CNIL
Domaine Abonnez vous au flux RSS associé Archive RSS
Actu législation
- Thibaut Stephan

Une rencontre organisée fin janvier 2013 entre les responsables des CNIL Europe et Asie-Pacifique a été l’occasion de préparer le futur encadrement des flux de données entre les deux zones.

Le G29, groupe des CNIL européennes, planche sur le développement d’outils permettant d’assurer la protection des données d’entreprises lors d’échanges internationaux. Pour ce faire, le G29 s’est lancé dans l’analyse comparée des deux codes actuellement en vigueur :

- Les Binding Corporate Rules (BCR) au sein de l’Union européenne. Ces règles garantissent la protection des données transférées entre deux entités d’une même entreprise ou d’un même groupe basés dans deux pays-membres distincts.

- Les Cross-Border Privacy Rules (CBPR) pour la zone Asie-Pacifique, développés par la Coopération Economique pour l’Asie-Pacifique et qui reposent sur des tiers-certificateurs agréés.

L’étude de ces deux codes de conduite devrait ainsi mener à l’instauration de nouveaux outils destinés aux entreprises multinationales opérant à la fois en Europe et en Asie-Pacifique. 

 

Source : cnil.fr

Tendance
- Thibaut Stephan

Les entreprises commencent à prendre conscience de la valeur des informations qu’elles ont collectées dans le cadre de leur activité.

Ainsi, d’après les estimations du cabinet Gartner, 30% des entreprises vont monétiser leurs données directement ou indirectement, à travers la vente ou l’échange d’informations. Doug Laney, Vice-président de Gartner, explique ce phénomène par « le besoin de justifier les dépenses liées au stockage et à la gestion de gros volumes de données ».

Certaines entreprises commercialisent déjà une partie de leur patrimoine informationnel ou exploitent des données diffusées par les organismes publics pour concevoir de nouveaux produits.

Cette tendance va progressivement mener à la formation d’un nouvel écosystème qui se développera pour structurer la commercialisation de l’information. Citons par exemple l’apparition de courtiers en information et de chefs de produits informationnels qui seront chargés de mettre en place des stratégies de monétisation des données détenues par les organisations.

Les consommateurs doivent valoriser les données liées à leur consommation, à leur activité et à leur profil. Celles-ci doivent donc être protégées et leur diffusion doit nécessairement être source de bénéfices, financiers ou non. A l’inverse, les entreprises qui collecteraient des données personnelles de manière abusive pourraient s’exposer à des réactions négatives de la part des consommateurs, voire à un durcissement du cadre réglementaire.

 

Plus d'informations sur les données publiques et les données d'entreprises ici

Source : Gartner

Catégories : Tendance, Chiffres-clés, Analyse, Data
Actu législation
- Thibaut Stephan

Le rapport d’audit lancé en mars 2012 par la CNIL pointe certains manquements concernant la vie privée du côté de Mountain View. Bilan d’une collaboration « d’un niveau moyen » selon la présidente de la CNIL.

L’ensemble des CNIL européennes réclament donc une « mise en conformité » de Google sur trois points.

- L’information aux utilisateurs concernant les données collectées et leur usage ultérieur

Isabelle Falque-Pierrotin, présidente de la CNIL, déplore le déficit d’informations prévu par Google, à qui il est demandé de préciser les données qui sont collectées lors des requêtes émises par les utilisateurs. Un service d’informations « à la demande » pourrait alors être créé. D’autre part, la CNIL recommande de catégoriser les données en fonction de leur niveau de sensibilité (données bancaires par exemple).

- La combinaison de données

La CNIL souhaite mettre en place une base légale afin d’encadrer l’exploitation des données issues des différents services : moteur de recherche, Google+, Google Docs, Youtube, etc. qui permettent à Google de dresser des profils extrêmement riches de leurs utilisateurs. Le système d’opt-out, qui comporte actuellement six étapes, devra être repensé pour faciliter le désengagement des utilisateurs qui le souhaitent.

- La conservation des données

Google a jusqu’ici refusé de répondre aux questions liées à la durée de conservation des données, se contentant de réaffirmer que sa politique de confidentialité respecte la loi européenne.

Google à « trois à quatre mois » pour redresser la barre. Dans le cas contraire, le géant s’exposera à des sanctions financières. Il est encore trop tôt pour évoquer plus en détail les termes de ces pénalités.

