision de la CJUE du 6 octobre 2015 invalidant le Safe Harbor sur les transferts internationaux de données depuis l’Europe.]]> Le G29 (groupe des CNIL européennes) salue l’annonce de la conclusion d’un accord "EU-U.S. Privacy Shield" entre les Etats-Unis et la Commission Européenne dans le délai de 3 mois qu’il avait fixé le 16 octobre 2015. Cet accord doit désormais être analysé par le G29 afin d’en connaître précisément le contenu et le caractère contraignant ; il doit aussi permettre au G29 de savoir si les garanties nouvelles qu’il apporte répondent aux préoccupations qu’il a identifié dans le cadre du travail qu’il a mené depuis l’arrêt de la Cour. En effet et comme il s’y était engagé le 16 octobre, le G29 a évalué durant ces dernières semaines la validité des autres outils de transferts au regard de la décision de la CJUE. Pour ce faire, il a analysé le cadre légal américain et les pratiques des services de renseignement américains afin d’apprécier les conditions dans lesquelles le droit européen à la protection de la vie privée et des données ferait l’objet d’une ingérence injustifiée. Afin d’avoir une compréhension claire et complète de la situation aux Etats-Unis et de l’impact sur les transferts entre l’Europe et les Etats-Unis, le G29 a réalisé des auditions et entendu des personnes d’horizons divers originaires d’Europe ou des Etats-Unis : universitaires, entreprises, représentants de gouvernements, société civile.

Les garanties européennes essentielles

Le G29 a mené son évaluation à la lumière de la jurisprudence européenne sur les droits fondamentaux, qui fixe quatre garanties essentielles à respecter dans le cadre des activités de renseignement :
  • Les traitements doivent reposer sur des règles claires précises et compréhensibles : toute personne doit être informée du transfert de ses données et capable de comprendre ce qui en est fait ;
  • La proportionnalité au regard de la finalité poursuivie doit être démontrée : un équilibre doit être trouvé entre les finalités poursuivies par la collecte ou l’accès aux données (impératifs de sécurité publique) et les droits des individus ;
  • Un mécanisme de contrôle indépendant doit exister : il pourrait s’agir d’un juge ou de tout autre organe indépendant, dès lors qu’il a les capacités à mettre en œuvre les contrôles nécessaires.
  • Une possibilité de recours effectif doit être offerte aux citoyens : tout individu doit être en mesure de défendre ses droits devant un organe indépendant.
Le G29 relève que ces quatre garanties doivent être respectées dès lors que des données personnelles sont transférées depuis l’Europe vers les Etats-Unis, mais aussi vers d’autres pays tiers. Ces garanties doivent également être respectées par les pays membres de l’Union Européenne. A la lumière de son analyse, le G29 reconnait les efforts faits par les Etats-Unis en 2014 et 2015 pour améliorer la protection des données des personnes non-américaines. Néanmoins, des préoccupations demeurent quant au cadre légal américain actuel, au regard des quatre garanties, notamment celles portant sur le périmètre d’accès aux données et les possibilités de recours.

Le nouvel accord EU-U.S. Privacy Shield

Le G29 demande à la Commission Européenne de lui communiquer tous les documents relatifs au nouvel accord "EU-U.S. Privacy Shield" avant la fin du mois de février. Il l’examinera à la lumière de ces garanties essentielles et évaluera s’il répond aux préoccupations importantes relatives aux transferts internationaux de données soulevées par la décision de la CJUE. Le G29 se réunira en séance plénière dans les semaines suivantes et rendra publique son analyse au mois d’avril.

