-
Sécurité des données : UBER sanctionné – Questions / Réponses juridiques
·
L’absence de procédure pour retirer les habilitations des anciens développeurs d’UBER a révélé une négligence significative de la société, compromettant la sécurité des données personnelles. En 2017, des hackers ont exploité cette faille, accédant aux informations de 57 millions d’utilisateurs via GitHub. La CNIL a sanctionné UBER France de 400 000 euros pour manquement à…
-
Vidéosurveillance des salariés de la pêche – Questions / Réponses juridiques
·
L’Arrêté du 19 octobre 2020 autorise une expérimentation de surveillance électronique à distance pour contrôler l’obligation de débarquement des captures par certains navires de pêche français. Bien que cette mesure vise à lutter contre la pêche illicite, la CNIL a exprimé des préoccupations concernant la surveillance excessive des pêcheurs. Les caméras doivent être orientées pour…
-
Dispenses d’analyse d’impact pour les avocats selon la CNIL – Questions / Réponses juridiques
·
La CNIL, par sa Délibération n° 2019-118, a établi une liste d’opérations de traitement exemptées d’analyse d’impact relative à la protection des données. Parmi celles-ci, les traitements réalisés par les avocats dans le cadre de leur profession à titre individuel sont inclus. Selon l’article 35.1 du RGPD, une analyse d’impact est requise lorsque le traitement…
-
RCS : obtenir l’effacement de ses données personnelles ? Questions / Réponses juridiques
·
La CJUE a statué que les États membres ne peuvent pas garantir aux individus le droit d’effacer leurs données personnelles inscrites dans le registre des sociétés après la dissolution de celles-ci. Ce traitement de données répond à un objectif légitime de publicité légale, essentiel pour informer les tiers sur les sociétés. La Directive 68/151 du…
-
Responsabilité conjointe des gestionnaires de sites et de Facebook en matière de données personnelles – Questions / Réponses juridiques
·
Le gestionnaire d’un site Internet avec le bouton « j’aime » de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission des données personnelles des visiteurs. La CJUE a statué que Fashion ID avait transmis des données à Facebook sans consentement, violant ainsi les obligations d’information. La notion de «…
-
Interfaces trompeuses pour collecter des données personnelles : Questions / Réponses juridiques.
·
Le 10 juillet 2024, un audit mené par 26 autorités de protection des données, dont la CNIL, a révélé l’utilisation de mécanismes trompeurs, ou « dark patterns », sur de nombreux sites et applications. Réalisé dans le cadre du GPEN Sweep, cet audit a examiné 1 010 plateformes, mettant en lumière des pratiques qui entravent les choix…
-
Plateforme des données de santé : Questions / Réponses juridiques
·
L’Arrêté du 29 octobre 2020 a renforcé le contrôle financier de l’Etat sur le groupement d’intérêt public « Plateforme des données de santé ». Tous les actes du GIP, tels que les recrutements dépassant 60 000 euros, les emprunts, et les marchés de valeur significative, nécessitent un avis préalable de l’autorité de contrôle. De plus,…
-
Le CEPD publie un guide RGPD disponible en français
·
Le Comité européen de la protection des données (CEPD) a lancé un guide destiné aux TPE-PME pour les aider à se conformer au Règlement général sur la protection des données (RGPD). Ce guide, accessible en 18 langues, propose des exemples concrets pour faciliter la compréhension des principes du RGPD. En vigueur depuis mai 2018, le…
-
Interfaces trompeuses pour collecter des données personnelles : Les résultats du GPEN Sweep 2024
·
Le 10 juillet 2024, un audit mené par 26 autorités de protection des données, dont la CNIL, a révélé l’utilisation de mécanismes trompeurs, ou « dark patterns », sur de nombreux sites et applications. Réalisé dans le cadre du GPEN Sweep, cet audit a examiné 1 010 plateformes, mettant en lumière des pratiques qui entravent les choix…
-
Quels droits les individus ont-ils en vertu du RGPD ?
