Dernières actualités : données personnelles

CNIL

Recherche clinique : la CNIL approuve le code de conduite européen de la Fédération EUCROF

Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD.  Un code de conduite est un outil prévu par le règlement général sur la protection des données (RGPD) qui permet de répondre aux besoins opérationnels de professionnels dans leur mise en conformité. Il permet notamment de construire un socle commun de bonnes pratiques, de contribuer à démontrer sa conformité au RGPD et d’envoyer un signal positif aux clients et aux professionnels du secteur d’activité concerné.

Il s’agit du troisième code européen, et le deuxième approuvé par la CNIL, après le code CISPE (dans le domaine de l’informatique en nuage) adopté en 2021. Ce nouveau code a été porté par la fédération EUCROF (European Clinical Research Organisations Federation), qui a pris l’initiative de l’élaborer pour répondre aux enjeux identifiés par le secteur en matière de protection des données.

Il a pour objectif de décrire de manière opérationnelle les engagements pris par les sociétés privées qui fournissent, sur une base contractuelle, des services dans le domaine de la recherche en santé, notamment pour l’industrie pharmaceutique, en tant que sous-traitants (au sens de l’article 28 du RGPD) dans le cadre de l’exécution du contrat qui les lie au promoteur (personne physique ou morale qui est responsable d’une recherche clinique, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci). Parmi les services proposés par les CRO (prestataires de services en recherche clinique) qui peuvent être couverts par le code, figurent notamment la conception du protocole ou du cahier d’observations, la sélection et la contractualisation avec les centres investigateurs, la collecte et l’hébergement des données, leur analyse et la production de rapports, ou encore des services d’archivage ou de support technique.

Disponible sur: CNIL.fr

AEPD (autorité espagnole)

L’AEPD publie une analyse sur la protection des enfants et des adolescents dans l’environnement numérique

Ce 2 octobre 2024, l’Agence espagnole de protection des données (AEPD) a publié une note technique intitulée « Internet sûr par défaut pour les enfants et le rôle de la vérification de l’âge », dans laquelle elle analyse la manière dont les enfants et les adolescents peuvent être protégés sur Internet sans que cela n’entraîne une surveillance et une atteinte à la vie privée de tous les utilisateurs, et sans que les enfants soient localisés et exposés à de nouveaux risques. Cette analyse se concentre sur l’obligation de respecter les principes de protection des données énoncés dans le règlement général sur la protection des données (RGPD), ainsi que d’autres réglementations qui complètent ou approfondissent la protection des mineurs.

Il est notamment expliqué qu’à l’heure actuelle, de nombreux services Internet utilisent l’une des deux stratégies de protection suivantes :
* Une modération a posteriori, c’est à dire réaction une fois qu’il a été détecté qu’un dommage ou un impact s’est déjà produit.
* Une modération a priori, basée sur la connaissance de la qualité de mineur des personnes, par exemple en créant des espaces ou des comptes spécifiques pour les enfants. Ces stratégies nécessitent néanmoins une intervention intrusive sous forme de surveillance ou de profilage qui viole la vie privée de tous les utilisateurs.

En réponse, l’AEPD présente différentes stratégies de protection des enfants et des adolescents sur l’internet, en définissant différents cas d’utilisation : protection contre les contenus inappropriés, environnements sûrs pour les enfants, consentement au traitement des données personnelles et conception adaptée aux enfants. Chaque cas d’utilisation analysé est soumis à différents cadres réglementaires et, en tant que cadre commun, au GDPR sur le traitement des données personnelles. L’Agence souligne enfin l’importance de disposer d’un système de vérification de l’âge qui maintient la charge de la preuve sur la personne qui a l’âge requis pour accéder au contenu, et jamais sur le mineur. Ainsi, le mineur n’a pas à prouver qu’il est mineur, ni à dévoiler sa nature pour faire bloquer des contenus, des contacts, des comportements ou des contrats.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’AEPD élabore des lignes directrices sur les obligations et les responsabilités liées à l’utilisation d’appareils mobiles dans les établissements d’enseignement

L’Agence espagnole de protection des données (AEPD) a publié, ce 17 septembre 2024, des lignes directrices sur les « Responsabilités et obligations dans l’utilisation des dispositifs numériques mobiles dans l’enseignement maternel, primaire et secondaire », dans lesquelles elle analyse les implications que l’utilisation de cette technologie peut avoir et les principes que les écoles et les autorités éducatives doivent respecter pour que le traitement des données personnelles dérivées de l’utilisation de ces dispositifs soit conforme aux réglementations en matière de protection des données. Ce guide s’adresse aux autorités éducatives, aux équipes de direction des écoles, aux enseignants et aux familles.

Les lignes directrices précisent les situations qui peuvent se présenter dans le cadre de la réglementation de l’utilisation des téléphones portables dans les établissements scolaires (que la possibilité de transporter des appareils soit interdite ou limitée ; qu’ils soient utilisés en classe à la demande du personnel enseignant ou qu’il y ait une absence de réglementation sur leur utilisation) et les responsabilités que chacune de ces situations implique.

De même, l’Agence souligne que l’utilisation de smartphones et d’autres appareils numériques à des fins éducatives, appartenant aux élèves et à leurs familles, peut générer un traitement de données qui affecte gravement leurs droits et libertés, en particulier leur droit à la non-discrimination et à l’éducation, à la vie privée et familiale, à l’intégrité physique et psychologique des mineurs et à la protection de leurs données personnelles, ainsi qu’à leur développement intégral en tant qu’individus.
Pour toutes ces raisons, l’Agence déconseille l’utilisation de smartphones et d’autres appareils numériques mobiles dans les centres éducatifs si l’objectif éducatif visé peut être atteint par le biais d’une autre ressource plus appropriée.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai). Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Disponible sur: CNIL.fr

ANSSI

L’ANSSI publie ses recommandations pour l’hébergement des systèmes d’information sensibles dans le cloud

Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé des recommandations pour l’hébergement dans le cloud qui précise, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. Cette série de recommandations constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).

Il est à noter qu’elle ne s’applique pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elle s’inscrit, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.

Disponible sur: cyber.gouv.fr

CNIL

Mesure de la diversité au travail : la CNIL lance une consultation publique sur un projet de recommandation

Dans un contexte de sensibilisation accrue à la lutte contre les discriminations, de nombreuses entreprises et institutions souhaitent mesurer la diversité au sein de leurs effectifs au travers de dispositifs qui impliquent la collecte de nombreuses données personnelles, dont des données sensibles. Cette mesure de la diversité est un exercice délicat car il suppose des questions intrusives sur la vie privée des salariés/agents. Dans ce contexte, les employeurs doivent particulièrement veiller à respecter la décision du Conseil constitutionnel du 15 novembre 2007, qui encadre très strictement les statistiques liées aux origines.

Douze ans après la publication du guide méthodologique corédigé avec le Défenseur des droits « Mesurer pour progresser vers l’égalité des chances », la CNIL publie un projet de recommandation spécifique afin de guider les organismes souhaitant mettre en œuvre des enquêtes de mesure de la diversité, en conformité avec la règlementation européenne en vigueur depuis 2018.

Disponible sur: CNIL.fr

CNIL

Cybermalveillance : la CNIL et l’Unaf publient deux guides sur les cybermenaces pour les familles et les seniors

Pour accompagner les familles et les seniors, Cybermalveillance, la CNIL et l’Unaf publient aujourd’hui deux nouveaux guides intitulés « Cybersécurité : ayez les bons réflexes ».
Selon le communiqué, ces guides ont pour objectif de sensibiliser les utilisateurs de tous âges aux dangers d’Internet et de proposer des conseils pratiques pour s’en protéger. Clairs et accessibles, ils permettent à chacun, quel que soit son niveau de compétence technique, de comprendre les enjeux de sécurité et d’appliquer des mesures de prévention efficaces.

Les points clés du guide :
* Identifier les menaces : apprendre à reconnaître les différents types de menaces en ligne.
* Conseils pratiques : découvrir des astuces simples et pratiques pour sécuriser ses appareils et ses informations personnelles.
* Ressources complémentaires : accéder à des outils et des ressources en ligne pour approfondir ses connaissances et rester informé sur les menaces.

Ces guides peuvent être téléchargés gratuitement ci-dessous et des exemplaires imprimés peuvent être obtenus sur demande à l’Unaf.

Disponible sur: CNIL.fr

CNIL

Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit.

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées. Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Ces recommandations sont notamment composées des fiches pratiques suivantes:
* Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?
* Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?

Disponible sur: CNIL.fr

CNIL

Intelligence artificielle : la CNIL ouvre une nouvelle consultation publique sur le développement des systèmes d’IA

La CNIL publie une deuxième série de fiches pratiques et un questionnaire consacré à l’encadrement du développement des systèmes d’intelligence artificielle. Ces nouveaux outils visent à aider les professionnels à concilier innovation et respect des droits des personnes. Ils sont soumis à consultation publique jusqu’au 1er septembre 2024.

Disponible sur: CNIL.fr

ADPCAT (autorité catalane)

Les technologies de surveillance par Wi-Fi : Orientations pour les responsables du traitement

L’autorité de protection des données catalane a publié des lignes directrices afin d’encadrer les traitements de surveillance du Wi-Fi. D’après le résumé exécutif de ces lignes directrices, « le suivi Wi-Fi ou Wi-Fi tracking est une technologie qui permet d’identifier et d’effacer les dispositifs mobiles par le biais des signaux Wi-Fi qu’ils émettent, de détecter la présence d’un dispositif dans une zone spécifique et d’identifier les personnes qui se déplacent. C’est pourquoi il est utilisé, par exemple, pour estimer les foules, analyser les flux de personnes ou mesurer les temps de séjour. 

Elle peut avoir des applications pratiques dans les centres commerciaux, les musées, les lieux d’intérêt particulier, les lieux de travail, les espaces publics, les transports publics ou les grands événements publics. Cependant, cette pratique présente de sérieux risques pour la vie privée, car elle peut permettre de suivre les mouvements des personnes sans qu’elles agissent ou en soient conscientes, et sans base juridique appropriée. Il est essentiel de savoir que bon nombre de ces utilisations de la localisation par Wi-Fi impliquent la collecte et le traitement de données à caractère personnel. Par conséquent, elles doivent être soumises à l’ensemble des principes, des droits individuels et des obligations des responsables du traitement des données établis par le GDPR.

Les lignes directrices analysent les implications techniques et juridiques de l’utilisation de cette technologie, identifient les principaux risques qui y sont associés et proposent également une série de recommandations spécifiques pour une utilisation responsable et compatible avec les réglementations en matière de protection des données. Ces lignes directrices ont été élaborées conjointement par l’Agence espagnole de protection des données, l’Autorité catalane de protection des données, l’Autorité basque de protection des données et le Conseil pour la transparence et la protection des données d’Andalousie. Elles sont le fruit de la collaboration des quatre autorités de contrôle, compte tenu de l’impact qu’une utilisation inadéquate de la technologie de suivi Wi-Fi peut avoir sur la vie privée et la protection des données des personnes. »

Disponible (en catalan) sur : apdcat.gencat.cat
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut