20/09/2012

La réglementation en matière de traitement de données personnel va connaître prochainement une évolution majeure. La France a été le premier pays à se doter d’une législation en la matière, par la loi du 6 janvier 1978, Informatique et Libertés. Cette loi fut profondément modifiée en 2004 pour intégrer dans notre droit, la première réglementation européenne en la matière : la directive du 24 octobre 1995. Cette directive, qui avait pour objectif d’harmoniser le droit des Etats membres de l’Union européenne, a finalement abouti à une grande disparité dans les législations nationales. La Commission a divulgué récemment son projet de règlement. Le règlement définitif ne sera pas adopté avant de nombreux mois mais les entreprises doivent d’ores et déjà se préparer à l’arrivée de ce nouveau cadre juridique. Un certain nombre de dispositions concerne directement les directions informatiques des entreprises.

24/10/2011

Corolaires presque indispensables du pouvoir de sanction dont elles sont parfois dotées, certaines AAI, comme la CNIL, disposent d’importants pouvoirs d’investigation afin d’établir l’existence des pratiques illicites qui relèvent de leur compétence. Leurs agents peuvent ainsi procéder à ce que la loi nomme des « visites », c’est-à-dire des perquisitions. Il se développe ainsi une procédure « para-pénale » qui nourrit de nombreuses difficultés, difficultés renouvelées depuis que l’administration dispose du pouvoir de saisir les données informatiques des entreprises.

26/09/2011

A l’occasion de la révision du cadre réglementaire européen en matière de communications électroniques (l’ensemble étant appelé le « Paquet Télécom »), la directive du 25 novembre 2009 a introduit dans la directive 2002/58/CE « vie privée et communications électroniques » des dispositions instituant une obligation de divulgation des atteintes à la sécurité des données personnelles. La transposition du dernier paquet télécom est intervenue récemment par une ordonnance du 24 août 2011[4]. Cette ordonnance, par son article 38, introduit un article 34 bis dans la loi du 6 janvier 1978 « Informatique et Libertés » instituant ce régime, inédit en droit français, de divulgation obligatoire des atteintes à la sécurité des données personnelles.

27/06/2011

Les entreprises qui possèdent des systèmes d’information toujours plus ouverts sur les réseaux publics comme internet sont victimes quasi quotidiennement de tentatives d’intrusion. Leur intérêt évident est de lutter contre ces intrusions et de protéger leurs données contre un accès frauduleux. Ce n’est qu’exceptionnellement que la loi impose une véritable obligation de sécurité des données. En dehors de législations spécifiques, c’est à l’entreprise de veiller à la confidentialité de ses données, sans qu’elle ne supporte, en la matière, de véritable obligation. Envisageons la question sous un autre angle, celle de la protection qu’offre le droit contre l’atteinte frauduleuse aux données.