Excerpt from product page

[Home & blog] [Archive des posts] [La loi] [Toutes vos obligations CNIL et informatique et libertés en un schéma] [Les principales obligations légales] [Qu’est-ce qu’une donnée personnelle (Q/R) ?] [La CNIL, la Commission Nationale de l’Informatique et des Libertés] [Les pouvoirs de décision et de proposition de la CNIL] [Le pouvoir de formuler des avis et des recommandations] [Le pouvoir de contrôle de la CNIL] [Les pouvoirs de sanction de la CNIL] [Les missions d’information de la CNIL] [Les mission de réflexion et d’assistance de la CNIL] [Les infractions pénales] [Les obligations] [Déclaration CNIL et autorisation CNIL: comment s’y prendre] [La sécurité des données personnelles] [Détail des obligations de sécurité] [La jurisprudence] [Le pouvoir de la CNIL d’édicter des règlements de sécurité] [La sous-traitance] [L’information obligatoire et les mentions légales] [La liste des informations à dispenser] [Les exceptions à l’obligation d’information] [Les précisions apportées par le décret] [L’information lors de la collecte sur les réseaux électroniques] [L’information en cas de collecte indirecte] [Les sanctions à l’obligation d’information] [Les données sensibles] [Qu’est-ce qu’une donnée sensible] [L’interdiction de traitement des données sensibles] [Les exceptions au traitement des données sensibles] [Condamnations, infractions et mesures de sûreté] [Les principes essentiels] [Le principe de loyauté et de licéité de la collecte des données] [Le principe de finalité] [Le principe de proportionnalité dans la loi informatique et libertés] [Le principe de temporalité] [Le consentement au traitement] [L’exactitude et la qualité des données] [Les droits] [Droit d’accès et droit de communication des données] [Droit de rectification] [Le droit d’opposition] [Services] [Formation CIL] [Contact]

[Données personnelles]

Le droit des nouvelles technologies déchiffré







Inscrivez-vous et recevez gratuitement mes conseils pour comprendre vos obligations CNIL



[Tweet]




[Il est désormais légal d’attaquer des sites web (pour “tester” leur sécurité) !]

by Thiébaut Devergranne on 16/01/2014


Parmi les perles cachées de la LPM je viens de découvrir une énormité qu’un RSSI avisé à eu la gentillesse de me transmettre.

En résumé : la loi autorise désormais les attaques informatique – y compris sur des systèmes gouvernementaux d’ailleurs – pour “tester [leur] fonctionnement ou [leur] sécurité”…

Si vous pensez comme moi que l’on est en plein délire, et que ce que vous venez de lire relève d’un mauvais poisson d’avril, lisez ce qui suit… On croit rêver, le Gouvernement l’a (vraiment) fait !
[ Lire la suite de l'article...]


{ [24 comments] }



[Tweet]




[Qui va faire sauter la LPM (ou le jeu de la course à la QPC) ?]

by Thiébaut Devergranne on 04/01/2014


Depuis l’adoption de la LPM je me demande qui sera le premier à sauter sur l’occasion d’anéantir [ses dispositions les plus attentatoires] aux [libertés publiques] et introduire une Question Prioritaire de Constitutionnalité (QPC).  Les paris sont ouverts, mais je dirais que les grands de l’Internet (Google, Amazon, Apple…) sont ceux qui y ont le plus intérêt.

Ces entreprises ont, en effet, été largement vilipendées ces derniers mois pour leur collaboration dévoyée avec les services de renseignement. Elles souffrent aujourd’hui d’une image ternie qui a [suscité une importante vague ]de [contre]-[attaques], au moins d’apparat.

Elles ont donc là une occasion facile – et  parfaitement louable – de montrer publiquement leur attachement aux libertés individuelles et gagner une victoire  à moindre frais. La question qui surgit, en réalité, est : peuvent-elles s’en passer ?