Source : Owni

Actu législation
- Manon Vincent

La CNIL vient de révéler que 10 000 organismes ont désigné un CIL (Correspondant Informatique et Libertés), en 2011. Pour comparaison, on comptait 4000 CILs en 2008 mais déjà 7000 en 2010. Selon la CNIL, les CILs sont aussi bien présents dans de grandes entreprises que des PME/PMI, des collectivités locales ou des professions réglementées. Rappelons que le CIL (Correspondant Informatique et Libertés) « a pour mission de s’assurer que l’organisme public ou privé qui l’a formellement désigné auprès de la CNIL respecte bien les obligations issues de la loi « Informatique et Libertés ». Cette fonction a été créée en 2004 par la réforme de la loi Informatique et Libertés, afin de garantir l’efficacité de la protection des données. La CNIL rappelle que « la maîtrise des risques liés au développement des technologies de l’information est aujourd’hui un enjeu stratégique pour tout organisme ». Le CIL a donc pour mission de rappeler « les conditions nécessaires à un usage efficace et raisonné des outils numériques ». Selon la CNIL, les contrôles effectués auprès d’organismes dotés de CILs en 2010 et 2011 ont révélé que les CILs qui bénéficient « du soutien effectif du responsable de traitement sont une source de sécurité juridique et informatique ». La désignation d’un CIL semble également être une preuve d’engagement éthique de la part de l’entreprise qui le nomme. En outre, la CNIL souligne que ce 13 autres pays de l’Union européenne disposent de délégués à la protection des données et qu’aux Etats-Unis, « de nombreuses entreprises se sont dotées de Compliance Privacy Officers » qui exercent des fonctions similaires. Par ailleurs, selon la CNIL, le nombre de CILs devrait encore augmenter, la Commission européenne ayant présenté le 25 janvier 2012 un projet de règlement européen qui prévoit de rendre le correspondant obligatoire pour certains organismes.

 

Source : CNIL.

Tags : Europe, France, CNIL, CIL
Actu législation
- Manon Vincent

Le 13 juillet dernier, la CNIL a annoncé avoir adopté une nouvelle norme simplifiée relative à la gestion des clients et des prospects. Elaborée en concertation avec les organismes représentant les professionnels, les correspondants informatiques et libertés et les consommateurs, cette nouvelle norme devrait permettre de mettre facilement « à la disposition des entreprises et des organismes concernés les règles et les pratiques assurant la sécurité juridique de leurs traitements ». La CNIL rappelle que « la conformité à cette norme garantit le respect de la loi « Informatique et libertés » et la protection des personnes ». Cette nouvelle norme simplifiée 48 a été élaborée pour suivre l’évolution du e-commerce et des méthodes de prospection utilisées par les commerçants. Ainsi, de nouvelles finalités ont été ajoutées, telles que « la réalisation d’enquêtes de satisfaction, l’organisation de jeux concours, la gestion des demandes de droit d’accès, de rectification et d’opposition et la gestion des avis des personnes sur des produits, services ou contenus ». La CNIL ajoute que « les durées de conservation des données ont été précisées en matière de prospection commerciale et ce qui concerne les informations relatives aux pièces d’identité, aux cartes bancaires et aux statistiques de mesure d’audience des sites internet ». La CNIL précise également que cette nouvelle norme simplifiée 48 définit les mesures de sécurité devant être prises pour assurer la confidentialité des données, limiter le risque de fraudes bancaires et d’usurpation d’identité.

 

A noter, « les organismes privés et publics qui ont effectué une déclaration simplifiée en référence à l’ancienne norme simplifiée 48 n’ont pas à refaire une déclaration. S’ils ne respectent pas les conditions fixées par la nouvelle norme, ils disposent d’un délai d’un an à compter du 13 juillet 2012, date de sa publication au journal officiel, pour mettre leur traitement en conformité ».


Source : CNIL.


Actu produit
- Elise Garet

Les Correspondants Informatique et Libertés reliant la CNIL aux différents organismes ont dorénavant leur propre réseau social, lancé par Jamespot et l'Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP). 

L'objectif de cette nouvelle plateforme, baptisée AGORA-AFCDP, est de rassembler les membres de l'association, géographiquement dispersés sur tout le territoire français. Disposant d'un lieu virtuel d'échange et de connaissances, les adhérents pourront interagir par le biais de commentaires par exemple. Considéré comme indispensable, le réseau social est aussi une source d'informations précieuse pour ses membres.

Jamespot a profité de ce partenariat avec l'AFCDP pour améliorer son offre et proposer un produit conforme aux exigences de l'association en matière de protection des données. Le réseau sera déployé par phases fonctionnelles, avec un accompagnement des utilisateurs. Les adhérents se sont vus proposer des sessions de formation en web conférence pour les initier au réseau. Ce système aurait permis de sensiblement accroître les taux d'utilisation et de participation.

Source: Blog Jamespot

Actu produit
- Elise Garet

Face au succès grandissant du cloud computing, la CNIL a lancé une consultation publique entre octobre et décembre 2011. Elle a publié les résultats le 25 juin dernier, soit une analyse du cadre juridique applicable en matière de Cloud et des recommandations pratiques à destination des entreprises, et plus particulièrement des PME qui souhaiteraient adopter le cloud computing.

La CNIL définit le cloud computing comme le " report vers le "nuage internet" de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés." Elle précise que le modèle économique associé s’apparente à "la location de ressources informatiques avec une facturation en fonction de la consommation."

L'offre en matière de cloud computing se décline sous trois types :
-  l'hébergement d’infrastructure (Infrastructure as a Service, IaaS)
-  la fourniture de plateformes de développement (Platform as a Service, PaaS)
-  des logiciels en ligne (Software as a Service, SaaS)

Si le cloud offre de nombreux avantages, comme la mutualisation des coûts d'hébergements et d'opérations, il soulève aussi de nombreuses difficultés, notamment juridiques. Il faut clarifier les responsabilités afférant au cloud computing du fait du caractère délicat des questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données. La CNIL soulève le problème du manque de transparence de la part des prestataires quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour les compte des clients.

Dans la synthèse des réponses, la CNIL définit le contexte et ce qu’est le cloud computing. Elle qualifie ensuite client et prestataire et détermine la loi applicable. Elle publie une liste de sept recommandations :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud
  2. Définir ses propres exigences de sécurité technique et juridique
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
  4. Identifier le type de Cloud pertinent pour le traitement envisagé
  5. Choisir un prestataire présentant des garanties suffisantes
  6. Revoir la politique de sécurité interne
  7. Surveiller les évolutions dans le temps

La CNIL dresse aussi une liste des éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing, concernant des informations relatives aux traitements, des garanties mises en œuvre par le prestataire, des formalités auprès de la CNIL, des éléments concernant la sécurité et la confidentialité. Elle propose en outre des modèles de clauses contractuelles.

Source: CNIL

Catégories : Actu produit, Brève, ECM, France
Tags : CNIL, ECM
- Manon Vincent

Appelée à anticiper les évolutions de l’écosystème numérique, la Commission Nationale Informatique et Libertés (CNIL) modernise son mode de gouvernance à travers la formation d’un comité pluridisciplinaire de réflexion prospective ouvert aux chercheurs externes.

Composé de spécialistes du numérique, le comité de prospective compte huit membres, dont cinq chercheurs, issus de différentes disciplines (gestion, droit, neurosciences, sociologie et philosophie), deux membres de la Commission au titre de la Cour des comptes et du Sénat et un entrepreneur :

- Pierre-Jean Benghozi, directeur de recherche au CNRS, directeur du pôle de recherche en Economie et Gestion, professeur à l’École polytechnique en charge de la chaire « Innovation et Régulation des services numériques » ;

- Stefana Broadbent, psychologue, professeur d’Anthropologie du numérique au Royaume-Uni à l'University College de Londres (UCL) ;

- Dominique Cardon, sociologue au laboratoire SENSE (Sociology and Economics of Networks and Services) d’Orange Labs, chercheur associé du Centre d’étude des mouvements sociaux de l’École des Hautes Études en Sciences sociales (CEMS/EHESS) ;

- Olivier Oullier, enseignant-chercheur en neurosciences au Laboratoire de psychologie cognitive d’Aix-Marseille Université et au Center for Complex Systems and Brain Sciences de la Florida Atlantic University, il est aussi conseiller scientifique au Centre d’analyse stratégique ;

- Antoinette Rouvroy, chercheur en Philosophie du droit au Fonds National de la Recherche Scientifique (FNRS, Belgique) du Centre de Recherche Informatique et Droit (CRID), chargée de cours à l’Université de Namur et maître de conférences à l’Université Libre de Bruxelles ;

- Henri Verdier, président du pôle de compétitivité français Cap Digital,  dirigeant d'entreprise, membre du conseil scientifique de l'institut Mines-Télécom ;

- Didier Gasse, conseiller-maître à la Cour des comptes, membre de la CNIL en charge du secteur télécommunications et internet – sécurité – et Vote électronique ;

- Gaëtan Gorce, sénateur (PS) de la Nièvre, membre de la CNIL en charge du secteur Libertés publiques et e-Administration.

 

Une première réunion du comité s’est d'ores et déjà tenue le 15 mai. Elle avait pour but l’examen du programme d’études 2012-2013 de la CNIL.

Source : CNIL

Actu législation
- Manon Vincent

Marguerite Brac de la Perrière et Nicolas Dubospertus du Cabinet Bensoussan font le point sur le dossier médical sur clé USB. Il semble que le projet de décret soit toujours incomplet.

 

Contexte de l’expérimentation

- L’article 30 de la loi du 10 août 2011, dite « loi Fourcade » (1), intégrée à l’article L.1111-20 du Code de la santé publique, prévoit l’adoption d’un décret fixant les modalités de mise en oeuvre d’ « un dossier médical implanté sur un support portable numérique sécurisé » remis, à titre expérimental, à un échantillon de bénéficiaires de l'assurance maladie.

- C’est à l’issue de la séance plénière du 29 mars 2012 que la Cnil a adopté une délibération portant avis sur le projet de décret d’application qui lui a été communiqué.

- Alors que d’autres Etats, comme le Japon, ont d’ores et déjà déployé un dossier médical sur clé USB, cette ambition est confrontée en France à de nombreux obstacles politiques, techniques, économiques et juridiques.

- Appelée par l’ASIP Santé, en charge de cette expérimentation, à se prononcer sur le volet Informatique et libertés, la Cnil exprime de nombreuses réserves et souligne le manque de précision de ce texte dont la publication est pourtant d’autant attendue qu’une date butoir de réalisation de l’expérimentation a été fixée au 31 décembre 2013.

 

Imprécision du décret

- La Cnil relève que de nombreux aspects techniques sont subordonnés aux réponses qu’apporteront les candidats à l’appel d’offres de l’ASIP Santé en vue de la mise en oeuvre de cette expérimentation. La Cnil déplore en conséquence le fait de n’être pas en mesure de vérifier la conformité du projet de décret avec la règlementation applicable à la protection des données à caractère personnel.

- La Cnil relève que les mesures visant à garantir la sécurité et la confidentialité des données de santé conservées dans la clé USB ne sont pas précisées.

- En effet, le projet de décret prévoit que l’accès aux données stockées sera subordonné à l’utilisation par le patient d’un dispositif, non décrit en l’état, dont il aura le contrôle exclusif.

- Il pourrait notamment consister en l’utilisation d’un mot de passe, d’un logiciel de cryptage ou de reconnaissance vocale.

- S’agissant du contrôle de l’intégrité, la Cnil souligne en outre l’existence de risques de détérioration des données et de saturation de la mémoire liés aux limites techniques d’une clé USB.

- La Cnil relève par ailleurs que le projet de décret ne comporte pas d’indication tenant à la durée de conservation des données.

- La Cnil s’interroge en outre sur le contenu de la clé USB qui sera remise aux patients candidats à l’expérimentation : s’agira-t-il d’un support vide faisant alors fi des dispositions légales en vigueur ?

- Le risque de propagation de virus informatiques induit par la circulation des fichiers sur les différents postes informatiques du patient et des médecins est également relevé.

- Enfin, la libre réécriture par le patient des informations contenues dans la clé est susceptible d’affecter la confiance des médecins à l’égard de ce dossier dématérialisé.

 

(1) Loi n° 2011-940 du 10 août 2011.

 

Source : Marguerite Brac de la Perrière et Nicolas Dubospertus, Lettre Juristendance Informatique et télécoms, n°124, Juin 2012.

http://www.alain-bensoussan.com/avocats/juristendance-informatique-et-telecoms-juin-2012/2012/06/06


Actu législation
- Elise Garet

La directive 2002/58/CE, dite "Paquet Télécom", qui impose un contrôle des cookies, oblige les fournisseurs de services de communications électroniques à notifier les violations de données à caractère personnel. Cette obligation a été insérée à l'article 34 bis de la loi modifiée de 1978 "Informatique et Libertés"

Page 1 / 2 1 2
Powered by KB Crawl