Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

RGPD – D Day!!!

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

[:fr]La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1[:en]La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1[:]

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

[:fr]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:en]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:]