module 4 la protection des données personnelles. « quand c’est gratuit, c’est vous le produit...

53
Module 4 La protection des données personnelles

Upload: macaire-bernard

Post on 04-Apr-2015

105 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Module 4

La protection des données personnelles

Page 2: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

« Quand c’est gratuit, c’est vous le produit »

Facebook, Twitter, Google…

La loi informatique et libertés (1978)– http://www.cnil.fr/index.php?id=45

La CNIL : rôle et mission– http://www.cnil.fr/la-cnil/qui-sommes-nous/

Page 3: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.1. Quand appliquer la loi informatique et libertés ?

Seulement la protection de la personne physiqueDistinction :- personne physique protégée, même dans son activité professionnelle - personne morale non protégée par cette loi.

D’autres critères :- Données personnelles ?- Traitement de données ?- Responsable du traitement ?

Page 4: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.1.1 Qu'est-ce qu'une donnée personnelle ?

Article 2 al. 2 Loi 1978 • Une donnée personnelle est une information qui

permet d’identifier ou de reconnaître une personne physique, directement ou indirectement.

• Par exemple, un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur (il  y  a  débat), numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, d’une empreinte digitale, ADN, photo, numéro de sécurité sociale... .

Page 5: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

ExempleL’image des personnes : • L’image d’une personne est une donnée à caractère

personnel. • Les principes de la loi "informatique et libertés"

s’appliquent. • La diffusion à partir d’un site web, par exemple, de

l’image ou de la vidéo d’une personne doit se faire dans le respect des principes protecteurs de la loi du 6 janvier 1978 modifiée.

• Ces principes rejoignent les garanties issues du droit à l’image – Principe du consentement.

Page 6: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Rappel sur le droit à l’image

• Principe du consentement écrit et personnel de la part d’une personne concernant la diffusion de son image.– Par exception : possibilité de reproduire une photo

au titre du droit à l’information du public • Nécessiter de prouver le lien direct entre l’information

et la photo.

– Le consentement tacite ? Prouver "sujet" a participé en connaissance de cause à la captation de son image dans le cas d’un reportage.

Page 7: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.1.2 Qu’est ce qu’un « traitement de données » :

Traitement de données ? tous types de manipulationArticle 2 al. 3 L 78 : Constitue un traitement de données à caractère personnel• la collecte, • l’enregistrement, • l’organisation, • la conservation, • l’adaptation ou la modification, • l’extraction, la consultation, • l’utilisation, la communication par transmission, • diffusion ou toute autre forme de mise à disposition, • le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement

ou la destruction.

Page 8: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.1.3. Qu’est ce qu’un responsable d’un traitement de données ?

• C’est sur lui que pèse l’obligation de respecter la loi de 1978,

• Article 3-1 Loi 1978 :

– Critères : détermination des finalités & moyens

– Le responsable d’un traitement de données à caractère personnel est, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.

– Ce n’est pas le sous-traitant : par exemple un hébergeur.

Page 9: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Le sous-traitant Article 35 de la loi informatique et libertés :

•Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que sur instruction du responsable du traitement.

•Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

•Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

•Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Page 11: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.2.1 Le droit à l’informationToute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.

Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation.

Ce droit conditionne l'exercice des autres droits tels que le droit d'accès ou le droit d'opposition.

Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de : – l’identité du responsable du traitement,– l’objectif de la collecte d’informations,– le caractère obligatoire ou facultatif des réponses,– les conséquences de l’absence de réponse,– les destinataires des informations,– les droits reconnus à la personne,– les éventuels transferts de données vers un pays hors de l’Union Européenne.

En pratique : les personnes sont informées au moment de la collecte de leurs données sur - le formulaire de collecte des données par des mentions obligatoires; - et souvent par l’intermédiaire d’une charte de confidentialité (privacy policy).

Page 12: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Exemple de mention obligatoire sur Formulaire de collecte de données personnelles

• Modèles de mentions légales :………………………… (Veuillez indiquer l’identité du responsable du traitement)

« Les informations recueillies font l’objet d’un traitement informatique destiné à … (Veuillez préciser la finalité). Les destinataires des données sont :……………………… (précisez).

Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à …………………………………… (Veuillez préciser le service et l’adresse).

Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

• Pour plus de modèles : http://www.cnil.fr/vos-responsabilites/informations-legales/

Page 13: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.2.2 Le droit d’opposition Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans

un fichier.• Attention : un régime particulier pour la prospection commerciale sur internet

reposant sur le consentement de l’internaute (cf. plus loin)

Le droit d'opposition peut s’exprimer :• par un refus de répondre lors d’une collecte non obligatoire de données,• par le refus de donner l’accord écrit obligatoire pour le traitement de données

sensibles telles que les opinions politiques ou les convictions religieuses,• la faculté de demander la radiation des données contenues dans des fichiers

commerciaux,• la possibilité de s'opposer à la cession ou la commercialisation d’informations,

notamment par le biais d’une case à cocher dans les formulaires de collecte ...

Les limites au droit d’opposition• Le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public

comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale ….

Page 14: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Dans chaque message une possibilité de désinscription

Par tous moyens qu'il s'agisse• de retrait en ligne de la liste des adresses de courriers électroniques utilisées, • par envoi d'un message qui pourra être suivi d'un accusé de réception, • ou sur une page web accessible d'un simple « clic » figurant dans le message

commercial.

Les réclamations reçues par la CNIL font apparaître que les liens de désinscription ne fonctionnent pas toujours, lorsqu'ils existent.

• Une fois la désinscription demandée par l'internaute, l'effacement de ses données doit s'effectuer dans les plus courts délais.

• Enfin, indiquez sur la page de désinscription le nom et les coordonnées du responsable du traitement et du propriétaire du fichier source s'il est différent du responsable du traitement.

• Répercutez l'action de désinscription ou d'opposition au responsable du traitement et à l'annonceur lorsque cette demande s'adresse à l'annonceur.

Page 15: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.2.3 Droit d’accès Toute personne a le droit d'interroger le responsable d’un fichier pour savoir

s’il détient des informations sur elle• Toute personne justifiant de son identité a le droit d'interroger le

responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication.

• Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction.

En exerçant son droit d’accès, la personne peut s’informer :• des finalités du traitement, • du type de données enregistrées, • de l’origine et des destinataires des données, • des éventuels transferts de ces informations vers des pays n’appartenant

pas à l’Union Européenne. • Toute personne est en droit d’obtenir des explications sur le procédé

informatique qui a contribué à produire une décision la concernant (scoring, segmentation, profil …).

Page 16: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Un régime particulier : le droit d'accès indirect

Le droit d’accès indirect est une procédure spécifique qui concerne :• les fichiers intéressant la sûreté de l’Etat, la défense et la sécurité

publique (fichiers de police judiciaire, fichiers des services de l’information générale - « ex renseignements généraux » -, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen)

• certains fichiers du ministère de la Justice (fichier des détenus dans les prisons)

Dans ce cas, la CNIL est l’interlocuteur de la personne traitée. • Elle ne gère pas les fichiers concernés et n’a donc pas connaissance

des personnes qui y figurent. • C’est un magistrat de la Commission qui exerce votre droit d’accès

et de rectification pour votre compte. Il peut demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

Page 17: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.2.4 Droit de rectificationToute personne peut faire rectifier des informations qui la

concernent • Toute personne peut faire rectifier, compléter, actualiser,

verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite.

• Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu'il a effectuées.

Page 18: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Le droit à l’oubli & Google

• Le 13 mai 2014, le CJUE a jugé, dans son arrêt Google Spain SL/Aepd que les moteurs de recherche étaient tenus de supprimer de la liste des résultats affichés à la suite d’une recherche à partir du nom d’une personne des liens vers des pages web contenant des informations relatives à cette personne, dès lors que cette dernière en fait la demande.

Page 19: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Pour aller plus loin…

• FAQ des questions les plus fréquemment posées à la CNIL

• http://www.cnil.fr/vos-libertes/vos-droits/vos-droits-en-questions/

Page 20: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3. Les obligations du responsable du traitement

• Sécurité, confidentialité, durée, information des personnes, information ou autorisation

• Source : http://www.cnil.fr/vos-responsabilites/vos-obligations/

Page 21: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.1. La sécurité des fichiers

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

• Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende.art. 226-17 du code pénal

Page 22: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.2. La confidentialité des données

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

• La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende.

• La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal

Page 23: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.3. La durée de conservation des informations

Les données personnelles ont une date de péremption.

• Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

• Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de 300 000 € d'amende.

• art. 226-20 du code pénal

Page 24: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.4 L’information des personnes

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits.

Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive. art. 131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005

Page 25: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

L'autorisation de la CNIL

Les traitements informatiques de données personnelles qui présentent des risques particuliers (données sensibles) d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL.

• Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et 300 000€ d'amende. art. 226-16 du code pénal

Page 26: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.6. Respect de la finalité des traitements

Un fichier doit avoir un objectif précis. • Les informations exploitées dans un fichier

doivent être cohérentes par rapport à son objectif.

• Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.

• Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 € d'amende.art. 226.21 du code pénal

Page 27: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Un exemple

• Ainsi par exemple a été jugé que constitue le délit de détournement de finalité, l’envoi par une Caisse d’Epargne de publicités dans la même enveloppe que celle utilisée pour adresser des relevés de comptes, alors que le traitement avait été déclaré en conformité à une norme simplifiée qui n’avait pas prévu ce type d’envois.

Page 28: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.3.7. Transfert de données hors U.EQu'est-ce qu'un transfert de données personnelles?• lorsque des données personnelles sont transférées depuis le territoire européen vers

des pays situés en-dehors de l'Union européenne.

Ces transferts sont interdits sauf :

1. Si le transfert a lieu vers un pays reconnu comme "adéquat" par la Commission européenne. (Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'Isle de Man …)

2. Si des Clauses Contractuelles Types, approuvées par la Commission européenne, sont signées entre deux entreprises ou,

3. Si des Règles internes d'entreprises (BCR) sont adoptées au sein d'un groupe ou,4. Si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Safe

Harbor ou, 5. Si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est

invoquée.

Sanctions pénales : Articles 226-16, 226-16 A et 226-22-1 du Code pénal

Pour aller plus loin : http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/

Page 29: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4. Les procédures devant la CNIL

• Des procédures distinctes en fonction des situations :– http://www.cnil.fr/vos-responsabilites/declarer-a-la-

cnil/

Page 30: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

5 situations à prendre en compte à la CNIL

1.Dispense de déclaration :2.Simple déclaration de conformité à une

norme simplifiée :3.La déclaration normale :4.La demande d’autorisation :5.Le CIL

Page 31: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4.1 Cas 1 : Les dispenses de déclaration à la CNIL

1. Comptabilité générale2. Paie des personnels du secteur privé 3. Fournisseurs 4. Sites web personnels ou blogs5. Fichiers de communication non commerciale 6. Associations : gestion des membres et donateurs7. Activités exclusivement personnelles8. Membres d'organismes religieux, philosophiques, politiques ou

syndicaux 9. Conservation d'archives 10. Journalisme, expression littéraire ou artistique

Pour aller plus loin : Déclarer un fichier sur le site la Cnil

Page 32: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4.2 Cas 2 : La déclaration de conformité à une norme simplifiée

• Si le fichier est courant, il peut faire l’objet d’une déclaration simplifiée.

• Il s’agit d’un engagement de se conformer à des règles simples :– norme simplifiée , – autorisation unique – ou acte réglementaire unique

Page 33: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Application pratique

Analyse d’une norme simplifiée

•Fichiers clients-prospects et vente en ligne (Norme simplifiée n° 48)

Page 34: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4.3. Cas 3 : La déclaration normale

• Applicable aux traitements qui ne soulèvent pas de difficultés au regard de la protection des libertés mais qui ne rentrent pas dans un cas identifié de déclaration normale.

• Faire une déclaration normale en cas de doute.

Page 35: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4.4 Cas 4 : Demande d'autorisationCette procédure s'applique dans l'un des trois cas suivants :

1/ si vous enregistrez des données sensibles : - origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle

ou santé des personnes- Données biométriques- Données génétiques- Infractions, condamnations, mesures de sûreté- N° de sécurité sociale (sauf organismes autorisés)- Appréciations sur les difficultés sociales des personnes.

2/ ou si votre traitement poursuit des finalités spécifiques : - traitements statistiques de l'INSEE- traitements susceptibles d'exclure du bénéfice d'un droit, d'une prestation ou d'un contrat- l'interconnexion de fichiers ayant des finalités distinctes ou correspondant à des intérêts publics

distincts

3/ ou si vous transférez des données vers un pays hors de l'union européenne La procédure auprès de la CNIL dépend du niveau de protection du pays vers lesquels vous transférez

ces données

Page 36: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.4.5. Un CIL ?La désignation d’un correspondant Informatique et Libertés, ou «CIL», permet au responsable

de traitement d’alléger ses obligations de déclaration auprès de la CNIL.

Au sein de sa structure, ou en externe pour les petites structures, il désigne une personne qui sera chargée :

– de tenir un registre des traitements mis en œuvre au sein de l’organisme– de veiller au respect des dispositions de la loi « informatique et libertés » au sein de

l’organisme.– En contrepartie, l’organisme qui a désigné un CIL n'a plus à effectuer les formalités

pour les traitements qui relèvent du régime de la déclaration.

Seules les demandes d’autorisation ou demandes d’avis devront être effectuées auprès de la CNIL.

• Un expert au service de la protection des données• De nombreux organismes s’appuient déjà sur l’expertise de leur correspondant

informatique et libertés (CIL).• Accessible aux organismes publics et privés, le CIL est un moyen de se prémunir contre de

nombreux risques vis-à-vis de l’application de la loi.• La présence du CIL permet aux organismes qui le désignent de mettre en œuvre une

politique de protection des données efficace.• La désignation du CIL est facultative

Page 37: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.5. Première application pratique : la prospection par internet

Les règles de la prospection par courrier électronique•Source : http://www.cnil.fr/dossiers/conso-pub-spam/fiches-pratiques/article/la-prospection-commerciale-par-courrier-electronique/

Page 38: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

L'e-mailing n'est pas du "spam" dès lors qu'il respecte les règles et recommandations suivantes :

Pas de prospection électronique de particuliers à partir d’adresses de courriers électroniques collectées dans les espaces publics de l'internet (site web, annuaire, forum discussion,…).

Page 39: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Utilisez les adresses de courriers électroniques collectées de manière loyale :

Lorsque la personne a été informée d'une telle utilisation,

et mise en mesure, au moment de la collecte de son adresse, soit d’y consentir, soit dans certains cas spécifiques de s’y opposer.

Si vous souhaitez utiliser un fichier d’adresses de courriers électroniques à des fins de prospection :

• s’il s’agit d’un fichier  loué  et/ou  acheté  auprès de prestataires spécialisés, vous devez vous assurer contractuellement que les adresses électroniques utilisées ont été collectées de manière régulière ;

• s’il s’agit de votre propre fichier, vous devez vous assurer que les personnes concernées aient été informées de manière appropriée.

Page 40: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Le recueil du consentement préalable des personnes est exigé pour les messages commerciaux destinés à

des particuliers (« B to C »).

Un consentement libre, spécifique et informé.

Ainsi par exemple : • le recueil du consentement ne saurait être subordonné à l’acception

des conditions générales de vente. • les cases « pré-cochées » qui permettent de présumer du

consentement de la personne ne sont pas admises. • Le recueil du consentement peut être effectué selon les modèles

fournis par les codes de déontologie du SNCD et de l’UFMD qui prévoient que le consentement peut être obtenu par le biais d’une case à cocher sur chaque formulaire de collecte, ce qui constitue une préconisation constante de la CNIL.

• Le droit de s’opposer préalablement et gratuitement à une utilisation à des fins de prospection de son adresse de courrier électronique doit être prévu.

Page 41: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Dans le cas d’une relation client-entreprise existante :

Dérogation au principe du consentement préalable lorsque le particulier a déjà été contacté, à l’occasion d’une vente ou d’une prestation de service, par l’organisme souhaitant le démarcher.

Ainsi, si une personne a acheté un produit auprès d’une entreprise, celle-ci pourra lui adresser des messages commerciaux pour assurer la promotion de ses produits,

• à la condition toutefois que ceux-ci soient analogues à celui qu’il avait antérieurement acheté auprès d’elle.

• De plus, l’entreprise doit lui offrir la possibilité, au moment de sa commande, de s’opposer gratuitement et de manière simple à recevoir de la publicité de sa part.

Page 42: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Le cas d’une prospection par courrier électronique dans le cadre professionnel

(« B to B »)Il n’est pas nécessaire d’obtenir l’accord du destinataire lorsque :• l’adresse électronique est de type générique, ex : info@…, 

contact@…, commande@… • l’adresse électronique nominative est professionnelle ex :

nom.pré[email protected]

à la double condition que :

– le professionnel a été informé lorsqu’il a communiqué son adresse électronique de la possibilité de s’opposer gratuitement à toute utilisation commerciale de ses coordonnées,

– l’objet de la sollicitation soit en rapport avec les fonctions exercées à titre professionnel par le destinataire du message

Page 43: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Autres prospectionsDans le cas d’une prospection autre que de nature

commerciale comme par exemple la prospection à caractère  politique,  associative,  religieuse  ou caritative (ex. : collecte de dons),

– la personne concernée doit avoir été préalablement informée de l’utilisation de son adresse à de telles fins et avoir été mis en mesure de s’opposer à cette utilisation.

– Dans tous ces cas de figure, la CNIL recommande que le droit d’opposition puisse s’exercer directement à partir du formulaire de collecte par l’apposition d’une case à cocher.

Page 44: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

4.6. Seconde application pratique : la cyber surveillance du salarié

Pour mémoire : Droit du travail et NTIC – des spécificités :

– Clauses spécifiques dans le contrat de travail concernant les informaticiens– Ex. clause de non-concurrence qui connait certaines limites (durée, périmètre, secteur précis)

– Modification du contrat de travail du fait de l’informatique (relation collective et individuelle)• Travail à l’écran…• Télétravail

• La question de la cyber surveillance– L’employeur a le droit de contrôler et de surveiller l’activité de son personnel– Mais ….

Page 45: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Pour aller plus loin : le guide de la CNIL

• http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_GuideTravail.pdf

Fiche n° 1 – Les opérations de recrutement page 8Fiche n° 2 – Les annuaires du personnel page 12Fiche n° 3 – L’accès au dossier professionnel page 13Fiche n° 4 – La gestion des œuvres sociales et culturelles page 14Fiche n° 5 – Les transferts internationaux de données page 16Fiche n° 6 – Contrôle de l’utilisation d’internet et de la messagerie page 18Fiche n° 7 – Les administrateurs réseau page 23Fiche n° 8 – La vidéosurveillance sur les lieux de travail page 25Fiche n° 9 – La gestion de la téléphonie page 28Fiche n° 10 – Les dispositifs de géolocalisation gsm/gps page 32Fiche n° 11 – L’utilisation de badges sur le lieu de travail page 34Fiche n° 12 – La biométrie sur le lieu de travail page 35

Page 46: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Article L1222-4 du Code du travail

Principe de transparence :

Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance.

D’où l’importance des chartes informatiques en entreprise

Pour un exemple qui date un peu Renault

Page 47: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Article L1121-1 du Code du travail

Principe de proportionnalité

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

Page 48: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Sous quelles conditions accéder aux messages électroniques d’un salarié ?

Des courriels sont présumés professionnels à moins d’être identifiés «personnels».

• La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur est présumé avoir un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007).

• Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels et l’employeur peut y accéder librement.

• La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

Page 49: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Fichier personnelSi un fichier est identifié comme étant personnel, l’employeur

ne peut y avoir accès – « qu’en présence du salarié ou si celui-ci a été dûment appelé, – ou « en cas de risque ou événement particulier ».

Le salarié ne peut pas s’opposer à un tel accès si ces conditions ont été respectées.

• Par exemple : il a été jugé que la découverte de photos érotiques dans le tiroir d’un salarié ne constituait pas un risque ou un événement particulier justifiant que l’employeur accède au répertoire intitulé « perso » hors la présence du salarié ou sans que celui-ci en soit informé (Cour de cassation, chambre sociale, arrêt du 17 mai 2005).

Page 50: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

La nécessité d’informer les salariés

Les employés doivent être informés des dispositifs mis en place et des modalités de contrôle de leur utilisation d’internet, de leur messagerie et de leurs dossiers enregistrés sur les serveurs.

Ils doivent être informés individuellement, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées.

L’information des personnes sur les points listés ci-dessous peut se faire par le biais de la diffusion d’une charte d’utilisation des réseaux.

• Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet.

• En cas d’archivage automatique des messages électroniques, les salariés doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès.

• Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés.

Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail), ou, dans la fonction publique, le comité technique paritaire ou toute instance équivalente.

Page 51: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Le contrôle de l’utilisation d’internet

L’employeur peut fixer les conditions et limites de l’utilisation d’internet, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés.

• Par exemple : – L’employeur peut mettre en place des dispositifs de filtrage de

sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionniste, etc.).

– Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

Page 52: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Comment déclarer?Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des

salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en œuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.

• Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé.

Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler permet pas de contrôler individuellement l’activité des salariésindividuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés).

• Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.

Page 53: Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés

Fin module 4