La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

Le 19 décembre 2018, la Chambre sociale de la Cour de cassation a rendu un arrêt intéressant sur la licéité des systèmes de géolocalisation des salariés. L’arrêt a été publié au Bulletin.

La société Médiapost (une filiale du groupe La Poste qui distribue des publicités ciblées en boîtes aux lettres) avait mis en place un système permettant d’enregistrer la localisation des distributeurs de courriers toutes les 10 secondes au moyen d’un boîtier mobile qu’ils portaient lors de leur tournée et qu’ils activaient eux-mêmes. La Fédération Sud PPT considérant que ce système de contrôle était illicite a assigné la société Médiapost.

Dans l’arrêt du 19 décembre 2018, la Cour de cassation casse l’arrêt de la Cour d’appel de Lyon qui s’est prononcée « sans caractériser que le système de géolocalisation mis en œuvre par l’employeur était le seul moyen permettant d’assurer le contrôle de la durée du travail de ses salariés ».

La Cour de cassation rappelle que conformément à l’article L.1121-1 du Code du travail, « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », et précise que :

(i) l’utilisation d’un tel système de géolocalisation pour contrôler la durée du travail n’est licite que si ce contrôle ne peut être opéré par un autre moyen, fût-il moins efficace que la géolocalisation ;

(ii) la géolocalisation n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cet arrêt de la Cour de cassation confirme l’attention portée par les juridictions sur les systèmes de géolocalisation des salariés.

Il convient en pratique, avant toute mise en place, de considérer les alternatives aux systèmes de géolocalisation pour répondre aux finalités envisagées par ces derniers. À défaut, un tel système serait susceptible d’être considéré comme portant atteinte de manière disproportionnée aux libertés individuelles des salariés.

https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000037851013&fastReqId=817130270&fastPos=1

Par Yvan Jamois et Maëliss Vincent-Moreau

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Le mouvement d’open data initié par la Loi pour une République numérique du 7 octobre 2016 se poursuit avec la publication, le 12 décembre 2018 au Journal Officiel, du Décret n°2018-1117 du 10 décembre 2018 relatif aux catégories de documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation.

Le décret a été pris afin de parfaire l’application de l’article L. 312-1-2 du code des relations entre le public et l’administration, dans sa version résultant de l’article 6 de la Loi pour une République numérique.

Parmi les documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation, il y a, notamment, :

  • les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
  • le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
  • les répertoires des professions réglementées et des activités professionnelles soumises à la règlementation: notaire, avocat, huissier de justice, architecte;
  • les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus.

Le décret est disponible dans son intégralité ici : https://www.legifrance.gouv.fr/eli/decret/2018/12/10/2018-1117/jo/texte

RGPD – D Day!!!

RGPD – D Day!!!

Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

Maëliss Vincent-Moreau

Maëliss Vincent-Moreau

Maëliss Vincent-Moreau, fondatrice du cabinet MVM Avocats, est avocate au Barreau de Paris.

Avant de prêter le serment d’Avocat en 2006, Maëliss a occupé la fonction de juriste international pendant trois ans dans une société prestataire dans le domaine pharmaceutique. Elle a ensuite exercé comme avocate pendant 7 ans dans les départements propriété intellectuelle et nouvelles technologies de deux structures reconnues pour leur excellence et leur expertise en droit des affaires (PwC Avocats et Aramis). Elle a enfin travaillé près de 3 ans comme juriste internationale au sein d’Europ Assistance Holding avant de fonder son Cabinet en Janvier 2016.

Maëliss assiste ses clients tant en conseil qu’en contentieux, en droit des affaires et droit des contrats ainsi que dans les domaines des nouvelles technologies (informatique, protection des données à caractère personnel), de la propriété intellectuelle et des médias (droits d’auteur, dessins et modèles, marques et noms de domaine).

Sa formation dans des structures exigeantes, son expérience et sa culture d’entreprise lui permettent d’appréhender les problématiques juridiques quotidiennes de ses clients tout en adoptant une démarche pragmatique.

Maëliss a travaillé dans des environnements internationaux et conseille des entreprises tant françaises qu'étrangères. Elle travaille en français et en anglais.

Maëliss est diplômée d’un DEA en droit des Contrats de l’Université de Lille 2 et d’un Master 2 Professionnel en Droit des créations numériques des Universités de Paris I et Paris XI.

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide

La CNIL a mis à disposition ce jour un nouveau guide de la sécurité des données personnelles.

Pour mémoire, le Règlement européen n° 2016/679, dit « RGPD » (dont l’entrée en application est prévue le 26 Mai 2018), renforce les obligations de sécurité à la charge du responsable de traitement. Ainsi, l’article 32 du RGPD dispose que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ce guide, qui a pour objet d’aider les responsables de traitement dans leur mise en conformité, rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL alerte les utilisateurs sur le fait que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf