Archives: PROTECTION DES DONNEES PERSONNELLES

S'abonner au fil - RSS PROTECTION DES DONNEES PERSONNELLES

Lignes directrices du G29 sur le consentement

G29, Guidelines on Consent under Regulation 2016/679, WP259

Le Groupe de l’Article 29 (G29) a rendu public, le 12 décembre 2017, son projet de lignes directrices sur le consentement tel que réglementé par le RGPD. Ces lignes directrices font l’objet d’une consultation publique jusqu’au 23 janvier 2018, consultation à l’issue de laquelle elles pourront faire l’objet d’aménagements.

Lire la suite

Le projet de loi adaptant la Loi informatique et libertés au RGPD

Projet de loi relatif à la protection des données personnelles

Le gouvernement a rendu public le 13 décembre 2017 « le projet de loi relatif à la protection des données personnelles », ayant pour but d’accompagner la prise d’effet en France du Règlement Général sur la Protection des Données, Règlement  2016/679 (« RGPD ») et la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités à des fins de prévention et de détection des pénales, et à la libre circulation de ces données.

Lire la suite

RGDP : Le G29 met à jour les documents sur les BCR ou « Règles d’entreprise contraignantes »

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Le G 29 a publié les documents suivants, adoptés le 29 novembre 2017, mettant à jour les règles gouvernant les BCR ou Règles d’entreprise contraignantes :

  • WP 256, Document de travail établissant un tableau reprenant les éléments et les principes contenus dans les BCR, et
  • WP 257, Document de travail établissant un tableau avec les éléments et les principes qui se trouvent dans les BCR « sous-traitants ».


Lire la suite

RGPD : Le G29 met à jour les documents sur les BCR ou « Règles d’entreprise contraignantes »

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Le G 29 a publié les documents suivants, adoptés le 29 novembre 2017, mettant à jour les règles gouvernant les BCR ou Règles d’entreprise contraignantes :

  • WP 256, Document de travail établissant un tableau reprenant les éléments et les principes contenus dans les BCR, et
  • WP 257, Document de travail établissant un tableau avec les éléments et les principes qui se trouvent dans les BCR « sous-traitants ».


Lire la suite

Recommandations de la CNIL sur les « Fichiers de mauvais payeurs »

www.cnil.fr/fr/fichiers-de-mauvais-payeurs-quelles-obligations-quelles-formalites

Il est fréquent qu’une société crée un fichier d’exclusion qui lui permet d’identifier les « mauvais payeurs » et de les exclure de toutes ses futures transactions.

La CNIL donne les recommandations suivantes pour ce type de fichier.

    • Le fichier d’exclusion ne doit concerner que les impayés avérés ; il ne doit pas servir à détecter un simple risque d’impayé.


Lire la suite

Squire Patton Boggs était sponsor de l’IAPP’s Europe Data Protection Congress les 8 et 9 novembre 2017 à Bruxelles

Notre équipe Protection des Données Personnelle et Cybersécurité était présente à cet évènement majeur en Europe pour les professionnels des données personnelles, organisé par l’international Association for Privacy Professionnels (IAPP).
 
Nous participions à un atelier sur le thème « One stop Shop will the Promise be delivered ? » ou  « Guichet unique: la promesse sera-t-elle tenue? » avec un panel d’éminents spécialistes.

Lire la suite

Un outil pratique de conformité RGPD : la CNIL met à disposition un Logiciel pour DPIA

Le 22 novembre 2017, la CNIL a mis à disposition du public, à titre gratuit, un logiciel open source PIA « prêt à l’emploi » qui facilite la conduite et la formalisation d’analyses d’impact sur la protection des données, telles que prévues par le RGPD (en anglais PIA ou DPIA).

Le logiciel est disponible en deux version (i) une « Version portable » qui se télécharge directement sur le poste de travail et se lance sans installation et (ii) une version web qui se déploie sur les serveurs de l’entreprise (disponible en mode front end ou en mode back end).

Lire la suite

Naissance du blog Security and Privacy // Bytes

Nous avons le plaisir d’annoncer le lancement du nouveau blog Security and Privacy // Bytes de notre équipe internationale Data Privacy and Cybersecurity. Le blog, entièrement en anglais, dédié à la protection des données et à la cyber sécurité apportera un éclairage sur des sujets clés, de portée internationale, avec une approche pratique. Il est donc dorénavant séparé du blog Global IT and Technology Law  qui conserve cependant les archives des anciens articles sur ces sujets.

Lire la suite

RGPD : Guide de la CNIL pour les sous-traitants

www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

La CNIL a publié un guide pour sensibiliser et accompagner les sous-traitants dans la mise en œuvre concrète de leurs obligations au titre du RGPD. A savoir :

  • Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.


Lire la suite

Lignes directrices du G29 sur les « décisions individuelles automatisées » et le « profilage »

Lignes directrices du G29 sur les « décisions individuelles automatisées » et le « profilage » Les questions abordée dans ces lignes directrices sont d’une grande importance pour plusieurs secteurs d’activité publics ou privés. Le document cite les secteurs bancaire et financier, la santé, la fiscalité, l’assurance, le marketing et la publicité comme des exemples de domaines dans lesquels le profilage sert régulièrement de support à la prise de décision.

Lire la suite

Lignes directrices du G29 sur la notification de violation de données personnelles

Lignes directrices du G29 sur la notification de violation de données personnelles Le G29 poursuit son travail de clarification du RGPD en vue de son application en mai 2018.

Le sujet de la notification des violations de données personnelles n’est pas totalement nouveau puisque cette obligation, qui s’appliquera à tous, existe déjà pour les sociétés de communication. Cependant ce travail a le mérite de rappeler ou d’approfondir certains points importants.

Lire la suite

La CNIL publie le pack de conformité « véhicules connectés et données personnelles ».

La CNIL publie le pack de conformité « véhicules connectés et données personnelles ». Il s’agit d’un texte dense et prescriptif. Il porte à la fois sur les obligations au titre de la règlementation française de protection des données personnelles actuelle et sur le RGPD européen.
 
Le pack a été élaboré en concertation avec 21 acteurs publics et privés (acteurs de la filière automobile, assurance et télécom et des autorités publiques).

Lire la suite

APB : Mise en demeure de la CNIL

S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés.

Lire la suite

La CNIL sanctionne désormais plus sévèrement les manquements à la sécurité des données

Délibération n°SAN 2017-010 du 18 juillet 2017
Délibération n°SAN-2017-011 du 20 juillet 2017

La CNIL a rendu deux délibérations à quelques jours d’intervalle relatives à des violations de données de sites internet. La CNIL a décidé « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité » d’agir plus vigoureusement à l’encontre des manquements à l’obligation de sécurité de l’article 34.

Lire la suite

Modification de l’autorisation unique AU 004 sur les alertes professionnelles

Délibération n° 2017-191 du 22 juin 2017 de la CNIL

Comme cela était attendu, la CNIL a été amenée à modifier de façon significative son autorisation unique sur les alertes professionnelle (AU-004) à la suite des changements introduits par la loi Sapin 2 (voir notre article « Loi Sapin II – protection des lanceurs d’alerte ») et le décret d’application n° 2017-564 du 19 avril 2017 (voir notre article «  Corruption et signalement : décrets d’application de la loi Sapin 2 »).

Lire la suite

Absence de déclaration CNIL et licéité de la preuve

Cass. Soc. 1er juin 2017, n° 15-23.522

Le licenciement d’un salarié pour défaut de compétence et de rigueur dans l’exécution de ses taches a été notamment démontré par la production d’emails entre ce salarié et la direction. Le salarié a demandé que les emails soient écartés comme preuves illicites, la messagerie n’ayant pas été déclarée à la CNIL (même pas dans la cadre de la déclaration simplifiée n°46 sur la gestion de personnel).

Lire la suite

Portée territoriale du droit au déréférencement : plus de détails à venir de la CJUE

Communiqué de presse du conseil d’Etat du 19 juillet 2017

Le Conseil d’Etat, après avoir été saisi d’un recours contre la décision de la CNIL infligeant une sanction de 100 .000 € à l’encontre de Google, suite à son refus de procéder au déréférencement sur l’intégralité des extensions de son nom de domaine (voir notre article « Droit au déréférencement : la CNIL prononce une sanction de 100.000 € »), a décidé de poser des questions préjudicielle à la CJUE.

Lire la suite

Plaintes devant la CNIL : droit des auteurs de plaintes en cas de sanctions par la CNIL

Conseil d’État, 10ème et 9ème ch. réunies, 19 juin 2017 ,n°398442

Le client d’une banque a déposé une plainte auprès de la CNIL pour insuffisante protection des mots de passe permettant d’accéder aux comptes en ligne. Après enquête, la CNIL a sanctionné la banque.  Elle en a informé l’auteur de la plainte  (ainsi que de la clôture de la plainte ), mais sans détailler la teneur de la sanction prononcée.

Lire la suite

Droit d’accès aux données d’une personne décédée

Les faits

CE 10ème – 9ème chambres réunies, 7 juin 2017 N° 399446

À la suite d’un accident de circulation, une procédure judiciaire a été engagée afin de déterminer la réparation du préjudice subi par Mme B…, laquelle est entre-temps décédée. Son fils, a demandé à la mutuelle, de lui donner accès aux traitements informatisés concernant les suites de cet accident et comportant des informations concernant sa mère, sa sœur ou lui-même.

Lire la suite

Avis du G29 sur les traitements de données personnelles au travail

WP 29 Opinion  2/2017 (WP249) on data processing at work

L’avis rappelle qu’en application de l’article 88 du RGDP un grand nombre d’aspects seront régis par le droit national des Etats membres, à savoir les traitements pour les besoins du recrutement, de l’exécution du contrat de travail (y compris le respect des obligations fixées par la loi ou par des conventions collectives) de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.

Lire la suite

Brexit et protection des données personnelles

Dans son discours du 21 juin 2017 au parlement anglais, la reine a annoncé que le Royaume-Uni prépare « une nouvelle loi qui permettra au Royaume Uni de garder un régime de protection des données personnelles de tout premier rang (“world class”) ».

« La loi mettra en œuvre le RGPD  et la Directive sur la coopération judiciaire jusqu’à la date de sortie de l’Union Européene et aidera  ensuite le pays à maintenir sa capacité à partager des données avec d’autres États membres de l’UE et à l’international après notre sortie  de l’UE ».

Lire la suite

Le RGPD devient loi dans moins de 12 mois : trois étapes sur lesquelles il faut se focaliser sans tarder

Article initialement publié en anglais sur notre blog Global Business IP and Technology

Nous venons de dépasser le jalon officiel de la dernière année avant l’application directe, le 25 mai 2018, en France et dans les autres pays de l’Espace Économique Européen (« EEE ») du  Règlement général sur la protection des données («RGPD»).  Au cours des derniers mois, de nombreux États membres de l’UE ont travaillé sur des lois de mise en œuvre du Règlement. 

Lire la suite

LexBlog