Tout d’abord, parce qu’il est facile de faire sauter les dispositions les plus attentatoires aux libertés publiques de la LPM, tant leur rédaction est grossière. Cela amuse toujours de voir à quel point l’inlassable suffisance des Gouvernants aveugle quant à la réalité de l’Etat de Droit et à quel point le pouvoir peut pervertir de tout lucidité démocratique. A l’heure actuelle, [l’article 20 de la LPM] autorise ainsi la captation de toute information, y compris la correspondance privée, que détiennent les acteurs de l’Internet (créateurs de sites web, FAI, hébergeurs, etc.), pour des motifs extrêmement larges tels que la sauvegarde du potentiel économique de la France… (dit clairement : Google, SVP “donnez-nous accès à toutes les correspondances privées de vos dirigeants ainsi que ceux d’Apple, nous en avons besoin pour connaître les prochaines orientations stratégiques de vos entreprises…”). [Difficile de soutenir le caractère raisonnable] et proportionné de ces dispositions…

Ensuite, parce que ces entreprises seront, avec les FAI, probablement les premières sollicitées par des demandes d’accès à des informations sur le fondement de la LPM. Or, le mécanisme de la QPC est tel qu’il ne peut être déclenché qu’à l’occasion d’un contentieux (voir ses détails sur le site du [Conseil constitutionnel]) :

La « question prioritaire de constitutionnalité » est le droit reconnu à toute personne qui est partie à un procès ou une instance de soutenir qu’une disposition législative porte atteinte aux droits et libertés que la Constitution garantit. Si les conditions de recevabilité de la question sont réunies, il appartient au Conseil constitutionnel, saisi sur renvoi par le Conseil d’État et la Cour de cassation de se prononcer et, le cas échéant, d’abroger la disposition législative.

Il y a donc ici un fort lien d’opportunité, autant probablement que financier (la mise en oeuvre de ces mécanismes aura également un coût qu’il est utile d’éviter si ces dispositions sont contraires à la Constitution…).

Nous verrons donc qui héritera des premières demandes et qui sera assez rapide pour introduire sa QPC… les paris sont ouverts, effet médiatique massif garanti : le gagnant remportera une énorme victoire médiatique.

Fort heureusement aujourd’hui, faire passer en force de telles dispositions – anticonstitutionnellement – est d’une témérité grotesque et ne sert aujourd’hui à rien d’autre que de retarder leur annulation. 

Ce qui suscite une véritable inquiétude toutefois est de voir à quel point les promoteurs de ces mécanismes ne réalisent pas l’atteinte que ces dispositions portent à la confiance démocratique ; à quel point elles sabrent le pacte social, l’Etat de droit dont l’essence n’est que [“la conservation des droits naturels et imprescriptibles de l’homme”, “la liberté, la propriété, la sûreté et la résistance à l’oppression”].

L’article 20 aurait peut-être permis une plus grande efficacité des services.

Mais c’est sans compter toute la défiance que les citoyens, plus encore, leur portent désormais.

A vos QPC… Prêt… Partez…
[ Lire la suite de l'article...]


{ [6 comments] }



[Tweet]




[Les 3 merveilles de la LPM…]

by Thiébaut Devergranne on 23/11/2013


Je discutais vendredi dernier avec un journaliste du Monde qui m’avait appelé pour des éclaircissements sur certains aspects [de la LPM] suite[ au moratoire demandé par l’ASIC] ; l’association  (qui regroupe notamment AOL, Dailymotion, Google, Deezer, PriceMinister, Facebook, Yahoo…) fustigeait en effet l’extension substantielle de l’accès administratif des données de connexion conservées par les FAI et les hébergeurs de contenu sur Internet.

La raison de sa colère, plus précisément, tient à ce que la LPM (et son futur article 246-1) prévoit une double extension de la possibilité de récupérer des données de connexion :
d’abord [le texte va ouvrir un accès très large aux agents de plusieurs ministères] (v. futur art. 246-1), en particulier ceux chargés “de la sécurité intérieure, de la défense, de l’économie et du budget” ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ? ensuite [les motifs pour lesquels ces agents auront accès à ces informations seront étendus substantiellement eux aussi], à : “la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisée (…)” ; actuellement l’article [L. 34-1 du CPCE] est beaucoup plus strict et prévoit que cet accès ne peut se faire que “dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire (…)“. On voit donc bien le changement de perspective ! Enfin, il faut noter que ces agents auront accès à ces informations en temps réel (futur art. L. 246-3).
L’ASIC souhaitait en particulier que les demandes des agents administratifs soient  « placées sous la direction ou la surveillance de l’autorité judiciaire » ce qui semble assez raisonnable considérant l’ampleur du nouveau système, particulièrement à l’heure où PRISM occupe les esprits…

Toute cette réflexion a été pour moi l’occasion de me plonger dans la LPM et d’y découvrir également une série de perles cachées… Voilà en quelques mots ce que cette loi nous prévoit :
[ Lire la suite de l'article...]


{ [28 comments] }



[Les méthodologies de sécurité, outil de limitation des risques juridiques]
8 November 2013



S‘assurer de respecter l’ensemble des obligations légales liées à la mise en oeuvre d’un traitement de données personnelles n’est jamais simple, en particulier dès lors que l’on touche aux aspects de sécurité informatique.

Fort heureusement, un énorme travail de rationalisation a été effectué en ce sens afin de tenter de s’assurer, de la manière la plus scientifique possible, que toutes les précautions utiles de sécurité ont bien été prises. De nombreuses méthodologies de sécurité ont ainsi émergé, les deux les plus citées étant sans doute Ebios (initiée par un ancien collègue) et Méhari.

Toutes deux ont avant tout pour finalité d’analyser un certain nombre de risques techniques, humains et organisationnels, afin d’assurer une sécurité optimale à un système d’information ([dont on parle abondamment dans les formations CIL, au passage]). Toutes deux permettent au responsable du traitement d’avoir, autant que possible, une pleine conscience des risques auxquels le système est exposé.

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]

[Banques, Facebook et FranceInfo]
30 October 2013

J’ai été interviewé par France Info sur des pratiques d’organismes du milieu bancaires, aux Etats-Unis, qui se renseignent sur leurs clients au moyen des réseaux sociaux.

De telles pratiques en France, se heurteraient de plein fouet la législation sur la protection des données personnelles.

Trois obstacles au moins existent :
D’abord il faudrait l’[autorisation de la CNIL], en vertu de l’article 25 de la loi informatique et libertés, puisque le traitement est “susceptible (…) d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat”. Bon courage pour convaincre la CNIL. Ensuite, une telle pratique poserait évidemment un [problème fondamental de loyauté de la collecte des données personnelles] (or, collecter de manière déloyale des données personnelles est une infraction pénale sanctionnée à hauteur de 5 ans d’emprisonnement et 300.000 € d’amende, de quoi décourager n’importe quel service juridique. Encore une fois bon courage pour démontrer que le procédé est loyal) Enfin le banquier est [titulaire d’une obligation d’information de son client sur les recherches qu’il réalisera]. Il doit donc le lui dire avant de les mener ! On imagine mal le rendez-vous client dans lequel le banquier explique que pour avoir un prêt il va falloir qu’il regarde d’abord sur Facebook, Twitter, et autres afin de se rassurer. Commercialement cela risque difficilement de passer.
Bref, nous sommes assez bien muni, légalement, contre ce genre de pratiques. Je vous laisse avec l’interview très courte (dans laquelle Données Personnelles y est cité à deux reprises
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]


[RSSI : pas de sécurité, pas de fraude, pas d’indemnisation]
14 October 2013

Le TGI de Creteil a rendu le 23 avril dernier une décision intéressante qui illustre les conséquences du défaut de sécurité d’un système d’information.

