Archives de Catégorie: Protection des données

Adoption de la décision d’adéquation du Privacy Shield par la Commission européenne

Communiqué CNIL 12 juillet 2016

Conformément à l’article 25(2) de la Directive 95/46/EC, la Commission européenne a adopté le 12 juillet 2016 une décision d’adéquation visant à reconnaitre au mécanisme « EU-U.S. Privacy Shield » un niveau de protection « essentiellement équivalent » aux exigences européennes. Elle  crée un nouveau cadre pour les échanges de données entre l’Union européenne et les Etats-Unis, après l’invalidation de la décision « Safe Harbour » par la Cour de Justice de l’Union Européenne le 6 Octobre 2015. Elle aura pour effet d’autoriser les transferts de données à caractère personnel depuis l’Union européenne vers les entreprises établies aux Etats-Unis utilisant ce dispositif.

La décision « Privacy Shield » entrera en vigueur à compter de sa notification à chacun des Etats membres de l’Union européenne et sera contraignante pour ceux-ci. L’applicabilité de ce cadre juridique aux entreprises concernées sera ensuite subordonnée à l’enregistrement de celles-ci auprès des autorités américaines en charge de la mise en œuvre du dispositif.

A la suite de la publication par la Commission Européenne de son projet de décision d’adéquation sur le  Privacy Shield et de ses annexes le 29 février 2016, le G29 avait publié le 13 avril 2016 un avis faisant part de ses préoccupations sur un certain nombre de points manquants, incomplets ou peu clairs. Le G29 avait en particulier regretté l’absence de plusieurs principes tels que la limitation de la durée de conservation et l’interdiction des décisions automatisées. En ce qui concerne l’accès par les autorités publiques aux données, le G29 avait déploré que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Enfin, le G29 avait émis des doutes sur l’indépendance du médiateur (Ombudsperson) et sur le fait qu’il dispose de pouvoirs suffisants pour exercer son rôle efficacement et permettre d’obtenir un recours satisfaisant en cas de désaccord avec l’administration.

Compte tenu de cet avis et des éventuels modifications ou engagements nouveaux pris par les autorités américaines, le G29 mène actuellement une analyse de la décision de la Commission et se réunira le 25 juillet 2016 afin de finaliser sa position.

Poster un commentaire

Classé dans Protection des données

Droit au référencement : la CNIL prononce une sanction de 100 000 euros à l’encontre de Google

Cette sanction pécuniaire de 100 000 euros fait suite au refus de Google de respecter la mise en demeure de la Présidente de la CNIL de procéder au déréférencement sur l’intégralité des extensions du nom de domaine de son moteur de recherche.

Rappel des faits

Depuis la décision du 13 mai 2014 de la cour de Justice de l’Union européenne (CJUE), les internautes résidant en Europe ont la possibilité d’obtenir des moteurs de recherche, sous certaines conditions, le déréférencement d’informations les concernant. Le refus de déréférencement ou les réponses insatisfaisantes d’un moteur de recherche peuvent être contestées notamment auprès de l’autorité de protection des données nationale.

A ce titre, la CNIL a été saisie par des internautes s’étant vu refuser le déréférencement de liens Internet sur le moteur de recherche « Google Search ». Lors de l’examen de ces plaintes, la CNIL a demandé à la société Google de procéder au déréférencement de plusieurs résultats. Elle a expressément demandé que ce déréférencement soit réalisé sur l’ensemble du moteur de recherche, quelle que soit l’extension géographique du nom de domaine de celui-ci (« .fr », « .com », etc.). Si la société a fait droit à certaines de ces demandes, elle n’a procédé au déréférencement que sur les extensions géographiques européennes du moteur de recherche, les contenus déréférencés restant accessibles sur le « .com » et les extensions non européennes.

Dans ces conditions, la Présidente de la CNIL a mis en demeure en mai 2015 la société de procéder au déréférencement sur toutes les extensions de « Google  Search » dans un délai de 15 jours. En effet, elle a considéré, conformément à l’arrêt de la CJUE, que pour être effectif le déréférencement doit être effectué sur toutes les extensions.

L’ouverture d’une procédure de sanction

En l’absence de mise en conformité de Google dans le délai imparti par la mise en demeure, la Présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre de la société. Un rapporteur a ainsi été désigné et une date d’audience devant la formation restreinte de la CNIL a été fixée au 28 janvier 2016.

La proposition de Google

Le 21 janvier 2016, soit une semaine avant l’audience de la formation restreinte, Google a fait une proposition.

