fichiers personnels (8)
Le 21 septembre dernier, la formation restreinte de la Commission Nationale de l'Informatique et des Libertés (CNIL) a rendu une délibération contre la société PagesJaunes.
La formation restreinte de la CNIL reproche à la société Pages Jaunes d'avoir mis en ligne, dans la section « Pages Blanches » de son site Internet, des informations recueillies sur les profils de réseaux sociaux de 25 millions de personnes sans leur autorisation préalable.
Ainsi, grâce à la fonctionnalité dite du « webcrawl », la société d'annuaire a pu aspirer sur divers sites les noms, prénoms, photographies, pseudonymes, établissements scolaires, professions, employeur ou encore les localisations géographiques de personnes, dont ceux des mineurs et des personnes sur liste rouge, et ce, afin de les publier.
La CNIL a constaté dans cette pratique de nombreux manquements à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique et aux libertés.
Elle reproche notamment à l'annuaire en ligne d'avoir collecté les données en question de manière déloyale, en violation de l'article 6 de la loi de 1978. La société Pages Jaunes se défendait en faisant remarquer que les individus inscrits sur des réseaux sociaux sont conscients du caractère public des profils qu'ils créent et sont libres de ne pas faire mention de leurs données à caractère personnel, s'ils ne souhaitent pas apparaître sur les moteurs de recherche, d'utiliser les outils de restriction des informations qui sont mis à leur disposition sur lesdits réseaux sociaux. La CNIL considère, au contraire, que le fait d'accepter de mettre en ligne des données à caractère personnel ne signifie pas que l'on accepte qu'elles soient récupérées et publiées par des tiers.
La société des Pages Jaunes argue du fait que "la politique de confidentialité" de Facebook prévoit que "peuvent être indexées par des moteurs de recherche tiers (...) sans restriction de confidentialité (...) des informations (qui) peuvent être associées à vous, y compris à votre nom et à votre photo de profil, même en dehors de Facebook, par exemple sur des moteurs de recherche ou lorsque vous visitez d'autres sites Internet".
La CNIL constate également que l'extraction de données de l'annuaire universel aux fins de filtrage de profils "Facebook" effectué par la société est illicite au sens de l'article 1er de l'article 6 et ne respecte pas la finalité initialement assignée au traitement.
En outre, les données doivent être exactes, complètes et mises à jour au sens de l'article 4 de la loi du 6 janvier 1978. Or, la formation restreinte de la CNIL a constaté que les profils issus des réseaux sociaux n'ont pas été mis à jour pour certains pendant plus d'un an. La société des Pages Jaunes soutient que des contrats sont en cours de négociation avec les sociétés gérantes de réseaux sociaux pour garantir la transmission de données de profil mises à jour quotidiennement.
Enfin, elle reproche à l'annuaire en ligne le fait que le droit d'accès proposé aux titulaires des données personnelles est difficile à exercer. La procédure à suivre impose de remplir autant de formulaires en ligne que de profils détenus. Les demandes d'opposition imprécises demeuraient non traitées. Les procédures mises en place ne sont donc pas conformes aux exigences de la loi du 6 janvier 1978.
La formation restreinte de la CNIL a donc décidé de:
- prononcer un avertissement à l'encontre de la société Pages Jaunes;
- rendre public cet avertissement.
Le Directeur Général de PagesJaunes, Jean-Pierre Rémy, s'est exprimé, quant à lui, suite à cette publication et a déclaré que sa société était très attachée au respect de la vie privée et que par conséquent, elle examinait toutes les possibilités de recours possibles contre cet avertissement public (http://www.planetreporters.com/2011/09/26/pages-jaunes-prepare-la-riposte-face-a-la-cnil/).
Le 28 juin dernier, le CEO de Microsoft, Steve Ballmer, a annoncé depuis New York, le lancement mondial de la nouvelle génération de services de communication et de collaboration en mode hébergé dans le Cloud : Office 365.
Ainsi, Microsoft sera amenée à transférer des données de clients européens vers un service en cloud, service qui tomberait sous le coup de la loi américaine, le "Patriot Act", qui la contraint à garder le secret sur ce type de transfert. Or, la directive européenne impose notamment aux entreprises d'informer les utilisateurs lorsque des données à caractère personnel les concernant sont divulguées.
Le Parlement européen veut savoir quelle attitude compte adopter la Commission européenne dans le conflit qui oppose la directive européenne sur la protection des données (Directive 95/46/EC) au "Patriot Act" américain concernant le "cloud computing".
Rappelons que le "cloud computing" (informatique dans le nuage), qui peut être définie comme une forme de gérance informatique, consiste à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste client de l'utilisateur. Les données ne sont donc plus sur l'ordinateur local, mais dans un
« cloud » (nuage) composé de plusieurs serveurs interconnectés, accessible via une application standard facilement disponible pour l'utilisateur tel qu'un navigateur Web.
