Traitement des données personnelles : quels fichiers l’employeur doit-il déclarer à la Cnil ?

Les employeurs doivent être vigilants dans leurs « collectes » d’informations relatives aux salariés, au regard des conséquences, tant en matière civile qu’en matière pénale. Lire la suite

Rappel à l’ordre de sites de rencontres concernant le traitement de données dites « sensibles »

Dans le cadre de sa campagne de contrôle de 2014, la Commission nationale de l’informatique et des libertés (CNIL) a inspecté plusieurs réseaux sociaux de rencontres en ligne parmi les plus importants du marché. Lire la suite

La CJUE remet en cause les modalités de transfert des données vers les Etats-Unis – la fin du Safe Harbor

Dans un arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) vient de conclure à l’invalidité de la décision 2000/520 du 26 juillet 2000 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité« , dite décision « Safe Harbor » (CJUE, 6 octobre 2015, C-361/14). Lire la suite

Les apports du futur règlement européen sur la protection des données personnelles à l’heure du Trilogue

En vue d’adopter fin 2015 le règlement, tant attendu, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« le règlement »), la Commission de l’Union européenne (« la Commission »), le Parlement de l’Union européenne (« le Parlement ») et le Conseil de l’Union européenne (« le Conseil ») ont débuté, le 24 juin 2015, la première phase de la négociation tripartite, appelée « Trilogue ». La dernière version consolidée du texte est celle adoptée par le Parlement européen le 12 mars 2014.

Lire la suite

Les transferts de données personnelles vers les Etats Unis menacés

L’Avocat Général Yves Bot a rendu le 23 septembre 2015 ses conclusions devant la Cour de justice de l’Union européenne (CJUE) dans une affaire C-362/14. Verdict: le Safe Harbor (ou « sphère de sécurité) » – sur lequel sont fondés une immense partie des transferts de données personnelles en provenance de l’Union européenne vers des entreprises basées aux Etats-Unis – pourrait bien être invalide. Ce constat intervient dans le contexte des révélations d’Edward Snowden sur le programme « PRISM ».

Lire la suite

Prospection commerciale par SMS : l’usage irrégulier de données personnelles est punissable

Le Conseil d’Etat, saisi d’un recours contre une délibération de la Commission nationale informatique et libertés (CNIL), a eu à se prononcer sur la régularité de l’usage de données personnelles dans le cadre de campagnes de prospection commerciale par SMS. Lire la suite

Droit à l’oubli et liberté de la presse : refus de désindexation d’un article sur les moteurs de recherche

La décision le tribunal de grande instance de Paris rendue le 23 mars 2015, illustre le difficile compromis entre le droit à l’oubli consacré par la jurisprudence de la Cour de justice de l’Union européenne (CJUE, 13 mai 2014, Google Spain, voir notre commentaire dans la lettre Propriétés intellectuelles de juillet 2014) et les principes fondamentaux de la liberté de la presse. Lire la suite

«Binding corporate rules» : le transfert de données personnelles simplifié au sein du groupe

Alors que les transferts de données personnelles au sein de Union européenne (UE) s’opèrent sans difficulté depuis l’entrée en vigueur de la directive 95/46/CE, laquelle a harmonisé les législations des différents Etats membres en matière de protection des données personnelles, les transferts hors UE demeurent en principe interdits. Lire la suite

Sites Internet marchands : êtes-vous en règle ?

De longue date, l’Union européenne et l’Etat français ont souhaité sécuriser les échanges électroniques, marchands ou non. Si l’objectif poursuivi est de protéger les utilisateurs, parties « faibles » dans les éventuelles transactions, les textes se sont accumulés, avec une approche et une logique parfois bien différentes.

Lire la suite

Présomption de professionnalité des SMS émis ou reçus d’un téléphone professionnel

A moins que leur caractère privé soit expressément indiqué, les SMS échangés par un salarié au moyen d’un téléphone mis à disposition par son employeur sont présumés professionnels. Lire la suite

Un fichier non déclaré à la CNIL n’est pas une preuve licite

La Chambre sociale de la Cour de cassation vient rappeler, dans un arrêt du 8 octobre 2014 (n°13-14991), l’importance de la déclaration des traitements de données personnelles à la CNIL préalablement à leur mise en œuvre.

Lire la suite

Traitement de données à caractère personnel par un moteur de recherche et consécration du droit à l’oubli

La Cour de justice de l’Union européenne (CJUE) a eu à statuer sur la responsabilité des sociétés Google Spain et Google Inc au regard de leurs activités de moteur de recherche.
Lire la suite

Rappel à l’ordre de la société BNP Paribas Personal Finance par la CNIL

Par décision du 28 avril 2014, la Commission Nationale Informatique et Libertés (CNIL) a mis en demeure la société BNP Paribas Personal Finance (la BNP) de procéder à la levée de l’inscription injustifiée d’une cliente au fichier national des incidents de remboursement des crédits aux particuliers (FICP).

Lire la suite

Les modalités de traitement des données de paiement dans le cadre d’une vente à distance

La CNIL a adopté, le 14 novembre 2013, une nouvelle recommandation concernant le traitement des données de cartes de paiement collectées dans le cadre d’une vente à distance (Délibération n° 2013-358 abrogeant la délibération n° 2003-034 du 19 juin 2013). Lire la suite

Quel risque encourt-on à vendre un fichier clients non déclaré à la Cnil ?

La vente de fichiers clients est une pratique particulièrement courante. Elle permet aux entreprises acheteuses de disposer de coordonnées personnelles dans le but de réaliser les opérations marketing ou de communication. Lire la suite

Le principe de finalité appliqué à la géolocalisation

La cour d’appel de Lyon est venue rappeler, le 13 mars 2013, le principe essentiel posé par la loi n°78-46 du 6 janvier 1978, selon lequel les données à caractère personnel ne peuvent être traitées de manière licite que si « Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités » (art. 6, 2°). Lire la suite

Modification de la Directive 95/46/CE sur la protection des données personnelles : point d’étape

Le processus de révision de la Directive 95/46/CE sur la protection des données personnelles suit son cours. A la suite de la publication du projet de règlement visant à modifier ce texte et relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la Commission Libertés civiles, justice et affaires intérieures du Parlement européen a publié, le 8 janvier 2013, un « Projet de rapport sur la proposition de règlement du Parlement Européen et du Conseil ». Par l’intermédiaire de son rapporteur, Jan Philipp Albrecht, la Commission a proposé pas moins de 350 amendements au projet de règlement.
Lire la suite