En plus du déréférencement sur toutes les extensions européennes de son moteur de recherche, Google s’est engagé à mettre en place un filtrage selon l’origine géographique de celui qui consulte le moteur de recherche. Concrètement, ceux qui consultent le moteur de recherche à partir du même pays d’origine que le plaignant ne verront plus le résultat déréférencé apparaître.

Le droit au déréférencement est dérivé du droit au respect de la vie privée, qui est un droit fondamental universellement reconnu, issu d’instruments internationaux de protection des droits de l’Homme. Seul un déréférencement sur l’ensemble des extensions du moteur de recherche, quelles que soient l’extension utilisée et l’origine géographique de la personne effectuant la recherche, permet d’assurer une protection effective de ce droit.

La solution consistant à faire varier le respect des droits des personnes en fonction de l’origine géographique de ceux qui consultent le traitement ne permet pas aux personnes de bénéficier du plein effet de leur droit au déréférencement.

En effet, la solution proposée par Google pose les problèmes suivants :

  • des relations personnelles ou professionnelles vivant en dehors de l’Europe continuent d’accéder au résultat de la recherche déréférencé qui pointe vers un contenu pouvant porter atteinte à la vie privée de la personne concernée.
  • des relations personnelles ou professionnelles vivant en Europe qui utilisent une extension non européenne du moteur de recherche (« .com ») avec une adresse IP non française (anglaise, espagnole, suisse…) continuent d’accéder au résultat de la recherche déréférencé.
  • des solutions techniques permettent facilement de contourner la mesure de filtrage de Google en proposant à l’internaute de modifier l’origine géographique de son adresse IP.

La décision de la formation restreinte

Dans sa décision du 10 mars 2016, la formation restreinte considère que :

  • le service de moteur de recherche de Google constitue un traitement unique, les différentes extensions géographiques (« .fr », « .es », « .com », etc.) ne pouvant être considérées comme des traitements distincts. En effet, la société exploitait initialement son service sur le seul « .com » et a créé les extensions au fil du temps pour fournir un service adapté à la langue nationale de chaque pays.
 Ainsi, pour que le droit au déréférencement des personnes résidant en France soit efficacement respecté, conformément à la décision de la CJUE, il doit être exercé sur l’ensemble de ce traitement, et donc sur toutes les extensions du moteur de recherche.
  • contrairement à ce qu’affirme Google, le déréférencement sur toutes les extensions ne limite pas la liberté d’expression dans la mesure où il n’entraîne aucune suppression de contenu sur Internet. En effet, il consiste uniquement à retirer, à la demande d’une personne physique, de la liste des résultats d’une recherche effectuée à partir de ses prénom et nom, des liens renvoyant vers des pages de sites web. Ces pages demeurent accessibles lorsque la recherche est opérée à partir d’autres termes.

En conséquence, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 100.000 euros à l’encontre de Google.

 

Source : communique CNIL

Poster un commentaire

Classé dans Identité électronique, Protection des données, Uncategorized

Safe Harbor : Les recommandations de la CNIL

Communiqué CNIL

Safe Harbor : que doivent faire les entreprises ?

Depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre, il n’est plus possible de réaliser des transferts sur la base du Safe Harbor. La CNIL informe les entreprises sur les alternatives possibles pour les transferts jusqu’à fin janvier.

La décision de la Cour de Justice de l’Union Européenne du 6 Octobre 2015 a invalidé le mécanisme d’adéquation dit de Safe Habor permettant le transfert de données vers les Etats-Unis. En conséquence, il n’est désormais plus possible de réaliser un tel transfert sur la base du Safe Harbor.

La CNIL et ses homologues européens (G29) se sont réunis le 15 octobre pour élaborer un plan d’action commun permettant aux acteurs de s’adapter au nouveau contexte juridique. A ce titre, le G29 a d’abord appelé les institutions et les gouvernements européens à construire un nouveau cadre juridique permettant de procéder à des transferts de données entre l’Europe et les Etats-Unis conformément aux exigences de la Cour de Justice de l’Union Européenne, et ceci, avant le 31 janvier 2016.

Comment continuer les transferts jusqu’au 31 janvier 2016 ?

Jusqu’à cette date, le G29 a considéré que les autres mécanismes juridiques de transfert pouvaient être utilisés par les entreprises. Par conséquent, durant cette période, les entreprises peuvent recourir aux Binding Corporate Rules (BCR) et aux clauses contractuelles types adoptées par la Commission européenne (clauses de responsable de traitement à responsable de traitement et clauses de responsable de traitement à sous-traitant).

Quelles formalités ?

Afin de permettre un traitement rapide par les services de la CNIL, les entreprises peuvent utiliser les normes simplifiées n°46 et n°48 relatives respectivement à la gestion des ressources humaines et à la gestion des clients et prospects, qui autorisent le transfert de données au moyen de ces outils BCR et clauses contractuelles. Dans l’hypothèse où des données sont transférées aux Etats-Unis en dehors du champ de ces deux normes simplifiées, les entreprises doivent indiquer à la CNIL quelles garanties encadrent le transfert, en complétant l’annexe transfert disponible sur le site.

La réponse de l’Allemagne

« La CNIL allemande interdit aux géants du net de stocker leurs données hors d’Europe » a titré le site Euractiv.

Sans attendre la décision du g29 regroupant les « CNIL européennes, avec comme présidente actuelle la présidente de la CNIL, « les responsables allemands de la protection des données ont suspendu les transferts de données vers les États-Unis et demandé aux entreprises opérant en Europe de ne stocker les données que dans l’UE ». Au grand dam du secteur. DigitalEurope, l’association professionnelle du secteur des technologies, a déclaré le 28 octobre que l’annonce des autorités allemandes de protection des données allait « engendrer une volatilité inutile du marché ».

Les autorités de régulation des différents États allemands et l’organe de supervision national ont annoncé le 26 octobre qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis sur la base de règles d’entreprise contraignantes ou de contrats de transfert de données.

Lire la suite sur : http://www.euractiv.fr/sections/societe-de-linformation/la-cnil-allemande-interdit-aux-geants-du-net-de-stocker-leurs

Poster un commentaire

Classé dans Europe, Protection des données

Giovanni Buttarelli demande une plus grande efficacité de la législation sur la protection des données dans l’UE

BUTTARELLI 20150127PHT15301_originalGiovanni Buttarelli, Contrôleur européen des données nouvellement nommé considère qu’il faut être plus efficace dans la protection des données personnelles dans les pays de l’Union Européenne et permettre aux citoens d’exercer leurs droits plus facilement. Il souhaite s’employer à assurer la protection des données personnelles et la vie privée, et promouvoir les bonnes pratiques dans les institutions et organes de l’UE.

Dans un entretien qu’il a accordé à European Parliament News, le Contrôleur européen a considéré qu’il était nommé dans un moment historique en raison des changements technologiques, non seulement en Europe, mais dans le monde. « Dans cet environnement, nous devons travailler à mettre en oeuvre les principales dispositions du traité de Lisbonne et la Charte des droits fondamentaux ».

Les évènements récents survenus en France et qui ont provoqué une réaction internationale inoui porte les responsables politiques à souhaiter un renforcement de la surveillance. Alors comment concilier sécurité et protection de la vie privée ? Giovanni Butarelli considère qu’il faut « encourager le législateur à ne pas agir sur la base des émotions et d’examiner les effets à long terme, l’effet domino sur d’autres questions, y compris celles de la protection des données ». Il y a fort à parier qu’il s’agira d’un voeu pieux dans la mesure où chaque membre de l’UE peut décider de la politique qu’il veut suivre en matière de lutte anti-terroriste et que les dirigeants de ces pays doivent tenir compte de l’esprit de la population.

Le contrôleur européen ne s’inscrit pas dans le débat « sécurité contre vie privé ». Il ne partage pas l’argument récurrent qui prétend que la vie privée doit être pondérée, modulée.

« Nous parlons de droits fondamentaux. Selon la loi, toute intervention sur la sécurité n’est licite que lorsque la nécessité et ma proportionnalité sont pleinement démontrées. Et je suis beaucoup plus en faveur d’encourager une approche ciblée ».

Quel sera le comportement de Giovanni Buttarelli vis-à-vis des institutions nationales et du Parlement ? Nous allons travailler plus étroitement avec toutes les institutions. Bien sûr, nous avons un lien particulier avec le Parlement en raison des multiples dossiers en suspens. Nous nous abstiendrons de suivre l’approche bureaucratique classique et allons essayer d’anticiper leurs besoins, d’être plus dynamique et réagir comme un solutionneur de problèmes. Donc, nous ne serons pas une institution isolée ».

Poster un commentaire

Classé dans Parlement Européen, Protection des données