L’affaire mettait en cause l’Agence Nationale de Sécurité Sanitaire de l’Alimentation et un internaute qui avait accédé à des données confidentielles sur les serveurs de l’autorité administrative au moyen d’une simple requête Google. Les données litigieuses étaient en accès libre et mises à disposition du public, sans que celles-ci fassent l’objet d’aucune mesure de sécurité particulière. La victime, non contente de voir ses secrets atterrir dans les mains de tiers, décidait d’engager des poursuites pénales considérant qu’elle avait subi un accès frauduleux de la part de l’internaute indélicat.

Le problème posé était donc de savoir si l’on peut être victime d’un piratage informatique, lorsque aucune mesure de sécurité ne vient protéger des données mises à disposition du public ?
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]

[Réflexions sur le projet de règlement européen]
27 September 2013

J‘ai été reçu ce matin par les services du Premier Ministre (SGAE) pour donner mon sentiment sur les orientations actuelles du [futur projet de règlement européen] et aider la France à définir sa position dans cette querelle juridique.

Je dois tout d’abord saluer cette initiative et féliciter le SGAE de solliciter l’avis d’experts indépendants, de praticiens et d’universitaires pour l’élaboration des normes de droit (nous étions 4 à avoir été reçus). Il est toujours plus facile de se convaincre de la justesse de ses opinions et de sa suffisance de gouvernant que d’aborder avec écoute des visions dissemblables, et parfois opposées. Pour avoir vécu l’élaboration de projets de loi lorsque j’étais au service du SGDSN, je ne peux que louer cette lucidité.

Cette discussion stimulante a été l’occasion de quelques réflexions personnelles que je retracerai ici (tout en faisant la délicatesse au SGAE de conserver nos discussions confidentielles, bien que cela ne m’ait pas été demandé).
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]


[Un fichier client non déclaré à la CNIL n’a aucune valeur financière ni juridique]
1 July 2013

La Cour de cassation vient de rendre un arrêt intéressant, posant la question de l’appréciation de la valeur juridique d’un objet illicite.

Il s’agissait en l’occurrence d’un fichier de clientèle non déclaré à la CNIL qui avait été vendu, alors que la loi impose que tout traitement automatisé de données personnelles fasse l’objet de formalités préalables (on parle en général de déclaration CNIL mais ces formalités peuvent en réalité recouvrir une diversité de régimes juridiques tels que demande d’autorisation, dispenses, etc.).

S’apercevant que le fichier litigieux n’avait pas été déclaré à la CNIL – et donc qu’elle ne pouvait légalement en faire usage – la société victime de la fraude a fait assigner le vendeur en demandant la nullité de la vente. Naturellement, elle demandait ainsi le remboursement des sommes initialement dépensées.

Au terme d’un long contentieux, la Cour de Cassation, donne raison à la société sur le fondement de l’article 1128 du Code civil ; celui-ci dispose qu’“il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions“. En effet, un bien acquis ou produit de manière illicite ne peut avoir aucune valeur en droit et par conséquence ne peut légalement être vendu.
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]

[7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL]
18 April 2013

La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : [2% du chiffre d’affaire global pour les groupes] ; pour une société comme Microsoft en 2008, cela représente [un potentiel 1,2 milliard de dollars d’amende]…

Voilà de quoi prendre très au sérieux cette règlementation. Pour ne rien vous cacher j’intervenais la semaine dernière dans une entreprise du CAC40 dans laquelle on me confiait que les commissaires aux comptes appelaient à mettre l’ensemble de la structure en conformité de toute urgence, par crainte de sanctions majeures. Le temps est clairement à l’anticipation de ce nouveau risque juridique.

Cest donc le bon moment pour vous donner quelques conseils pour mettre en conformité votre organisation avant l’arrivée du nouveau règlement européen ! Cela vous simplifiera la tâche, et vous évitera nombre de déconvenues. Pensez à partager ce guide à qui de droit, c’est toujours utile de faire partager cette expérience…
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]


[Le droit à l’oubli sur Internet : petit guide juridique pour faire valoir ses droits]
8 April 2013

Indiscutablement, le droit à l’oubli est au cœur des passions des hommes et des femmes dont des moments de vie sont exposés au détriment de leur intimité.



Si l’on remonte à son origine, en réalité l’idée même de ce droit vient d’une affaire judiciaire passionnelle dans laquelle la maitresse de l’un des grands criminels des années 20 (qui a fini guillotiné) avait intenté un procès pour demander la réparation des dommages causés par un film relatant son ancienne liaison. Alors, on ne guillotine guère plus aujourd’hui que métaphoriquement, mais à l’heure de l’Internet les passions restent immuables et permanentes, d’où la nécessité parfois du recours à la loi.

Ainsi, d’un point de vue juridique, le droit à l’oubli est consacré au sein de la loi informatique et libertés (article 6). Concrètement, celui-ci impose qu’un [traitement de données personnelles soit limité à un certain laps de temps] ; l’idée est que l’on ne peut traiter des données personnelles que pendant une certaine durée. Au terme de celle-ci leur destinée est l’anéantissement, l’oubli, tout simplement.

Mais ce n’est pas le sens des recours juridiques qui peuvent être intentés lorsqu’une personne diffuse des informations dénigrantes, diffamantes, ou plus généralement inappropriées. Les recours légaux, pour faire valoir l’effacement ou le droit à l’oubli pris dans un sens global, sont alors d’une grande diversité. En quelques mots voici le mode d’emploi pour faire valoir ses droits, personnes physiques, autant que personnes morales.
[ Lire la suite de l'article...]


[Lire l’article en intégralité →]

[← Previous Entries]




Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre. [En savoir plus].




Inscrivez-vous à la newsletter !





La loi nous impose de vous informer que la collecte de votre email est obligatoire pour pouvoir vous inscrire à la newsletter... Donc pas d'email, pas de newsletter ! L'abonnement permet de recevoir des informations régulières sur le site et occasionnellement des offres de services (les nôtres/partenaires). Une demande de confirmation vous sera envoyée (double opt-in). La newsletter est gérée techniquement depuis les Etats-Unis par notre sous-traitant, votre email y sera donc transféré. Vous disposez de droits d'interrogation, accès, modification, opposition, suppression et rectification que vous pouvez exercer directement (par ex. la désinscription peut se faire à tout moment, en cliquant sur un lien qui est envoyé dans chaque email) ou si vraiment vous êtes motivé, en écrivant au responsable du traitement, Sarl Devergranne RDC, 279 r. Lecourbe, 75015 Paris. Attention les adresses anonymes ne sont pas traitées.

Découvrez la [formation CIL] !
Recherche



[Suivre @Devergranne]
Posts récents
[Il est désormais légal d’attaquer des sites web (pour “tester” leur sécurité) !] [Qui va faire sauter la LPM (ou le jeu de la course à la QPC) ?] [Les 3 merveilles de la LPM…] [Les méthodologies de sécurité, outil de limitation des risques juridiques] [Banques, Facebook et FranceInfo] [RSSI : pas de sécurité, pas de fraude, pas d’indemnisation] [Réflexions sur le projet de règlement européen] [Un fichier client non déclaré à la CNIL n’a aucune valeur financière ni juridique] [7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL] [Le droit à l’oubli sur Internet : petit guide juridique pour faire valoir ses droits]





Copyright © 2008–2014 [ Thiébaut Devergranne] - [Informations legales]

Tags

> No Tags <

This product is also listed in

Education Higher Education

Trends

popularity
lower = better; 1 = best

Pingback / Trackback



In database since 2014-01-17 and last updated on 2017-10-17
 
Random Synapse Stuff