Les autres outils de transfert

Pendant cette période d’analyse du nouvel accord, les autres outils de transfert tels que les BCR ou les clauses contractuelles type peuvent continuer à être utilisés par les entreprises. En revanche, les transferts ne peuvent plus se faire sur la base de l’ancien accord Safe Harbor invalidé par la CJUE. La CNIL instruira les plaintes qui lui ont été adressées. ]]>
Actualités Travaux du Groupe de l’article 29 Transferts internationaux de données Thu, 04 Feb 2016 16:44:00 +0100
La CNIL et Inria lancent un prix européen pour encourager la recherche scientifique sur la protection de la vie privée http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-et-inria-lancent-un-prix-europeen-pour-encourager-la-recherche-scientifique-sur-la-protecti/ A l’occasion de la journée européenne de protection des données, la CNIL et Inria lancent un prix pour récompenser un article scientifique contribuant à l’amélioration de la protection de la vie privée.]]> La CNIL et Inria organisent, pour la première fois en 2016, un prix européen pour récompenser le meilleur article scientifique paru en 2014 et 2015 sur le sujet de la protection des données personnelles et de la vie privée.  Ce prix est destiné à promouvoir les travaux de recherche en sciences du numérique, réalisés dans ce champ. C’est aussi l’occasion de sensibiliser la communauté scientifique aux enjeux de protection des données et à la nécessité de développer des projets de recherche sur ces sujets. Les articles peuvent notamment porter sur l’un des thèmes suivants :
  • La protection de la vie privée dès la conception (Privacy by Design) ;
  • Les techniques de protection de la vie privée (PETs) ;
  • L’anonymisation ;
  • L’analyse des risques pour la vie privée ;
  • Le contrôle sur les données personnelles ;
  • L’accountability ;
  • La transparence.
Ils devront être issus de travaux réalisés au moins en partie dans un centre de recherche européen. Le ou les lauréats du prix seront invités à la Conférence Computers, Privacy and Data Protection en janvier 2017, ils y recevront leur trophée. Les travaux primés seront promus par la CNIL et Inria. Le règlement du prix est disponible ici. (Une version anglaise sera disponible dans les prochains jours.) Pour plus d’informations ou pour candidater vous pouvez nous contacter à :
prix.cnil-inria[at]cnil.fr

Le Jury

Le jury du Prix sera composé de 7 membres.

3 personnalités qualifiées du monde de la recherche :

  • Yves-Alexandre de Montjoye est chercheur en sciences informatiques à Harvard (USA) et titulaire d’un doctorat du Massachusetts Institute of Technology. Ses recherches portent sur l’unicité du comportement humain et ses conséquences pour la vie privée des individus --par la ré-identification et l’inférence-- dans des grandes bases de métadonnées telles que celles générées par l’usage du téléphone portable, des cartes de crédit ou d’Internet. Diplômé de Centrale Paris, il a également travaillé sur les limites de l’anonymisation pour la protection des données personnelles (voir profil complet).
  • Claudia Diaz est chargée de recherche au sein du groupe COSIC du département d’ingénierie électrique (ESAT) à l’université catholique de Louvain (Belgique). Ses recherches portent sur la sécurité informatique et la vie privée. Elle co-préside le comité de programme de la conférence PETS sur les technologies protectrices de la vie privée et elle est co-éditrice en chef du journal PoPETs. Elle est chargée de cours sur les thèmes « technologies de la vie privée » et « vie privée et Big Data » à l’Université catholique de Louvain (voir profil complet).
  • Josep Domingo-Ferrer est professeur en informatique et chercheur ICREA-Acadèmia de l’université Rovira i Virgili à Tarragone (Catalogne) où il est titulaire de la Chaire UNESCO Protection des Données Personnelles. Il a obtenu son doctorat en informatique et son M. Sc. en mathématiques à l’université autonome de Barcelone. Ses domaines de recherche sont la protection et la sécurité des données, les méthodes de secret statistique et les protocoles de chiffrement, avec l'objectif de concilier la protection de la vie privée, la sécurité, et les exigences fonctionnelles. Il a reçu différentes distinctions dont celle de IEEE Fellow (voir profil complet).

2 représentants de la CNIL :

  • Gwendal Le Grand est directeur des technologies et de l’innovation à la CNIL. Il supervise le service de l’expertise technologique, le pôle innovation et prospective, le laboratoire d’innovation numérique, et le service de l’informatique interne. Il participe aux travaux du G29 (le groupe des CNIL européennes), est officier de liaison du G29 vers l’ISO/IEC JTC1/SC27/WG5 qui développe les normes internationales dans le domaine de la protection des données, et représente le G29 au Permanent Stakeholder Group de l’Agence européenne de cybersécurité (ENISA). Avant de rejoindre la CNIL, il était Maître de conférences à Télécom Paristech. Gwendal Le Grand est titulaire d’un doctorat en informatique de l’Université Pierre et Marie Curie (Paris), obtenu en 2001.
  • Matthieu Grall a la charge du service de l'expertise technologique de la CNIL. Il aide les autres services de la CNIL et le G29 à comprendre le fonctionnement des systèmes complexes et des nouvelles technologies, ainsi que leurs enjeux vis-à-vis de la protection de la vie privée. Il participe aux activités de normalisation internationale à l’ISO, dans les secteurs de la sécurité de l’information et de la protection de la vie privée. Il est également Président du Club EBIOS, vice-président de la commission nationale de sécurité des systèmes d’information de l’Association française de normalisation (AFNOR), membre du Club des experts de la sécurité de l'information et du numérique (CESIN) et membre de l'Association des réservistes du chiffre et de la sécurité de l'information (ARCSI). Après des études d'informatique et de sciences cognitives, Matthieu Grall a travaillé dix ans au bureau conseil de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

2 représentants d’Inria :

  • Daniel Le Métayer est Directeur de Recherche Inria et coordinateur de l’Inria Project Lab CAPPRIS (Collaborative Action for the Protection of Privacy Rights in the Information Society). L’objectif de CAPPRIS est de favoriser la collaboration entre groupes de recherche en protection de la vie privée en France et les interactions interdisciplinaires dans ce domaine. Daniel Le Métayer a été précédemment responsable de l’action de recherche LICIT (Legal Issues in Communication and Information Technologies). De 2000 à 2006, il a travaillé pour Trusted Logic, une société concevant des produits de sécurité pour des systèmes embarqués. Les principaux sujets de recherche de Daniel Le Métayer concernent la conception respectueuse de la vie privée (privacy by design), l’analyse de risques d’atteinte à la vie privée, la responsabilité (accountability) et de manière plus générale les interactions entre le droit et l’informatique (voir profil complet).
  • Claude Castelluccia est Directeur de Recherche à Inria Rhône-Alpes, où il dirige l'équipe PRIVATICS (Modèles, architectures et outils pour la protection de la vie privée dans la société de l'information). PRIVATICS est une équipe de recherche qui étudie la protection de la vie privée sur Internet et développe des solutions qui préservent la vie privée des Internautes. Claude a effectué plusieurs séjours de longue durée au sein de l'Université de Californie, Irvine et de l'Université de Stanford, USA. Ses intérêts de recherche incluent les protocoles de l'Internet, la sécurité informatique, la cryptographie appliquée et la protection des données personnelles sur l'Internet. Il travaille depuis plusieurs années sur l'anonymisation des données, la transparence des données et l'analyse des systèmes de surveillance par les données. Il s'intéresse également aux aspects juridiques et économiques des données personnelles. Claude a présidé et participé a l'organisation de nombreuses conférences (ACM CCS, PETS, Wisec, ...) et est co-fondateur de la conférence Wisec. Il a dirigé plus de 10 doctorants.
Cette initiative s’inscrit dans le cadre de la convention de partenariat signée par la CNIL et Inria en 2011. Celle-ci a déjà permis de conduire des projets de recherche en commun comme MOBILITICS, sur « La face cachée des smartphones », avec pour objectif d’analyser en profondeur les données personnelles enregistrées, stockées, diffusées et ainsi de favoriser par la suite des innovations et des nouveaux services durables, protecteurs des droits des utilisateurs.]]>
Actualités Prix de thèse Recherche Thu, 28 Jan 2016 09:33:00 +0100
Plus de droits pour vos données ! http://www.cnil.fr/nc/linstitution/actualite/article/article/plus-de-droits-pour-vos-donnees/ A l’occasion de la journée européenne des données personnelles, la CNIL et le G29 publient 6 dessins pour mieux comprendre les avancées du futur règlement européen pour les citoyens. ]]> Après quatre années de débats, l’Union européenne a finalisé le projet de règlement sur la protection de données personnelles qui doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.  Au-delà de la simplification des formalités pour les entreprises, le règlement - qui sera adopté au premier semestre 2016 - renforcera les droits des citoyens européens et leur donnera plus de contrôle sur leurs données personnelles :
  • Portabilités des données : Si un utilisateur change de service, il pourra emporter ses données ;
  • Transparence : Le citoyen pourra mieux comprendre ce qui est fait de ses données et exercer ses droits plus simplement ;
  • Protection des mineurs : Les mineurs seront davantage protégés sur les services en ligne ; 
  • Guichet unique : En cas de litige avec une entreprise, c’est le lieu de résidence du citoyen qui compte ; Il pourra donc s’adresser à l’autorité de protection des données nationale (comme la CNIL en France) et dans sa propre langue.
  • Consécration du droit à l’oubli  
  • Sanctions renforcées
C’est Martin Vidberg qui a été choisi pour illustrer ces nouveaux droits qui entreront en vigueur dès 2018 dans tous les pays de l’Union européenne. ]]>
Actualités Projet de règlement européen Wed, 27 Jan 2016 17:32:00 +0100
La CNIL au Forum international de la cybersécurité (FIC) http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-au-forum-international-de-la-cybersecurite-fic/ La CNIL sera présente à double titre au FIC 2016 : Isabelle Falque-Pierrotin interviendra lors de la conférence de clôture le 25 janvier et la CNIL disposera d’un stand. ]]> Parce que les données personnelles sont désormais au cœur de l’économie numérique, leur protection devient un enjeu majeur de la cybersécurité. C’est pourquoi la CNIL accompagne les entreprises dès la conception du produit (privacy by design) et tout au long de son utilisation. Les contrôles portant sur les systèmes d’information favorisent la mise en conformité des acteurs.
La cybersécurité est en effet un enjeu majeur de libertés individuelles, de compétitivité et de confiance. Le stand de la CNIL sur le FIC permettra aux professionnels de bénéficier de conseils personnalisés pour se mettre en conformité et d’une sensibilisation au futur règlement européen qui sera voté dans les prochains mois. À l’heure où grandissent les inquiétudes des consommateurs concernant l’exploitation de leurs données personnelles, la sécurité, facteur de confiance, devient un argument de poids pour les acteurs publics et privés.]]>
Actualités Sécurité du SI Tue, 19 Jan 2016 16:24:00 +0100
