Si vous êtes nouveau ici, le point de départ est le diagramme des principales obligations informatique et libertés ; ensuite suivez le parcours. Vous pouvez vous abonner aux flux RSS, Twitter ou FB. Merci de votre visite !

Données personnelles : gare aux formulaires indiscrets

by Thiébaut Devergranne on 03/04/2012

La CNIL vient de mettre en demeure l’OPH Paris Habitat pour avoir réalisé un traitement illicite de données personnelles.

Les faits sont pour le moins sordides puisque lors d’un contrôle la CNIL a découvert que l’établissement collectait des données sensibles sur ses locataires, avec des appréciations telles que :  ”séropositif“, “cancer“, “sous chimiothérapie“, “n’est pas de nationalité française“, ou encore “alcoolique”…

Ce traitement de données personnelles est d’autant plus problématique qu’il semble qu’une diversité de destinataires avait accès à ces informations, comme en témoigne le communiqué de la Commission : “Les contrôles opérés auprès de l’OPH PARIS HABITAT dans le cadre de l’instruction de ces plaintes ont permis de constater que certains de ses gardiens avaient effectivement accès au compte locatif des personnes résidant dans l’immeuble auquel ils étaient affectés.  Ces gardiens avaient également accès à des informations relatives à tous les locataires de l’OPH, y compris ceux qui ne logeaient pas dans l’immeuble dont ils avaient la charge“.

Trois points méritent ici une attention particulière : d’abord les risques juridiques qu’une telle situation fait courir à une organisation ; ensuite, l’origine exacte du problème, qu’il convient de déterminer afin de pouvoir protéger une organisation contre ces risques ; enfin évidemment la réaction de la CNIL face à ce traitement.

Lire la suite de l'article...

{ 4 comments }

Les 3 risques de la proposition de loi sur le secret des affaires

by Thiébaut Devergranne on 21/02/2012

On disposera bientôt d’une protection pénale du secret des affairesLa proposition de loi initiée par Bernard Carayon vient d’être débattue et adoptée en première lecture à l’Assemblée Nationale. Alors que le texte était sujet à de très importantes critiques dans sa rédaction initiale, on voit maintenant apparaître une version considérablement améliorée. L’impulsion du député a été décisive et a permis de gommer nombre de défauts du projet originel. Le minimum est donc ici de saluer l’important travail de réflexion qui a été mené.

L’idée majeure de la proposition de loi est de permettre aux entreprises de faire sanctionner par 3 ans d’emprisonnement et 375.000 euros d’amende la diffusion volontaire d’informations couvertes par le secret des affaires.

Pour autant, le texte conserve aujourd’hui 3 problèmes qui résultent, pour l’essentiel, des risques d’abus potentiels dans la mise sous secret.

Lire la suite de l'article...

{ 4 comments }

Les dérives illicites de l’intelligence économique

by Thiébaut Devergranne on 31/01/2012

Aussi foudroyante soit-elle, l’affaire EDF - qui a révélé le piratage par EDF des systèmes informatiques de Greenpeace - est pétrie de vertus. D’abord, il y a le versant “pédagogique” : 1.5 million d’euros d’amende pour EDF pour avoir été défaillante dans la gestion de ses contrats sensibles et laissé son responsable sécurité mettre en place une écoute illicite des systèmes informatiques de Greenpeace. Un an de prison ferme pour le responsable sécurité d’EDF qui a orchestré les opérations. Un an de prison ferme pour le consultant de la société qui a commandité et organisé l’attaque. Un an de prison ferme pour le pirate qui a attaqué les systèmes de Greenpeace et mis en place la surveillance sauvage ; 2.200.000 € d’amende et de dommages et intérêts cumulés pour les protagonistes ! Voilà, qui devrait convaincre de la nécessité d’encadrer les opérations d’intelligence économique…

Ensuite, il y a le versant “nouveautés” : la mise en cause d’EDF, en tant que personne morale pour accès frauduleux et recel. C’est la première fois qu’une entreprise écope d’une sanction aussi importante pour complicité d’accès et maintien frauduleux.

EDF a été condamnée à 1.5 million d’euros pour piratage informatique

C’est également la première fois, à notre connaissance, que la possession de biens issus d’un accès frauduleux (un CDROM contenant les données de Greenpeace) a été sanctionnée pour recel.

Derrière ce jugement se dresse le spectre d’une véritable mise sous tutelle de l’activité des responsables sécurité, car il ressort de cette décision que si l’organisation n’est pas en mesure d’assurer un contrôle efficace de la légalité des opérations mises en œuvre, sa responsabilité pourra alors se voir engagée. Au-delà d’un rappel des faits, cette affaire exceptionnelle appelle à s’interroger sur les facteurs qui ont permis un tel écueil.

Lire la suite de l'article...

{ 9 comments }

6 things you need to know about the new EU privacy framework

24 January 2012

Today, the European Commission announced a new proposal for the Directive 95/46 on “the protection of individuals with regard to the processing of personal data“. It’s a revolution. Since 1995, the text aged and dramatic technology changes occurred : the Internet (!), social networks, mobile phones, geolocalization, biometrics, globalization, new development models (SaaS, PaaS, IaaS), Cloud computing… And, to say the least, the current Directive failed to impose an effective level of privacy for EU citizens. Moreover, each of the 27 countries members of the European Union adapted the Directive in their local legislation, creating a patchwork of 27 different rules. These challenges led the European Commission to propose a new legislative framework.

The text is more than 80 pages long so we’ll cover some ot the newest and most important aspects of it.

Lire la suite de l'article...

Lire l’article en intégralité →

Le non-respect d’une charte informatique justifie un licenciement

15 January 2012

Pour tout un chacun, les chartes informatiques sont des collections d’interdictions d’apparat. Il faut parfois les signer, cocher la case disant qu’on les accepte et certaines nous poursuivent jusque dans notre case courrier. Il y a, en quelque sorte, une fatalité de la charte : où que l’on soit, elles reviennent à nous avec constance, persévérance et fermeté.

Mais celles-ci appellent leur lot de dissidences, car une fois signées elles sont déjà pratiquement désavouées : direction l’oubli, la poubelle ou les bas fonds d’un vieux tiroir méprisé. Comme si le sentiment de s’être fait ordonner une collection invraisemblable d’interdictions devait immédiatement être suivi d’une négation ; sans doute parce que dans la réalité on sait que l’on ne pourra jamais vraiment assimiler les méandres d’un document de 35 pages (PSSI comprise…).

Lire la suite de l'article...

Lire l’article en intégralité →

Google Suggest : 50.000 euros de dommages et intérêts pour injure publique

7 January 2012

Il est des clivages qui sont éternels et qui se rappellent à nous avec malice, récurrence et opiniâtreté. Tel doit être le sentiment des ingénieurs qui ont mis au point Google Suggest, et qui ont légitimement pu céder à la joie et la fierté d’offrir un service innovant et utile, avant d’être rappelé aujourd’hui au rigorisme de la loi, du droit et du flot constant de contraintes qui vont avec.

Lire la suite de l'article...

Lire l’article en intégralité →

Le nouveau destin de l’obligation de sécurité

29 December 2011

La sécurité des données personnelles est au cœur d’une actualité pour le moins vivifiante ! D’abord, l’été nous a fait don de la transposition du paquet télécom qui a institué une obligation pour les opérateurs de communications électroniques de notifier les incidents de sécurité à la CNIL. L’obligation est importante mais encore très circonscrite. Cela ne fait cependant que commencer. En effet, la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, devrait supprimer cette limitation et ouvrir l’obligation de notification à toute personne opérant un traitement de données personnelles.

Lire la suite de l'article...

Lire l’article en intégralité →

5 méthodes infaillibles pour se faire condamner par la CNIL

27 November 2011

Rien ne vaut l’expérience pratique des choses. Au travers d’exemples de condamnations prononcées par la CNIL, je vous propose de découvrir une liste des choses à faire… pour vous faire condamner !  Au moins que l’histoire et l’expérience des autres puissent servir de réflexion à ceux qui souhaitent éviter d’en faire les frais. Partant d’une sélection [...]

Lire la suite de l'article...

Lire l’article en intégralité →

L’adresse IP est-elle une donnée personnelle ?

18 November 2011

1. – C’est un excellent cas pratique ! Excellent car la question posée est piégée, minée, mystifiée. En droit, on recourt à un adage qui préfixe toute consultation juridique : donnez-moi les faits et je vous dirai le droit. Stigmate de l’impossibilité – ou sinon de extrême difficulté – pour le juriste de dire le droit a priori, sans [...]

Lire la suite de l'article...

Lire l’article en intégralité →

Du bon usage de l’intelligence économique (bref propos sur l’affaire EDF c/Greenpeace)

23 January 2011

Les entreprises vivent parfois des affaires que le destin semblait vouer au secret bien plus qu’à la publicité. Voici pourtant un exemple étalé tout de long sur la place publique, illustrant les contingences d’actions d’intelligence économique, et conjuguant dans la presse une terminologie digne de romans : “EDF”, “espionnage”, “Greenpeace”, “responsables de la sécurité”, “anciens [...]

Lire la suite de l'article...

Lire l’article en intégralité →