Dalloz IP/IT : examen par la CEDH de la proportionnalité d’un fichage policier au regard du droit au respect de la vie privée et de la protection des données personnelles révélant des opinions publiques

twitterlinkedinmailtwitterlinkedinmail

La Cour européenne des droits de l’homme dit à l’unanimité que le Royaume-Uni a manqué à son obligation de protéger la vie privée d’un militant de longue date mentionné dans une base de données relative à l’extrémisme. Il y a eu de ce fait violation de l’article 8 de la Convention européenne des droits de l’homme.
Le requérant se plaignait de la collecte et de la conservation, dans une base de données de la police relative à « l’extrémisme national », de données personnelles le concernant.
« La Cour juge en particulier que les informations détenues sur le requérant révélaient ses opinions politiques et qu’elles nécessitaient de ce fait une protection particulière. Elle tient également compte de l’âge du requérant qui a maintenant 94 ans, et du fait qu’il ne s’est jamais rendu coupable d’actes de violence et qu’il est peu probable qu’il en commette à l’avenir.
Par ailleurs, si la collecte de données le concernant était justifiée, leur conservation ne l’était pas, compte tenu notamment de l’absence de durée de conservation définie et de garanties suffisantes telles que des voies de recours effectives ainsi que d’une procédure de réexamen des données collectées permettant une purge systématique des données à l’issue d’une durée déterminée.
La CEDH a donc jugé que la conservation prolongée des données dans le cas du requérant était disproportionnée en ce qu’il s’agissait de données à caractère personnel qui révélaient des opinions politiques et méritaient ainsi une protection accrue. Elle relève également que M. Catt, qui n’avait jamais été condamné, ne constituait de menace pour personne, compte tenu notamment de son âge, et estime que les garanties procédurales n’étaient pas effectives.
ll y a donc eu violation de la Convention avec ce fichage..»

Veuillez télécharger le lien afin de lire la suite de l’article :  

Examen par la CEDH de la proportionnalité d’un fichage policier au regard du droit au respect de la vie privée et de la protection des données personnelles révélant des opinions publiques

Lettre d’actualités : deux nouveaux projets de référentiels en matière de ressources humaines et d’alertes professionnelles

twitterlinkedinmailtwitterlinkedinmail

La CNIL a lancé une consultation publique le 11 avril dernier relative à deux nouveaux projets de référentiels publiés sur son site Internet en matière de gestion des ressources humaines et d’alertes professionnelles (Loi Sapin 2).

Veuillez télécharger le PDF pour lire la suite de l’article :

Lettre d’actualités : règlement type biométrie

twitterlinkedinmailtwitterlinkedinmail

La Commission nationale de l’informatique et des libertés (CNIL) a adopté le 28 mars dernier un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Veuillez télécharger le PDF pour lire la suite de l’article : 

Dalloz IP-IT : Cloud Act : des inquiétudes légitimes

twitterlinkedinmailtwitterlinkedinmail

Pompe à data », « Per­mis officiel d’espion­nage industriel », « Arme commer­ciale », « Système de lutte contre l’intelligence économique » … L’adoption du Cloud Act (Clarifying Lawful Overseas Use of Data Act) ou, en français, la « loi clarifiant l’usage légal des données hébergées à l’étranger » a provoqué la parution de nombreux articles aux titres alarmistes.

Accusée d’avoir été votée en catimini par le Congrès américain et sans le moindre débat parlementaire, la loi a suscité des critiques dès sa promulgation par le Pré­sident Donald Trump, le 23 mars 2018.

Sur le fond, et en résumé, le Cloud Act permet aux autorités américaines d’ob­tenir de toute société « de droit améri­cain » détenant des data centers en de­hors des États-Unis la divulgation de données, dans le cadre d’investigations criminelles, en s’adressant directement aux sociétés traitant ou conservant ces données. Concrètement, la police, la « justice et l’administration américaines pourront avoir accès à des données sans considération du lieu où se trouvent celles-ci, dès lors que la société qui les conserve est « de droit américain » (une filiale européenne de société américaine par exemple), sans en informer la per­sonne concernée. Les sociétés concernées sont Microsoft, Google, IBM, AWS, Salesforce, Oracle, etc.

Naturellement, les organismes de défense des droits fondamentaux s’insurgent. Les critiques pleuvent : ingérence numérique et juridique, hégémonie américaine, at­teinte à la vie privée, loi liberticide…

De même, les entreprises ayant recours à des prestataires « de droit américain » pour héberger leurs données s’inquiètent de leur perte de contrôle sur les données de leurs clients, mais aussi de la confiden­tialité de leurs secrets d’affaires ainsi que d’une possible divulgation de leurs actifs incorporels.

Les partisans du Cloud Act arguent que le texte n’organise pas un droit d’accès abso­lu aux données et qu’il prévoit un contrôle systématique par un juge du bien-fondé de ces demandes de transmission de don­nées. Ils invoquent également la possibili­té pour les sociétés « de droit américain » de mettre en œuvre des mécanismes ju­ridiques permettant de s’opposer à ces demandes de transmission des données, dans le cas où le Cloud Act contreviendrait à la réglementation du pays dans lequel elles se trouvent.

