Www.bbc. Image copyright Getty Images.
Le paiement à distance par carte bancaire. Par défaut : pas de conservation au-delà de la transaction Depuis l’entrée en application du règlement européen sur la protection des données, les commerçants doivent envisager leur système de paiement en tenant compte des principes de protection des données par défaut et dès la conception. En matière de paiement pour la vente de biens ou la fourniture de services à distance, Les données strictement nécessaires à la réalisation d'un paiement sont par défaut : le numéro de la carte,la date d'expiration,le cryptogramme visuel. Elles ne doivent pas être conservées au-delà de la transaction. Publication de l’ordonnance de réécriture de la loi Informatique et Libertés. L’adaptation du droit français au nouveau cadre européen a été principalement réalisée par la loi du 20 juin 2018, sur laquelle la CNIL s’est prononcée dans son avis en date du 30 novembre 2017.
Cette loi a substantiellement modifié la loi Informatique et Libertés et a notamment fait usage de certaines des marges de manœuvre ouvertes aux Etats membres par le RGPD. Une ordonnance devait ensuite intervenir pour réécrire et remettre en cohérence la loi du 6 janvier 1978 et d’autres lois françaises traitant de protection des données. Transmission des données à des partenaires à des fins de prospection électronique : quels sont les principes à respecter. Publication du 6ème cahier Innovation & Prospective du Laboratoire d’Innovation Numérique de la CNIL. Le design des interfaces des services numériques nous affecte tous, car nous dépendons des choix faits par les designers, de ce qui est représenté, et par extension de ce qui ne l’est pas.
Dès lors qu’il s’agit de traiter et d’exploiter des données qui nous concernent, le design des interfaces et la manière dont celles-ci nous permettent de prendre des décisions en conscience doit être considéré comme un point central. L’interface est bien devenue le premier objet de médiation entre la loi, les droits et les individus. Le LINC (Laboratoire d'Innovation Numérique de la CNIL) explore dans ce cahier les usages du design tels qu’ils ont cours aujourd’hui dans la conception des services numériques, afin d’en comprendre les usages positifs comme négatifs pour chacun d’entre nous. Cahier IP6 - La forme des choix.
Le design des interfaces n’a pas attendu le Règlement général sur la protection des données (RGPD) pour influencer nos vies.
Pourtant ces questions prennent un tour inédit dès lors qu’elles s’appliquent à des services numériques qui usent et abusent de méthodes de design pour parvenir à nous accrocher et mieux collecter puis traiter nos données, pour des buts poursuivis que nous ne maitrisons pas toujours. Le design de ces services nous affecte tous, car nous dépendons des choix faits par les designers, de ce qui est représenté, et par extension de ce qui ne l’est pas. Dès lors que ces enjeux touchent à des contextes dans lesquels sont traitées et exploitées des données qui nous concernent, le design des interfaces et la manière dont celles-ci nous permettent de prendre des décisions en conscience devient un point central.
L’interface est bien le premier objet de médiation entre la loi, les droits et les individus. Télécharger le cahier IP. Ordonnance réécrivant la loi Informatique et Libertés : l'avis critique de la CNIL. Sollicitée, la CNIL a bien voulu nous transmettre son projet d’avis sur l’ordonnance publiée au Journal officiel du 13 décembre dernier.
Elle adresse au gouvernement plusieurs critiques au texte destiné à dépoussiérer la loi de 1978 à l’heure du RGPD. Le temps parlementaire n’avait visiblement pas été suffisant pour revoir l’intégralité de la législation en vigueur, l’exécutif a été autorisé par le législateur à prendre un tel texte programmé par la loi du 20 juin 2018 relative à la protection des données personnelles. Cette ordonnance a eu pour mission de réécrire l’ensemble de la loi Informatique et Liberté « afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre » du RGPD. Mission supplémentaire, dépoussiérer d’autres pans du droit, afin de respecter la sacro-sainte hiérarchie des normes. Une avancée jugée majeure, mais plusieurs critiques.
Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse est requise. L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD. La CNIL propose déjà de nombreux outils permettant aux professionnels de mieux comprendre leurs obligations et de les mettre en œuvre en pratique : guides pratiques, logiciel PIA, étude de cas, questions-réponses, etc. En complément des lignes directrices adoptées au niveau européen en octobre 2017, la CNIL publie ses propres lignes directrices pour préciser : le périmètre de l’obligation d’effectuer une AIPD ; les conditions de réalisation de l’AIPD les cas dans lesquels une AIPD doit lui être transmise. Conformément à ce que prévoit l’article 35.4° du RGPD, la CNIL a également élaboré une liste de traitements pour lesquels elle estime nécessaire qu’une AIPD soit réalisée.
Workshop : RGPD et sécurité des objets connectés par la @CNIL Billets, ven le 7 déc. 2018, 09:30. RGPD & Data Privacy - Armand Heslot (CNIL) @ Digital Analytics Forum 2018. Loi 78-17 du 6 janvier 1978 modifiée. CHAPITRE Ier - PRINCIPES ET DÉFINITIONS Article 1er Modifié par la loi n°2016-1321 du 7 octobre 2016 L'informatique doit être au service de chaque citoyen.
Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Nouveau service gratuit d'information SOS RGPD par téléphone. Posez 1 question. Reconnaissance faciale: une technologie qui soulève des questions - 20/11. La protection des données génétiques. Données génétiques : les réserves de la CNIL sur l’amendement portant sur l’élargissement du FNAEG. La Commission nationale de l’Informatique et des Libertés a pris connaissance de l’amendement adopté en commission dans le cadre de l’examen du projet de loi de programmation 2019-2022 et de réforme pour la justice visant en particulier à modifier les articles 706-54 et 706‑56‑1‑1 du code de procédure pénale (CPP) relatifs au fichier national des empreintes génétiques (FNAEG).
Le FNAEG, qui de manière générale sert à faciliter l’identification et la recherche des auteurs d’infractions à l’aide de leur profil génétique, repose en très grande partie sur l’exploitation de segments d’ADN « non codants » (à savoir ceux qui en principe ne permettent pas de reconnaître les caractéristiques génétiques d’un individu, comme son origine ethnique) et dont la liste est fixée par arrêté. Or cet amendement a pour objet d’élargir la possibilité d’identifier une personne via le FNAEG grâce à tout segment d’ADN, codant ou non-codant. La Cnil publie son guide sur la sécurité des données personnelles. La Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.
Précautions élémentaires sur la sécurité des données personnelles Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes. [LaTribune] RGPD : 4 mois après, la Cnil salue la prise de conscience inédite des internautes. Quatre mois après l'entrée en vigueur du Règlement général sur la protection des données (RGPD), la Commission nationale de l'informatique et des libertés (Cnil) dresse un premier bilan positif.
Les particuliers ont déjà déposé 3.767 plaintes - un record. Côté professionnels, 24.500 organismes ont nommé un délégué à la protection des données personnelles, nouveau métier consacré par le règlement. Un premier bilan plutôt positif. Quatre mois après l'entrée en vigueur en Europe du fameux RGPD (Règlement général sur la protection des données), la Cnil se félicite d'une " prise de conscience inédite " du côté des particuliers. L'organisme a déjà reçu 3.767 plaintes, contre 2.294 plaintes sur la même période en 2017, qui constituait déjà une année record. [...] En quatre mois, 34 millions de cas de violation de données personnelles. CNIL publishes updates on GDPR - Privacy, Security and Information Law Fieldfisher. 351089-rgpd-la-cnil-appelle-a-la-vigilance-face-au-risque-dabus. Alors que le RPGD sera appliqué fin mai, la CNIL émet une nouvelle alerte à l'intention des entreprises pour les appeler à la vigilance : à quelques semaines de la date fatidique, des abus sur la mise en conformité sont susceptibles de se produire.
C’est la dernière ligne droite : dans un peu moins d’un mois, le Règlement général sur la protection des données (RGPD) sera appliqué dans l’Union européenne. En théorie, les entreprises, les associations et les administrations qui effectuent une collecte et un traitement de renseignements personnels seront prêtes le 25 mai, puisqu’elles ont eu pratiquement deux ans pour se préparer. Mais de la théorie à la pratique, il y a souvent un monde.
En effet, le risque existe de voir des entités concernées par le RGPD se précipiter au dernier moment sur le premier prétendu « expert en RGPD », parce qu’elles se réveillent un peu trop tard. French Data Protection Authority's Latest Newsletter Includes Assessment of First Four Months of GDPR & Several Guidelines. The French Data Protection Authority (the CNIL) published its assessment of the first four months of GDPR and several guidelines, including one on how to make a GDPR compliant blockchain.
The CNIL just published its latest newsletter (n°14, dated 25 September 2018) with: Délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO) Biométrie au travail illégale : sanction de 10.000 euros. La société ASSISTANCE CENTRE D’APPEL est spécialisée dans la télésurveillance d’ascenseurs et de parkings.
Lors d’un contrôle dans ses locaux fin 2016, la CNIL a constaté que la société avait mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) à des fins de contrôle des horaires des salariés, sans autorisation préalable. Elle a également constaté qu’un dispositif d’enregistrement des appels téléphoniques fonctionnait sans que les salariés et les interlocuteurs n’en soient informés. Enfin, il a été constaté que les postes de travail n’étaient pas suffisamment sécurisés par des mots de passe robustes ou un verrouillage automatique. Malgré plusieurs échanges avec la société, un second contrôle effectué dans les locaux début 2018 a révélé que certains manquements persistaient. Une procédure de sanction a été engagée. Professionnels : comment répondre à une demande de droit d’accès.
Une personne peut vous demander : l’accès à l’information sur le traitement éventuel de données la concernant (« avez-vous des données me concernant ? Pour quoi faire ? Combien de temps les conservez-vous ? Vidéosurveillance excessive : mise en demeure de l'Institut des techniques informatiques et commerciales (ITIC) _guide_securite_personnelle_gb_web. _travail-vie_privee_geolocalisation_vehicules. GDPR : Les entreprises sous-estiment le risque de sanction administrative et judiciaire lié à une faille de sécurité. Recommandation passwords en. Les courriers pour agir. French Data Protection Commentary. Formalize communications with suppliers regarding website development, corrections, and recommendations, including in terms of security;Describe the testing procedures to be applied prior to launching new features or updates, and document that the testing procedures have been followed in each case (e.g., through a formal acceptance form).
By issuing a sanction without providing prior formal notice, the CNIL used its new sanctioning powers granted under Article 45 of the French Data Protection Act as modified by the Act for a Digital Republic of October 7, 2016. The provision allows for direct sanctions without prior formal notice when the violation is such that it could not have been corrected in the context of formal notice—similar to what is now applicable under the GDPR. RGPD : le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins. CNIL issues guidelines to companies for GDPR compliance - Privacy, Security and Information Law Fieldfisher. The General Data Protection Regulation (GDPR) will come into effect in France on May 25th, and companies are expected to start implementing measures for compliance with the new data protection rules applicable from May 25th, 2018.
In this context, the French data protection authority (CNIL) has recently published guidelines exposing its strategy on how it expects companies to comply with the GDPR. (1) CNIL's strategy with respect to pending preliminary formalities The current French data protection law is based on a system of preliminary formalities to be carried out by companies in order for them to be able to lawfully process personal data. Although this system is still in force today, the GDPR will soon repeal such formalities and instead will require companies to be able to demonstrate their continued compliance to the GDPR obligations (e.g. by preparing records of their data processing activities). RGPD : comment la CNIL vous accompagne dans cette période transitoire.