Vers de nouvelles méthodologies de référence pour simplifier la recherche dans le domaine de la santé http://www.cnil.fr/nc/linstitution/actualite/article/article/vers-de-nouvelles-methodologies-de-reference-pour-simpifier-la-recherche-dans-le-domaine-de-la-sa/ Convaincue de l’importance de soutenir l’innovation et de favoriser la compétitivité de la recherche dans le domaine de la santé en France, la CNIL souhaite poursuivre les travaux de simplification engagés en 2014 et 2015. ]]> La CNIL a récemment adopté une série d’autorisations uniques et une méthodologie de référence dans le domaine de la santé afin de mettre à la disposition des acteurs concernés des outils de conformité adaptés à leurs pratiques, dans des conditions respectueuses de la protection des données personnelles :
  • Autorisation unique AU-041 relative aux autorisations temporaires d’utilisation (ATU) et les recommandations temporaires d’utilisation (RTU),
  • Autorisation unique AU-043 relative au dépistage organisé du cancer du sein et du cancer colorectal,
  • Méthodologie de référence MR-002 relative aux études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro.
La CNIL poursuit ses travaux de simplification en matière de recherche dans le domaine de la santé, afin de faciliter les démarches et de favoriser la mise en œuvre des projets dans des délais garantissant la compétitivité de la France dans ce secteur. Deux projets sont en cours :
  • l’évolution de la méthodolologie de référence 001 relative aux traitements de données à caractère personnel dans le cadre des recherches biomédicales,
  • l’élaboration d’une nouvelle méthodologie de référence, portant sur les recherches dans le domaine de la santé ne nécessitant pas le recueil du consentement écrit des personnes concernées.
Deux projets de méthodologie de référence ont donc été soumis à la concertation auprès d’organismes publics et privés représentatifs le 16 octobre 2015 :
  • Un projet de MR-001 modifiée afin de tenir compte des évolutions réglementaires intervenues en matière de recherches interventionnelles,
  • Un projet de MR-003 relatif à certaines recherches non interventionnelles.
Afin d’établir des textes en adéquation avec les besoins des acteurs de la recherche, les organismes suivants ont été sollicités :
  • Le Ministère de la santé, Direction générale de la santé
  • Le Ministère de l’enseignement supérieur et de la recherche, Direction générale de la recherche et de l’innovation
  • Le CCTIRS (Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé)
  • L’ANSM (Agence nationale du médicament et des produits de santé)
  • La HAS (Haute Autorité de santé)
  • La Conférence des directeurs généraux de centres hospitaliers universitaires
  • La Fédération UNICANCER (GCS de la Fédération nationale des centres de lutte contre le cancer)
  • L’INSERM (Institut national de la santé et de la recherche médicale)
  • L’InVS (Institut de veille sanitaire)
  • L’INED (Institut national d’études démographiques)
  • Le CISS (Collectif inter associatif sur la santé)
  • Les Présidents des CPP (Comités de protection des personnes) 
  • Le LEEM (Les Entreprises du Médicament)
  • Le SNITEM (Syndicat national de l’industrie des technologies médicales)
  • Le CNOM (Conseil de l’ordre des médecins)
  • L'AFCRO's (Association française des CRO)
  • Le CNRS (Centre national de la recherche scientifique)
La concertation est prolongée jusqu’au 31 janvier 2016 pour permettre à l’ensemble des organismes concernés d’y participer.]]>
Actualités Recherche médicale Tue, 19 Jan 2016 15:40:00 +0100
Vote électronique & sécurité : consultation des professionnels et experts http://www.cnil.fr/nc/linstitution/actualite/article/article/vote-electronique-securite-consultation-des-professionnels-et-experts/ La CNIL lance une consultation auprès des professionnels et experts afin d’améliorer la prise en compte de la sécurité dans ses recommandations relatives au vote par correspondance électronique dit « vote électronique ». ]]> Les recommandations de la CNIL et cette consultation concernent le vote par correspondance électronique dit " vote électronique ", c'est-à-dire les votes effectués à distance, généralement par internet. Sont donc exclus du périmètre les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone ou SMS, ou encore les machines à voter. La CNIL doit évaluer la conformité des traitements de vote par correspondance électronique à la loi Informatique et Libertés. Elle doit notamment vérifier que le responsable du traitement a bien pris " toutes les précautions, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès " (article 34). La sensibilité des données traitées, la relative complexité technique des solutions mises en œuvre dans le cadre d'un vote électronique et la démocratisation de ce type de traitement, sont autant de raisons qui ont conduit la CNIL  à adopter une recommandation dès 2003, mise à jour en 2010. Au vu de l'évolution des technologies, de la démocratisation du recours au vote électronique pour des élections aux enjeux très hétérogènes et enfin, des retours terrain, la CNIL a identifié plusieurs axes d'amélioration possibles, notamment :
  • une doctrine à plusieurs niveaux de sécurité serait de nature à mieux répondre à la diversité des scrutins mis en œuvre (par exemple, les élections de délégués d'une classe, des représentants du personnel dans une TPE/PME ou dans une société du CAC 40 sont autant d'exemples à distinguer) ;
  • plusieurs éléments de forme pourraient être précisés pour éviter toute ambigüité (en particulier, préciser certains termes, préciser certaines mesures techniques, supprimer les mesures devenues non nécessaires) ;
  • plusieurs éléments techniques pourraient être mis à jour notamment au regard de la réévaluation des risques et de l'évolution des techniques.
Afin d'avoir des retours représentatifs des parties intéressées, la CNIL lance une consultation auprès :
  • des correspondants informatique et libertés, CILs (en tant que représentants des responsables de traitements) ;
  • des experts en sécurité (experts indépendants en vote électronique, académiques, etc.) ;
  • des prestataires de solution de vote électronique.
La consultation sera ouverte jusqu'au 1er mars 2016.

Vous êtes professionnel ou expert du domaine et souhaitez participer à la consultation ?

Contactez-nous

]]>
Actualités Futurs correspondants Vote électronique Wed, 13 Jan 2016 09:21:00 +0100
Plus qu’un mois pour participer et remporter les Trophées EDUCNUM ! http://www.cnil.fr/nc/linstitution/actualite/article/article/plus-quun-mois-pour-participer-et-remporter-les-trophees-educnum/ La CNIL et le Collectif éducation au numérique relancent le concours Educnum des 18-25 ans. L’objectif : développer des projets pour inciter les 6-14 ans à adopter les bons réflexes sur Internet.]]> A la clé pour les gagnants ? 10 000 € et une mise en relation avec les professionnels du secteur. Les candidats sont libres de :
  • participer seul ou en équipe, 
  • proposer tout type de support (dataviz, kit pédagogique, serious game...) 
  • et s’adresser à la tranche d’âge de leur choix (6-10 ans ou 10-14 ans)


Inscriptions jusqu’au 15 février 2016.

S’informer Se préparer Participer Le concours est organisé en partenariat avec Skyrock, France 4 et France TV éducation.  Il est soutenu par les ministères de l’Education nationale et de la Jeunesse et sports. Découvrir les projets gagnants de la dernière édition et le collectif Educnum.]]>
Actualités Education numérique Internautes Jeunes Mon, 11 Jan 2016 18:11:00 +0100
PROFILS SENIORS sanctionné par la CNIL pour manque de transparence http://www.cnil.fr/nc/linstitution/actualite/article/article/profils-seniors-sanctionne-par-la-cnil-pour-manque-de-transparence/ La formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la société PROFILS SENIORS en raison de nombreux manquements à la loi « Informatique et Libertés ».]]> La société PROFILS SENIORS a pour activité la constitution d’une base de données de séniors qu’elle loue à des tiers effectuant de la prospection commerciale électronique. En août 2013, la CNIL a reçu une plainte d’une personne dénonçant l’absence de réponse à ses demandes adressées à PROFIL SENIORS. Elle demandait l’accès à ses données personnelles et formulait son opposition à ce que ses données soient transmises à des tiers à des fins de prospection commerciale. Dans le cadre de l’instruction de cette plainte, la société PROFILS SENIORS a apporté une réponse satisfaisante. La CNIL a donc clôturé la plainte. La Commission a ensuite effectué un contrôle sur place en 2015 afin de vérifier l’effectivité des mesures prises par la société et d’une manière générale la conformité de ses traitements à la loi « Informatique et Libertés ». Ce contrôle a permis de constater de nombreux manquements à la loi, ce qui a conduit à saisir la formation restreinte de la CNIL. Sur la base des constatations effectuées, la formation restreinte a notamment relevé :
  • que la finalité de la collecte des données indiquée par téléphone aux personnes concernées ne correspondait pas exactement à la réalité du traitement, ce qui devait conduire à considérer cette collecte comme déloyale. En effet, il ressort des éléments du dossier que les personnes appelées pensent participer à une enquête sur la consommation des ménages français, alors que l’appel vise également à constituer une base de données de seniors qui feront l’objet de prospection commerciale électronique par des tiers, partenaires de la société PROFILS SENIORS.
  • que la société ne recueillait pas le consentement préalable des personnes à recevoir de la prospection commerciale par voie électronique, tel qu’exigé par les textes.
  • que la société n’assurait pas la sécurité et la confidentialité des données personnelles qu’elle traitait et qu’il n’existait pas de contrat ou de clauses spécifiques avec ses sous-traitants permettant de leur imposer des conditions de sécurité et de confidentialité des données.
  • que la société n’avait pas déclaré son traitement relatif à la collecte de données auprès de séniors, ni déposé une demande d’autorisation pour le transfert des données vers des sous-traitants situés dans des pays en dehors de l’Union européenne.
En conséquence, la formation restreinte de la CNIL a décidé de prononcer un avertissement public à l'encontre de la société PROFILS SENIORS.]]>
Actualités Consommateurs Sanctions Marketing Publicité Mon, 04 Jan 2016 12:30:00 +0100
[Communiqué G29] Consensus sur le Paquet européen protection des données personnelles : une étape clé pour la crédibilité européenne http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-consensus-sur-le-paquet-europeen-protection-des-donnees-personnelles-une-etap/ L’accord trouvé par le comité LIBE du Parlement Européen, le COREPER et la Commission Européenne sur la réforme européenne de la protection des données marque une des dernières étapes vers l’adoption finale des textes. Le G29 salue ce consensus obtenu comme une décision majeure pour la crédibilité européenne sur la scène internationale.]]> Le groupe de travail des CNIL européennes (G29) a d’ores et déjà commencé ses travaux pour assurer une période de transition constructive et progressive à l’égard de toutes les parties prenantes, et en particulier pour être prêt en tant que « comité européen de la protection des données » le jour J. Depuis le début des discussions sur le réforme européenne de la protection des donnée en 2012, le G29 a assuré son rôle d’expertise auprès des législateurs européens afin de contribuer à garantir un niveau élevé et harmonisé de protection des données personnelles à travers la publication de nombreux avis et recommandations. Il avait notamment remis le 18 juin dernier la position commune de toutes les autorités européennes de protection des données aux trois institutions parties au trilogue. L’accord doit encore être formellement adopté par le Parlement Européen en plénière et par le conseil de l’Union Européenne Justice et Affaires Intérieures.

Isabelle Falque-Pierrotin, Présidente du G29 (et de la CNIL) :

« Par cet accord, l’Europe marque sa détermination à être un acteur majeur du numérique tout en préservant les valeurs humanistes qui sont les nôtres. C’est un signal envoyé à tous les acteurs mondiaux. Le niveau de protection des données des citoyens et consommateurs européens devra rester au moins équivalent à celui garanti par le règlement pour toute entreprise dont les utilisateurs sont situés dans l’Union Européenne. »

]]>
Actualités Travaux du Groupe de l’article 29 Tue, 22 Dec 2015 12:16:00 +0100
Projet de loi République numérique : publication de l’avis de la CNIL http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-loi-republique-numerique-publication-de-lavis-de-la-cnil/ L’avis de la CNIL sur le projet de loi pour une République numérique a été publié à la demande du président de la Commission des lois de l’Assemblée nationale. Ce projet renforce les droits des citoyens et conforte le rôle de la CNIL.]]> La CNIL s'est prononcée, lors de la séance plénière du 19 novembre 2015, sur l’avant projet de loi, dans sa version alors envisagée par le Gouvernement. Le projet de texte soumis en première lecture à l’Assemblée nationale comporte de nombreuses modifications, qui tiennent notamment compte de l’avis de la CNIL.

Une nécessaire cohérence avec les autres textes en préparation

La CNIL relève tout d’abord que ce projet de loi intervient alors que le projet de règlement du Parlement européen et du Conseil relatif à la protection des données personnelles et à la libre circulation de ces données, est en cours de finalisation. Ce texte, d’application directe, doit assurer l’unification du droit européen et apporter un standard élevé de protection pour les citoyens européens avec notamment un renforcement de leurs droits. Le projet de loi pour une République numérique devra donc s’y conformer, ce qui impliquera de l’adapter en cours de procédure. La CNIL rappelle, en outre, l’importance de veiller à la cohérence des dispositions adoptées en matière de diffusion de données publiques (open data), plusieurs lois récentes ou projets de loi, notamment le projet de loi relatif à la santé et la loi du 7 août 2015 portant nouvelle organisation territoriale de la République (« NOTRe »), comportant des dispositions spéciales en la matière.