Veuillez télécharger le lien pour lire la suite de l’article : 

Dalloz IP/IT : Cloud Act : des inquiétudes légitimes

twitterlinkedinmailtwitterlinkedinmail

« Pompe à data», « Per­mis officiel d’espion­nage industriel », « Arme commer­ciale », « Système de lutte contre l’intelligence économique » … L’adoption du Cloud Act (Clarifying Lawful Overseas Use of Data Act) ou, en français, la « loi clarifiant l’usage légal des données hébergées à l’étranger » a provoqué la parution de nombreux articles aux titres alarmistes.

Accusée d’avoir été votée en catimini par le Congrès américain et sans le moindre débat parlementaire, la loi a suscité des critiques dès sa promulgation par le Pré­sident Donald Trump, le 23 mars 2018.

Sur le fond, et en résumé, le Cloud Act permet aux autorités américaines d’ob­tenir de toute société « de droit améri­cain » détenant des data centers en de­hors des États-Unis la divulgation de données, dans le cadre d’investigations criminelles, en s’adressant directement aux sociétés traitant ou conservant ces données. Concrètement, la police, la justice et l’administration américaines pourront avoir accès à des données sans considération du lieu où se trouvent celles-ci, dès lors que la société qui les conserve est « de droit américain » (une filiale européenne de société américaine par exemple), sans en informer la per­sonne concernée. Les sociétés concernées sont Microsoft, Google, IBM, AWS, Salesforce, Oracle, etc.

Veuillez télécharger le PDF pour lire la suite de l’article : 

 

Dalloz IP/IT : la CEDH valide l’accès de l’employeur à un disque dur nommé par le salarié « données personnelles »

twitterlinkedinmailtwitterlinkedinmail

Dans le prolongement de l’arrêt Bãrbulescu, la Cour eu­ropéenne des droits de l’homme (CEDH) a décidé que l’ac­cès par l’employeur, hors la présence du salarié, à un dossier intitulé « rires » enregistré dans le disque dur nommé « D:/ données personnelles» de l’ordinateur professionnel du sa­larié ne constituait pas une violation du droit à la vie privée de ce dernier (JCP S 2018. 1108, comm. G. Loiseau ; JCP 2018. 433, note F. Marchadier; ibid. 2018. 290, obs. F. Sudre; Pro­cédures 2018. 112, comm. A Bugada).

En l’occurrence, dans cette affaire Libert, un salarié de la SNCF a été suspendu de ses fonctions à la suite d’une procédure pénale dirigée contre lui, puis a finalement été réintégré à la faveur d’un non-lieu.

Au moment de sa réintégration, il a été informé par sa hié­rarchie que son ordinateur avait été analysé et qu’y avaient été trouvées des attestations de résidence à l’entête de la brigade pour laquelle travaille le salarié ainsi que de nom­breux fichiers contenant des images et des films à caractère pornographique. L’analyse de l’ordinateur a été motivée par le signalement effectué par le successeur du salarié en question pendant sa suspension.

Les fichiers litigieux étaient localisés dans un fichier dénommé «rires» contenu dans un disque dur par défaut nommé «données» et renommé par le salarié « D:/données per­sonnelles».

Veuillez télécharger le PDF pour lire la suite de l’article :

Dalloz Avocats : Comment piloter la mise en conformité RGPD ? Quelques lignes directrices

twitterlinkedinmailtwitterlinkedinmail

Seul celui qui aurait vécu dans une tour d’ivoire pendant plusieurs mois pour­rait avoir échappé à l’agitation entou­rant l’entrée en application du Règle­ment général sur la protection des données , dit « RGPD », tant les messages incitant à la mise en conformité se sont multipliés.

Jamais la conformité n’a été aussi encensée et les promesses d’accompagnement des entre­prises aussi nombreuses, le bourgeonnement de sociétés de consultants alliant des compétences juridiques et techniques venant occuper un marché que de nombreux professionnels du droit cherchent eux aussi à conquérir. Néanmoins, il convient sans doute de relativiser l’impor­tance du changement opéré par le RGPD, qui est moins juridique que culturel. Le règlement européen est certes un instrument nouveau mais les grands principes du droit des données à caractère personnel datent de la loi de 1978 et sont réitérés dans le nouvel instrument euro­péen . S’il n’y a donc pas de véritable révolu­tion, on observe en revanche un changement de paradigme. Il se manifeste par une prise de conscience plus aiguë, d’une part, des probléma­tiques liées aux données à caractère personnel, qui s’explique en grande partie par des niveaux de sanction rehaussés et, d’autre part, de la né­cessité d’un investissement financier et humain, à la hauteur des enjeux.

