Nouvelle réécriture de la loi Informatique et Libertés : vers une loi plus lisible ?

Conformément à l’article 32 de la loi n°2018-493 du 20 juin 2018, le Gouvernement a adopté le 12 décembre 2018 une ordonnance qui a pour objet de réécrire l’ensemble de la loi Informatique et Libertés afin d’apporter les corrections formelles et les adaptations nécessaires pour mettre le droit national en conformité au Règlement général sur la protection des données du 27 avril 2016 (RGPD). Cette ordonnance a été publiée au Journal Officiel du 13 décembre 2018.

Il est également prévu que le décret d’application de la loi Informatique et Libertés modifiée par la loi du 20 juin 2018, déjà réécrit en août (décret d’application n° 2018-687 du 1er août 2018), sera à nouveau adapté à l’ordonnance. Ces textes entreront en vigueur au plus tard le 1er juin 2019.

Le département Données Personnelles du cabinet DELSOL Avocats apportera plus de précisions sur cette nouvelle ordonnance lors de la prochaine publication de sa newsletter et fera également l’objet d’un événement organisé par le cabinet dont les dates vous seront bientôt communiquées.

Brèves de novembre 2018

  • Premier bilan de la CNIL sur les violations de données personnelles

La CNIL a publié un premier bilan sur les violations des données personnelles depuis l’entrée en application du RGPD. Sur les 742 notifications, il en ressort que la majorité des notifications faites auprès de la Commission porte sur la confidentialité des données.

Ces notifications de violations proviennent surtout du secteur de l’hôtellerie, notamment via les outils de réservation. Enfin, 65% des violations de données trouvent leur origine dans des actes de piratage, des logiciels malveillants ou encore via la technique de l’hameçonnage.

La CNIL précise qu’elle adopte une approche répressive en cas de non-respect de l’obligation de notification dans les 72 heures (délai prévu à l’article 33.1 du RGPD). En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais impartis pour aider les professionnels concernés à prendre toutes les mesures visant à limiter les conséquences d’une violation.

  • Adoption de deux référentiels relatifs à la certification de DPO

Conformément à l’article 11 de la loi Informatique et Libertés modifiée par la loi n° 2018-493 du 20 juin 2018, la CNIL peut désormais élaborer ou approuver les critères des référentiels de certification et d’agrément. La Commission a donc adopté, après consultation publique, deux délibérations en date du 20 septembre 2018 portant respectivement sur un référentiel de certification et un référentiel d’agrément.

Le référentiel de certification fixe notamment les conditions de recevabilité des candidatures ainsi que la liste des compétences et savoir-faire attendus pour être certifié en tant que DPO.

Le référentiel d’agrément fixe, quant à lui, les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification précité.

En tout état de cause, la CNIL rappelle que la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement.

  • Mise en demeure de l’association « 42 » pour vidéosurveillance excessive

L’association « 42 » est une association à but non lucratif qui a créé en 2013 l’école « 42 », un établissement ayant vocation à former des étudiants dans le domaine de l’informatique et regroupant près de 800 étudiants.

Lors de contrôle réalisés en début d’année, la CNIL a pu constater que des caméras de surveillance installées dans l’école filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria soulevant un problème de proportionnalité de la mesure.

En outre, les personnes filmées n’étaient pas correctement informées, contrairement à l’article 13 du RGPD et aux recommandations de la CNIL.

Enfin, la CNIL souligne que « la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel ».

LA CNIL a dès lors mis en demeure la société 42 de mettre en conformité son système de vidéosurveillance dans un délai de deux mois. L’association devra revoir le caractère proportionné des mesures de sécurité mises en œuvre, limiter l’accès aux images et veiller à informer correctement les personnes concernées. La CNIL souligne ici la nécessité d’observer un caractère proportionnel entre d’une part la finalité poursuivie, la sécurité des locaux, et  d’autre part l’atteinte à la vie privée des personnes surveillées.

Il convient de rappeler que la vidéosurveillance obéit à une réglementation particulière selon qu’elle intervient dans un milieu accessible au public ou non.

Télémédecine : les expérimentations en matière de télésurveillance continuent

Un arrêté du 11 octobre 2018 du ministre en charge de la santé portant cahiers des charges des expérimentations relatives à la prise en charge par télésurveillance mises en œuvre sur le fondement de l’article 54 de la loi n°2017-1836 de financement de la sécurité sociale pour 2018, étend le cadre des expérimentations entrant dans la définition de la télésurveillance. L’adoption de ce nouveau cahier des charges illustre le recours croissant aux actes de télésurveillance et la libéralisation des actes de télémédecine, dans un contexte tendant vers une plus grande responsabilisation des acteurs. Continuer la lecture

L’étude d’impact : l’auto-évaluation de votre niveau de conformité aux principes de protection des données personnelles

Si les principes de protection des données personnelles n’ont pas été bouleversés par le Règlement européen du 27 avril 2016, la façon de les appliquer et surtout la méthode pour que chaque acteur – responsable de traitement et sous-traitant – apprécie lui-même son propre niveau de conformité constituent un changement important.

Cette appréciation effectuée auparavant par la CNIL est dorénavant du ressort de chacun et le Règlement prévoit à cet égard trois cas dans lesquels la conduite d’une étude d’impact est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Continuer la lecture

Entretiens de Valpré – Questions de confiance pouvoir la donner, savoir la garder

16 et 17 novembre 2018 – Lyon

Depuis 2002, les Entretiens de Valpré rassemblent des chefs d’entreprises, des cadres, des entrepreneurs et des étudiants, pour favoriser inspiration, échange et expérience sur les enjeux clés de l’économie, de l’entreprise, et de la société à la lumière de la pensée sociale chrétienne.

Autour d’un thème à chaque fois différent, de nombreux invités prestigieux issus de tous horizons partagent réflexions et expériences, lors de conférences, débats et ateliers, dans une ambiance empreinte de sincérité, de pluralité, de bienveillance et de fraternité.

A l’occasion de l’édition 2018 les participants vont être amenés à réfléchir à cet enjeu majeur qu’est la confiance. Confiance en soi, confiance en l’avenir, manager par la confiance, confiance dans la gouvernance, confiance durable, confiance en l’autre, confiance en Dieu…

Maître Jeanne Bossi Malafosse interviendra à l’occasion d’un atelier sur le thème « Big data, objets connectés, GAFAM, IA… Quelles pratiques adopter pour préserver la confiance ? »

Programme détaillé et inscription

Journées de l’innovation en biologie 2018

Les Journées de l’innovation en biologie 2018 ont à cœur de mettre en avant ce que chaque acteur industriel, chaque société de service et de prestation, grand groupe, ETI ou PME, peut apporter à la biologie médicale.

Qu’il s’agisse de nouveaux robots, de process d’analyses, d’intégration logiciel, de solutions organisationnelles, de services financiers ou assurantiels, les JIB 2018 seront l’événement majeur pour démontrer que l’écosystème de la biologie médicale anticipe et prépare les mutations des systèmes de santé pour accompagner toujours mieux les patients, les équipes des laboratoires de biologie et les biologistes médicaux eux-mêmes.

Maître Jeanne Bossi Malafosse sera présente jeudi 18 octobre 2018 sur le stand de Roche Diagnostics France pour intervenir sur le thème « Les enjeux de la Data privacy ».

Les activités prosélytes des témoins de Jéhovah soumises à la protection des données personnelles – Arrêt du 10 juillet 2018 de la Cour de justice de l’Union Européenne (CJUE)

On sait que la définition de la notion de traitement de données à caractère personnel commande le champ d’application des principes de protection des données.

La Cour de Justice de l’Union Européenne vient, dans un arrêt rendu cet été, de préciser davantage les contours de cette notion et, même rendu sous l’empire de la Directive 95/46/CE aujourd’hui abrogée, les enseignements tirés de l’arrêt de la CJUE restent entièrement d’actualité sous l’empire du RGPD. Continuer la lecture