12/10/2015

Du jour au lendemain, on découvre maintenant que bon nombre des données personnelles des Européens envoyées sur le territoire américain n’auraient jamais dû y aller… En effet, par sa décision du 6 octobre 2015, déjà largement commentée dans la grande presse, la Cour de Justice de l’Union Européenne (CJUE) vient d’invalider le régime juridique dit du « Safe Harbor » (« sphère de confiance » en Français).

16/06/2014

La CNIL vient de publier son 34ème rapport d’activité annuelle dans lequel elle dresse le bilan de son action et des problématiques renouvelées en matière de protection des données personnelles. En 2013, 5 638 plaintes ont été portées devant elle par des particuliers, des représentants du personnel ou des associations de consommateurs. Mais l’élément phare qui se dégage de ce rapport est la dimension internationale que prend désormais la question de la protection des données à caractère personnel.

14/04/2014

Plusieurs dispositions françaises sont susceptibles de devoir être repensées : l’article L.34-1 du Code des postes et des communications électroniques (CPCE) et son décret d’application ; l’article 6 de la loi pour la confiance dans l’économie numérique et son décret d’application et enfin l’article 20 de la nouvelle loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire qui modifie le Code de la sécurité intérieure et qui n’entrera en vigueur que le 1er janvier 2015.

25/05/2013

La mise en oeuvre par une entreprise d’un « traitement » informatisé de données à caractère personnel requiert un formalisme parfois lourd et lui impose le respect d’un certain nombre d’obligations rigoureuses. Le tout est contenu dans la loi du 6 janvier 1978 « Informatique et Libertés ». Mais qu’est-ce qu’un traitement de données à caractère personnel ? Une décision du 23 avril 2013 de la Cour de cassation nous donne l’occasion de revenir sur cette question.

20/09/2012

La réglementation en matière de traitement de données personnel va connaître prochainement une évolution majeure. La France a été le premier pays à se doter d’une législation en la matière, par la loi du 6 janvier 1978, Informatique et Libertés. Cette loi fut profondément modifiée en 2004 pour intégrer dans notre droit, la première réglementation européenne en la matière : la directive du 24 octobre 1995. Cette directive, qui avait pour objectif d’harmoniser le droit des Etats membres de l’Union européenne, a finalement abouti à une grande disparité dans les législations nationales. La Commission a divulgué récemment son projet de règlement. Le règlement définitif ne sera pas adopté avant de nombreux mois mais les entreprises doivent d’ores et déjà se préparer à l’arrivée de ce nouveau cadre juridique. Un certain nombre de dispositions concerne directement les directions informatiques des entreprises.

24/10/2011

Corolaires presque indispensables du pouvoir de sanction dont elles sont parfois dotées, certaines AAI, comme la CNIL, disposent d’importants pouvoirs d’investigation afin d’établir l’existence des pratiques illicites qui relèvent de leur compétence. Leurs agents peuvent ainsi procéder à ce que la loi nomme des « visites », c’est-à-dire des perquisitions. Il se développe ainsi une procédure « para-pénale » qui nourrit de nombreuses difficultés, difficultés renouvelées depuis que l’administration dispose du pouvoir de saisir les données informatiques des entreprises.

26/09/2011

A l’occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l’ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009 a introduit dans la directive 2002/58/CE « vie privée et communications électroniques » des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles. La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011[4]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.

27/06/2011

Les entreprises qui possèdent des systèmes d’information toujours plus ouverts sur les réseaux publics comme internet sont victimes quasi quotidiennement de tentatives d’intrusion. Leur intérêt évident est de lutter contre ces intrusions et de protéger leurs données contre un accès frauduleux. Ce n’est qu’exceptionnellement que la loi impose une véritable obligation de sécurité des données. En dehors de législations spécifiques, c’est à l’entreprise de veiller à la confidentialité de ses données, sans qu’elle ne supporte, en la matière, de véritable obligation. Envisageons la question sous un autre angle, celle de la protection qu’offre le droit contre l’atteinte frauduleuse aux données.