·
Le Règlement général sur la protection des données (RGPD) confère aux individus plusieurs droits essentiels concernant leurs données personnelles. Parmi ceux-ci, le droit d’être informé permet aux personnes de comprendre l’utilisation de leurs données, tandis que le droit d’accès leur donne la possibilité de consulter les informations les concernant. Le droit de rectification permet de…
-
Les bases de la mise en conformité avec le RGPD
·
Pour se conformer au RGPD, un organisme doit non seulement traiter les données personnelles de manière appropriée, mais aussi prouver cette conformité. Cela inclut l’intégration de la protection des données dès la conception, la tenue d’un registre des activités de traitement et, si nécessaire, la réalisation d’une analyse d’impact sur la protection des données (AIPD).…
-
Connaître les bases de la protection des données personnelles
·
Les données à caractère personnel désignent toute information permettant d’identifier une personne, qu’elle soit directe (nom, prénom) ou indirecte (numéro de client, adresse IP). Selon le RGPD, leur traitement doit respecter des principes fondamentaux tels que la légalité, la minimisation et la sécurité. Les données sensibles, comme celles relatives à la santé ou aux opinions…
-
Le concept d’altruisme en matière de données personnelles
·
Depuis la loi du 21 mai 2024, la CNIL est chargée de promouvoir l’altruisme des données, un partage volontaire de données à des fins d’intérêt général. Encadré par le règlement européen sur la gouvernance des données (DGA), ce concept permet aux individus de consentir à la mise à disposition de leurs données, sans contrepartie financière,…
-
IA Act ou RGDP : quelle différence ?
·
La réglementation de l’intelligence artificielle (IA) dans l’Union européenne, à travers le règlement sur l’IA (RIA), vise à répondre aux défis liés à la santé, la sécurité et aux droits fondamentaux. En tant que première législation mondiale sur l’IA, le RIA protège les utilisateurs tout en promouvant la démocratie et l’état de droit. Il s’applique…
-
Quelle qualification juridique pour les réutilisateurs de données de l’internet ?
·
Toute personne physique ou organisme traitant des données personnelles doit au préalable s’interroger sur sa qualification au sens du RGPD, qualification dont vont dépendre ses obligations. Pour un traitement donné, il est possible d’être responsable de traitement, sous-traitant ou responsable de traitement conjoint. Il incombe aux acteurs de déterminer leur qualification au cas par cas.…
-
CNIL, 21 mai 2024, N° de RG
·
Depuis la loi du 21 mai 2024, la CNIL est chargée de promouvoir l’altruisme des données, un partage volontaire de données à des fins d’intérêt général. Encadré par le règlement européen sur la gouvernance des données (DGA), ce concept permet aux individus de consentir à la mise à disposition de leurs données, sans contrepartie financière,…
-
L’illicéité des preuves et le licenciement pour faute grave : équilibre entre vie privée et droit à la preuve.
·
L’illicéité d’un moyen de preuve ne conduit pas automatiquement à son rejet. Le juge doit évaluer si son utilisation a compromis l’équité de la procédure, en équilibrant le droit au respect de la vie personnelle du salarié et le droit à la preuve. Cette dernière peut justifier la production d’éléments portant atteinte à la vie…
-
Vidéosurveillance et licenciement : enjeux de la preuve et protection des données personnelles
·
En vertu de l’article 35 du RGPD, une étude d’impact est requise pour les systèmes de vidéosurveillance des salariés manipulant des espèces. L’employeur doit informer les salariés de l’existence de ce dispositif, en précisant les finalités de la collecte de données. La faute grave, qui justifie un licenciement, doit être prouvée par l’employeur, qui doit…
-
Envoi de SMS aux clients : droits du salarié et limites de la CNIL
·
Un salarié peut informer les clients de son départ par SMS sans violer les droits des données personnelles. Dans une affaire, l’employeur a signalé à la CNIL l’utilisation abusive des données par un salarié, mais n’a pas prouvé le détournement de clientèle. Les messages envoyés par le salarié ne contenaient pas d’incitation. La prise d’acte…
-
L’intérêt légitime comme Base Légale d’un Traitement de Données Personnelles
·
L’utilisation de l’intérêt légitime comme base légale pour le traitement des données personnelles requiert une évaluation minutieuse des intérêts de l’organisme et des droits des individus. Cette base est accessible aux organismes privés, à condition que le traitement ne nuise pas de manière significative aux droits des personnes concernées. Trois conditions doivent être respectées :…