Des droits renforcés, à harmoniser avec le droit européen

De manière générale, la Commission salue le renforcement des droits des citoyens. Ainsi, la consécration du droit à la libre disposition de ses données, c’est-à-dire le droit de l’individu de décider de la communication et l’usage de ses données personnelles, va dans le sens d’une meilleure maîtrise par les individus de leurs données.  Cette consécration est une continuité des droits déjà reconnus par la loi Informatique et Libertés tels que le droit d’accès, le droit d’opposition ou le droit de suppression. La CNIL souligne également l’intérêt de légiférer sur le devenir des données personnelles des personnes décédées et le renforcement de l’information des personnes, ainsi que sur la loyauté des plateformes. Dans la mesure où le projet de règlement européen prévoit des dispositions spécifiques sur les mineurs et introduit un droit à la portabilité, le projet de loi devra être conforme, sur ces deux points, au texte européen. A cet égard, le « droit à la portabilité » introduit par le projet de loi a un périmètre et un champ d’application différent de celui du projet de règlement, qui porte exclusivement sur les données personnelles.

L’action de la CNIL confortée mais le montant des sanctions inchangé

Le projet de loi tend également à renforcer les pouvoirs de la CNIL et à conforter ainsi son engagement dans la régulation du numérique et son activité d’accompagnement des particuliers, des entreprises et des administrations. Toutefois, elle déplore que certaines de ses propositions faites en janvier 2015 n’aient pas été retenues. En particulier, ses pouvoirs de sanction ne sont que partiellement renforcés. Le montant des sanctions pécuniaires qu’elle peut prononcer n’a pas été révisé, alors même qu’il s’agit d’un enjeu majeur pour l’efficacité de la régulation. Le projet de règlement européen sur la protection des données prévoit d’ailleurs une augmentation importante de ce montant.

Ouverture des données et respect de la vie privée

Le projet de loi vise à développer l’open data, en prévoyant une large publication des données administratives et en posant le principe de libre réutilisation des données publiques mises en ligne. Si cette orientation n’appelle pas, par elle-même, d’observations de la CNIL, il convient que cette ouverture intervienne dans le respect de la vie privée. A cet égard, plusieurs garanties ont été apportées, notamment à la suite de l’avis de la CNIL :
  • Les conditions de communicabilité des documents administratifs, qui visent notamment à protéger la vie privée, ne sont pas modifiées.
  • La publication de documents comportant des données à caractère personnel ne pourra intervenir qu’après anonymisation des données, sauf si une disposition législative ou réglementaire autorise une diffusion sans anonymisation préalable ou si la personne intéressée y a consenti.
  • La réutilisation des données reste subordonnée au respect de la loi « informatique et libertés », ce qui implique notamment qu’une base de données anonymisée ne puisse pas servir à ré identifier des personnes.
  • Enfin, la CNIL pourra certifier la conformité à la loi de méthodologie d’anonymisation, ce qui renforcera la sécurité juridique pour les administrations concernées.
Dans son avis, la Commission a estimé que ces dispositions ne remettaient pas en cause l’équilibre nécessaire entre transparence administrative, d’une part, et protection de la vie privée et des données personnelles, d’autre part. La conciliation de ces deux intérêts constitue en effet une condition essentielle à la mise en œuvre de toute politique d’ouverture des données. La Commission a dès lors formulé plusieurs observations concernant les modalités effectives de respect de cet équilibre. En particulier, elle a rappelé que la vérification préalable des processus d’anonymisation, sous le contrôle de la CNIL, constitue un impératif majeur pour une ouverture des données respectueuse des droits des personnes.

Une simplification des procédures pour la statistique et la recherche publique, dans le prolongement des propositions de la CNIL

Le projet de loi comporte enfin des dispositions relatives à la recherche publique, en matière statistique ou scientifique. Il vise ainsi à simplifier les formalités préalables aux recherches publiques utilisant le NIR. La CNIL s’est montrée favorable à cette simplification, qu’elle avait proposée depuis plusieurs années, dès lors, d’une part, que le NIR fait l’objet d’un cryptage robuste et, d’autre part, qu’elle sera compétente pour autoriser les recherches publiques à des fins scientifiques conduites sur ce fondement.]]>
Actualités Citoyens Vie de la CNIL Internet Thu, 17 Dec 2015 15:16:00 +0100