Ce n'est pas la première fois qu'une société américaine, et notamment Microsoft, transfère des données européennes vers les Etats-Unis. Microsoft a pu le faire grâce à un accord dénommé "Safe Harbor" signé, le 15 mars 2000, entre la Commission européenne et le département au Commerce américain. Ce dernier impose le respect de 7 principes dits "principes de la sphère de sécurité":
1-le principe du choix des moyens: toute organisation doit offrir aux personnes concernées la possibilité de décider si leurs informations peuvent être divulguées à un tiers ou peuvent être utilisées dans un but incompatible avec le(s) objectif(s) pour le(s)quel(s) les données ont été initialement collectées ou dans un but approuvé ultérieurement par la personne concernée ;
2- le principe régissant le transfert ultérieur de données à caractère personnel ;
3- le principe de sécurité des données à caractère personnel ;
4- le principe d'intégrité des données à caractère personnel ;
5- le droit d'accès aux données à caractère personnel ;
6- le principe relatif à la mise en oeuvre du dispositif en son entier.
Or, l'accord "Safe Harbor" ne prime pas sur le "Patriot Act". Ce dernier peut-il primer sur les lois européennes pour le traitement des données à caractère personnel? Le Parlement demande à la Commission européenne de prendre position.
Cette question devrait être tranchée d'ici à la fin de l'année.
Notons qu'en mai dernier, la Commission européenne a lancé une vaste consultation publique sur les enjeux du "Cloud Computing". Le questionnaire est en ligne à l'adresse suivante: http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=en
Le guide des professionnels de la santé a été mis en place pour mieux comprendre les enjeux de la protection des données
à caractère personnel.
La CNIL informe ainsi les professionnels de santé sur les mesures à adopter pour gérer les fichiers informatisés concernant les patients ou les personnes participant à des recherches médicales dans le respect de la loi informatique et libertés. Elle les conseille sur les mesures à mettre en place pour respecter l'intégrité et la sécurité des données de santé, données sensibles, et les droits des patients.
Rappelons que la responsabilité des professionnels de santé, notamment pénale, peut être engagée en cas de non-respect des dispositions de la loi.
Sources: site Internet de la CNIL
A lire le guide des professionnels de la santé
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_professionnels_de_sante.pdf
Ce décret « relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne » a été pris en application des articles 6-I et II bis de la Loi pour la confiance en l'économie numérique N° 2004-575 du 21 juin 2004 (LCEN) et vient d'être publié au Journal Officiel le 1er mars dernier.
Il fait la liste exhaustive des données qui doivent être conservées, aux fins d'éventuelles réquisitions judiciaires, tant par les Fournisseurs d'Accès à Internet (FAI) lorsque leurs abonnés se connectent que par les hébergeurs pour chaque opération de création de contenu.
En outre, à l'article 2, la notion de « contribution à une création de contenu » est définie comme étant celle qui concerne une création initiale de contenus, leur modification et leur suppression.
Enfin, l'article 3 du décret fixe la durée de conservation des données à un an, et le point de départ de ce délai en fonction de la nature des données.
Sources: Site Internet legifrance
Depuis le 27 octobre se déroule à Jérusalem la 32 ème conférence internationale des commissaires à la protection des données personnelles.Elle s'achèvera le 29 octobre.
La plupart des législations européennes et américaines relatives à la vie privée datent de la fin des années 80 et des années 90. Il convient de les adapter aux nouvelles technologies et à la multiplication des réseaux sociaux en ligne. Cette conférence donne l'occasion d'échanger sur le thème du respect de la vie privée et la manière dont elle est perçue par les jeunes générations dans le monde entier, sur les défis et les opportunités de la protection de la vie privée au sein de la nouvelle économie, sur les outils de protection de la vie privée...
Une délégation de la CNIL s'est rendue en Israël et le Président de la CNIL interviendra sur le thème du droit à l'oubli aux côtés notamment de Jeffrey Rosen (George Washington University) et Nancy Libin (US Department of Justice).
Vous pouvez consulter le programme intégral des conférences sur le site Internet suivant:
Fin : 29/10/10
Lieu : Israël, Jérusalem
Le 16 septembre dernier, le Président de la Commission Nationale de l'Informatique et des Libertés (CNIL), Monsieur Alex TURK, et Monsieur Jean-Pierre Ferret, Président du Conseil supérieur du notariat (CSN) ont signé à Paris une convention visant à mener des actions communes de formation à la loi Informatique et Libertés.
Le CSN a notamment chargé l'ADSN (Association pour le Développement du Service Notarial) de mettre en place le
« Correspondant Informatique et Libertés (CIL) » qui a pour mission de garantir la mise en oeuvre des moyens nécessaires au respect de la loi informatique et libertés et des procédures propres aux offices notariaux. Ainsi, un procédé d'autodiagnostic accessible sur le portail internet notarial afin d'évaluer le risque « Informatique et Libertés » auquel l'office notarial est exposé a été mis en place par l'ADSN sur son site Internet à l'adresse suivante http://www.adsn.notaires.fr/fcddvPublic/profileChoice.htm
Par un arrêt du 9 juillet 2008 "Franck L. c/ Entreprise Martin", la chambre sociale de la Cour de cassation vient de préciser cette frontière.
Il a été jugé que l'employeur peut consulter les connexions Internet du salarié, même en son absence, car pendant son temps de travail, ses connexions sont présumées avoir un caractère professionnel.
En l'espèce, le salarié avait été licencié pour faute grave à la suite d'un contrôle de son poste de travail, contrôle effectué par son employeur en son absence, qui avait révélé de nombreuses connexions à des sites Internet à des fins personnelles.Le salarié a saisi la juridiction prud'homale considérant qu'un tel contrôle portait atteinte au respect de l'intimité de sa vie privée qui implique en particulier le secret de ses communications, reprenant ainsi la solution de l'arrêt NIKON.
Rappelons que l'arrêt NIKON du 2 octobre 2001 avait tranché la question de l'utilisation des courriers électroniques par le salarié à des fins non professionnelles.La solution était favorable au salarié qui a droit "au temps et au lieu de travail, au respect de sa vie privée", "l'employeur ne peut donc sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur".Les documents obtenus par l'employeur dans les fichiers personnels et fax de l'ordinateur mis à la disposition du salarié ne pouvaient donc pas être utilisés à l'appui d'un licenciement pour faute grave.
Ultérieurement, la Cour de cassation a précisé les contours de la frontière entre la vie privée et professionnelle dans plusieurs arrêts. Ainsi, le 18 octobre 2006, dans une affaire "Jérémy L.F. c/ Techni-Soft" il a été jugé que l'employeur a la possibilité de consulter les fichiers qui ne sont pas identifiés comme "personnels" et ceux même en l'absence du salarié. En l'espèce, le salarié a été licencié pour faute grave pour avoir "procédé volontairement au cryptage de son poste informatique, sans autorisation de la société faisant ainsi obstacle à la consultation".
Le juge tranchera au cas par cas pour pencher en faveur de la protection de la vie privée du salarié au sein de l'entreprise ou de la protection de cette dernière qui serait victime notamment du manque de loyauté d'un salarié. Si l'on peut considérer que la qualification d'un fichier ou d'un courriel de "personnel" voire "confidentiel" constitue une parade pour le salarié qui permet d'éviter l'exercice du pouvoir de contrôle de l'employeur, il n'en sera pas de même pour les connexions Internet qui ne pourront pas être répertoriées et classées par le salarié. L'historique de ses connexions pourra donc être consulté librement par l'employeur qui pourra l'utiliser dans le cadre d'une procédure de licenciement.
Le 10 juin 2008, la Chambre sociale de la Cour de cassation a estimé qu'un employeur peut demander à accéder aux fichiers de l'un de ses salariés non référencés comme personnels sans porter atteinte au secret des correspondances et à la vie privée dudit salarié.
En l'espèce, l'employeur avait des raisons légitimes et sérieuses de craindre que l'ordinateur mis à la disposition de l'une de ses salariés avait été utilisé par elle pour favoriser des actes de concurrence déloyale.C'est pourquoi, le juge a confié à un huissier de justice la mission de copier, en présence de la salariée, des messages échangés avec des personnes identifiées comme étant susceptibles d'être concernées par les faits de concurrence soupçonnés.
La salariée avait tenté de contester la décision de la Cour d'appel qui avait fait droit à la demande en référé de l'employeur en arguant du fait qu'une telle pratique porte notamment atteinte à sa vie privée (article 9 du code civil) et qu'elle aurait violé l'article 145 du Nouveau Code de Procédure Civile (N.C.P.C.) "s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve des faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou sur référé". En effet, la salariée considérait que les fichiers identifiés comme personnels ne devaient pas être les seuls exclus, devaient également être exclus ceux qui pouvaient être considérés comme personnels à raison de leur objet.
La Cour de cassation a tranché en considérant que le respect de la vie personnelle de la salariée ne constitue pas un obstacle à l'application de l'article 145 du N.C.P.C.à la double condition que les mesures ordonnées par le juge:
- procèdent d'un motif légitime;
- sont nécessaires à la protection des droits de la partie qui les a sollicitées.
Les conditions étant réunies dans cette affaire (Florence G. c/ Mediasystem, SIMEP), la Cour de cassation a confirmé sa jurisprudence antérieure.