Veuillez télécharger le PDF pour lire la suite de l’article :

Dalloz IP/IT : Contrôle de la messagerie électronique du salarié : quel est l’état du droit ?

twitterlinkedinmailtwitterlinkedinmail

Depuis déjà quelques an­nées, la messagerie élec­tronique du salarié est l’objet de toutes les at­tentions de la part de la chambre sociale de la Cour de cassation, qui a rendu de nombreuses décisions per­mettant de déterminer avec une certaine précision les contours d’un contrôle licite par l’employeur de la messagerie électro­nique du salarié. Le récent arrêt Barbulescu c/ Roumanie de la Cour européenne des droits de l’homme est l’occasion de reve­nir sur certaines de ces décisions d’origine nationale et européenne qui ont jalonné l’élaboration d’un cadre juridique propre à établir un équilibre entre le pouvoir de contrôle de l’employeur et le droit à la vie privée du salarié.

La décision Barbulescu c/ Roumanie ren­due par la grande chambre de la Cour européenne des droits de l’homme est le point de départ idéal de l’analyse, en ce qu’elle détermine de manière générale les garanties à mettre en œuvre en matière de contrôle des communications électro­niques du salarié.

Veuillez télécharger le PDF pour lire la suite de l’article :

Actuel rh : Les collaborateurs au cœur des nouvelles démarches de compliance de l’entreprise

twitterlinkedinmailtwitterlinkedinmail
Règlement européen sur la protection des données (RGPD), dispositif d’alerte dans le cadre de la loi Sapin 2, devoir de vigilance, autant de nouvelles obligations pour les entreprises qui impliquent d’y associer étroitement ses salariés. C’est ce que recommandent Emmanuel Daoud, avocat associé, et Solène Sfoggia, avocate, du cabinet Vigo.

Les obligations de mise en conformité à visée éthique se multiplient pour les entreprises, parmi lesquelles beaucoup peinent matériellement et humainement à mener de front ces nouveaux chantiers. Notamment, le Règlement européen sur la protection des données à caractère personnel (RGPD), la loi dite « Sapin II » instaurant la mise en place d’un dispositif d’alerte pour les entreprises de plus de cinquante salariés et de nouvelles obligations de lutte contre les atteintes à la probité pour les grandes PME et les entreprises multinationales, ainsi que, pour ces dernières, la loi sur le devoir de vigilance des sociétés mères et donneuses d’ordre, supposent un réel changement de culture en interne – qu’il n’est pas toujours facile d’appréhender.

A ces nouvelles lois, il convient aussi d’ajouter de nombreuses obligations inspirées de la responsabilité sociale des entreprises (RSE) et directement intégrées au droit du travail : le nouvel article L1131-2 du code du travail, qui prévoit des obligations régulières de formation à la non-discrimination à l’embauche ainsi que l’article L2242-17 du même code concernant le nouveau droit à la déconnexion, en sont de récents exemples.

A première vue, malgré la finalité éthique recherchée par le législateur, ces démarches peuvent être ressenties comme des contraintes par les collaborateurs, en raison de leur traduction concrète qui s’ajoute à un emploi du temps déjà chargé : temps de réponse à des questionnaires, participation à des entretiens ou formations, application de nouvelles procédures, pour n’en citer que quelques-unes. La mise en conformité peut par ailleurs être anxiogène lorsqu’elle touche à certains sujets ; et devenir source de stress et de blocage au sein de l’entité.

Pourtant, l’expérience montre que les collaborateurs sont au cœur de la démarche de compliance de l’entreprise, faisant de leur management et de leur engagement une condition sine qua non de sa réussite.

Veuillez cliquer sur le lien pour  lire la suite de l’article :

Les collaborateurs au cœur des nouvelles démarches de compliance de l’entreprise

Dalloz IP/IT : Droit à l’oubli contre publicité légale des données : la publicité prime !

twitterlinkedinmailtwitterlinkedinmail

Dans un arrêt du 9 mars 2017, la Cour de justice de l’Union européenne a décidé qu’:

« [..] il appart[enait] aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, p[ouvaient] demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données ».

L’ arrêt de la Cour de justice du 9 mars 2017 vient préciser les contours du droit à l’oubli, rappelant, après le flamboyant arrêt Google Spain rendu trois ans auparavant (CJUE 13 mai 2014, aff. C-131/12, Google Spain c/  Agencia Espanola de Proteccion de Datos, AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476, note V.-L. Benabou et J. Rochfeld; ibid. 1481, note N. Martial-Braz. et J. Rochfeld; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny; AJCT 2014. 502, obs. O. Tambou ; Constitutions 2014.218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.P.Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray), que ce droit n’est pas absolu.

En l’occurrence, M. Manni, un ressortissant italien et administrateur unique d’une société de bâtiment qui s’était vu attribuer un marché pour la construction d’un complexe touristique, affirmait que les immeubles de ce complexe ne se vendaient pas en raison d’une mention figurant sur le
registre des sociétés italien, selon laquelle il avait été administrateur unique d’une société ayant fait faillite plus de dix ans auparavant.

M. Manni a introduit une action en justice à l’encontre de la chambre de commerce de Lecce, visant à radier, rendre anonymes ou bloquer les données qui le lient à la faillite de la société et à solliciter une réparation en raison de l’atteinte à sa réputation. Le litige est parvenu jusqu’à la Cour de cassation italienne qui a saisi la Cour de justice de l’Union européenne de deux questions préjudicielles.

Veuillez télécharger le PDF afin de lire la suite de l’article: