Archives de catégorie Blog

CEPD: Lignes directrices sur le traitement des données de santé – COVID-19

Le Comité Européen de la Protection des Données (CEPD/EDPB) adopte des lignes directrices (en anglais) sur le traitement des données de santé durant la période de crise sanitaire de coronavirus (COVID-19). Les points clés concernant ces lignes directrices sont les suivants:

  1. Le Règlement général sur la protection des données (RGPD) prévoit des règles particulières concernant le traitement des données de santé (pour la recherche scientifique) qui sont également applicables au contexte de la pandémie CIVID-19.
  2. Chaque État membre peut adopter des lois spécifiques en application de l’article 9-2-i et 9-2-j du RGPD permettant le traitement des données de santé à des fins de recherche scientifique. Il convient d’indiquer que le traitement des données de santé doit être basé sur l’une des bases légales prévues à l’article 6-1 du RGPD. Cependant, les conditions et l’étendu des règles applicables varient en fonction des dispositions nationales.
  3. Les dispositions nationales basées sur l’article 9-2-i et 9-2-j du RGPD doivent être interprétées à la lumière des principes relatifs à la protection des données (article 5 du RGPD) ainsi qu’au regard de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE). En particulier, les dérogations et limitations relatives à la protection des données en application de l’article 9-2-j et l’article 89-2 du RGPD s’appliquent lorsqu’elles sont strictement nécessaires.
  4. Compte tenu des risques relatifs au traitement des données dans le contexte du COVID-19 l’accent doit être mis sur le respect des articles 5-1-f du RGPD (principe d’intégrité et confidentialité des données), 32-1 du RGPD (l’obligation du responsable du traitement et le sous-traitant pour le respect de la sécurité des données) et 89-1 du RGPD (garanties appropriées relatives au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques). Si nécessaire une analyse d’impact relative au traitement des données personnelles doit être mise en place conformément à l’article 35 du RGPD.
  5. Une durée de conservation des données doit être mise en place. Cette durée doit être proportionnée au regard de la finalité poursuivie et de la durée de la recherche scientifique. Les dispositions nationales peuvent prévoir des durées légales de conservation des données.
  6. La crise sanitaire actuelle ne peut suspendre voire limiter la possibilité pour les personnes concernées d’exercer leurs droits en application des articles 12 à 22 du RGPD. Cependant, l’article 89-2 prévoit la possibilité pour les législations nationales de limiter certains droits des personnes concernées.
  7. Concernant le transfert hors l’espace économique européen (EEE), en l’absence d’une décision d’adéquation (l’article 45-3 du RGPD) ou des garanties appropriées (l’article 46 du RGPD), les autorités publiques et les entités privées peuvent s’appuyer sur l’article 49 du RGPD. Les dérogations prévues dans l’article 49 du RGPD n’ont qu’un caractère exceptionnel.

CNIL – Publication du référentiel gestion des ressources humaines

CNIL publie le référentiel gestion RH relatif aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération ou encore la mise à disposition des salariés d’outils de travail.

Ce référentiel, adopté à la suite d’une consultation publique, constitue un cadre de référence permettant à un organisme, public ou privé, de mettre en conformité ses traitements de données personnelles en matière de gestion des ressources humaines.

Dans le périmètre de son champ d’application, il a vocation à remplacer les recommandations, dispenses, normes simplifiées et packs de conformité produits par la CNIL avant l’entrée en application du RGPD.

Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée NS 46 car il couvre le processus de recrutement mais également la gestion de la paye.

Prospection directe

Qu’est-ce que la prospection directe?

L’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

Quels sont les moyens d’une prospection directe?

  • Par email ;
  • Par téléphone ;
  • Par sms/mms ;
  • Par automate d’appel ;
  • Par télécopie.

Quelle est la règle applicable à la prospection directe?

L’article 34-5 du Code des postes et des communications électroniques qui transpose la directive e-privacy 2002/58 s’applique à tout type de la prospection directe.

La règle est que la prospection directe est interdit sans l’accord préalable et explicite de la personne concernée.

A titre d’exemple, les personnes physiques ne doivent pas recevoir de mail de prospection sans avoir donné leur consentement préalable et explicite au moment de la collecte de mail (par exemple via des cases à cocher).

Dans tous les cas, le message envoyé par mail doit obligatoirement préciser l’identité de l’annonceur.

Quelles sont les exceptions applicables à cette règle?

  • la personne prospectée est déjà le client de l’entreprise et la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
  • La prospection n’est pas de nature commerciale (caritative par exemple)

Retrait du consentement et droit d’opposition à la prospection directe

Lorsque la prospection directe est basée sur le consentement du destinataire, ce dernier doit être en mesure de retirer son consentement.

Lorsque la prospection bénéficie de la dérogation du consentement, le destinataire doit pouvoir s’opposer au traitement de ses données.

Le retrait du consentement ou l’opposition à la prospection doit se faire de manière simple et gratuite (par exemple via un lien pour se désinscrire à la réception de nouvelles sollicitations par mail).

Quelle est la durée de conservation des données relatives à une prospection commerciale?

La durée de conservation à 3 ans maximum à compter de la dernière action positive du “prospect” (NS-048).

Y a t-il un régime dérogatoire lié à la relation B2B?

Lorsque la prospection directe vise uniquement la relation B2B, un consentement explicite préalable n’est pas requis. Cependant, une information préalable s’impose. Le professionnel visé par la prospection directe dispose également d’un droit d’opposition.

Y a t-il un régime dérogatoire lié au moyen d’une prospection?

Dans une relation B2C, lorsque la prospection se fait via courrier ou par téléphone, le consentement explicite n’est pas requis. Ainsi, la prospection peut être basée sur l’opt-out.

CNIL : Projet de référentiel de certification « formation à la protection des données »

En mars 2020, la CNIL publie un projet de Référentiel comportant la liste des exigences applicables à un prestataire de formation en matière de protection des données en vue d’obtenir la certification de sa prestation.

Ces exigences constituent trois catégories suivantes :

  • Exigences générales ;
  • Exigences relatives à l’information du public sur les formations proposées ;
  • Exigences relatives à l’identification des besoins et à l’atteinte des objectifs de formation ;
  • Exigences relatives à la conception des formations ;
  • Exigences relatives à la préparation et à l’adaptation des formations aux apprenants ;
  • Exigences relatives aux conditions de réalisation des formations ;
  • Exigences relatives aux compétences des intervenants ;
  • Exigences relatives au recueil des appréciations et la prise en compte des demandes et réclamations

Le projet du Référentiel est accompagné d’une annexe sur le Référentiel général d’aptitudes et de compétences.

Ce Référentiel comporte de trois exigences principales suivantes :

  • Exigences relatives à la présentation des principes et des définitions;
  • Exigences relatives à la présentation des conditions de licéité des traitements ;
  • Exigences relatives à la présentation des droits des personnes à l’égard des traitements de données à caractère personnel.

Secret médical

En application de la loi informatique et libertés dans sa dernière version, le secret médical est opposable concernant des informations relatives à un traitement nécessaire aux finalités suivantes:

  • la médecine préventive,
  • la recherche médicale,
  • les diagnostics médicaux,
  • l’administration de soins,
  • la gestion de service de santé.

La communication des données personnelles médicales relatives aux finalités ci-dessus mentionnées ne peut se faire que sous l’autorité et en présence d’un médecin.

Protection de votre nom de domaine

DIA vous accompagne dans la protection de votre nom de domaine.

Qu’est-ce qu’un nom de domaine?

Le nom de domaine est l’identifiant unique d’un site internet. Il est composé d’une chaine de caractères (lettres ou chiffres) et d’une extension.

Comment se fait la réservation d’un nom de domaine?

La règle applicable pour la réservation d’un nom de domaine est celui du “premier arrivé, le premier servi”. Les offices d’enregistrement de noms de domaine ne font aucune recherche d’antériorité a priori pour vérifier l’éventuel conflit d’un nom de domaine avec les droits antérieurs. La réservation se fait uniquement par rapport à la disponibilité technique d’un nom de domaine.

Cependant, pour certains noms de domaine, il existe des conditions d’éligibilité à la réservation du nom de domaine qui s’imposent au demandeur de réservation. A titre d’exemple, pour certaines extensions géographiques comme “.fr” et “.eu”, il conviendra de justifier d’un lieu de résidence dans la pays concerné.

Pourquoi protéger votre nom de domaine?

Compte tenu du rôle d’internet en tant qu’un vecteur de communication incontournable les noms de domaine correspondant aux marques, aux noms commerciaux, aux dénominations sociales ainsi qu’au autres actifs commerciaux doivent être protégés pour éviter toute confusion et toute éventuelle atteinte à l’image de l’entreprise

Comment protéger votre nom de domaine?

  • réservation des noms de domaine correspondant à vos actifs commerciaux auprès des offices nationaux et/ou internationaux relatifs à l’enregistrement et à la gestion de noms de domaine;
  • mettre en place une stratégie défensive de réservation des noms de domaines sous les principales extensions génériques, ainsi que sous l’extension sectorielle correspondant à son domaine d’activité afin d’empêcher des cas de cybersquatting;
  • Pour diminuer le risque d’opposition, réserver des noms de domaine distinctifs qui ne sont pas génériques;
  • effectuer une recherche d’antériorité avant de procéder à la réservation du nom de domaine. Cela permet de ne pas réserver les noms de domaines en conflit avec les droits tiers;
  • initier une procédure de récupération des noms de domaines portant atteinte à vos droits antérieurs;
  • engager une action judiciaire à l’encontre des titulaires de noms de domaine (celui qui a enregistré le nom de domaine) entravant vos droits antérieurs.

Quels sont les droits dont dispose un titulaire d’un nom de domaine sur son nom de domaine?

La seul réservation d’un nom de domaine ne confère pas de droit à son titulaire. Pour revendiquer des droits sur un nom de domaine:

  • le nom de domaine doit être distinctif permettant d’identifier l’activité présentée du titulaire du nom de domaine;
  • le nom de domaine doit être exploité de manière régulière et effective.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Dépôt de marque en France

DIA vous accompagne dans le dépôt de votre marque en France.

Qu’est-ce qui est une marque?

La marque est un signe distinctif (dénomination, semi-figuratif, figuratif, sonore, etc.) permettant de distinguer des produits et des services.

La fonction essentielle de la marque est de garantir au consommateur l’origine du produit et/ou du service.

Quelles sont les conditions de dépôt et de protection d’une marque?

Pour pouvoir protéger une marques, les conditions cumulatives suivantes doivent être remplies:

  • distinctivité: la marque doit identifier des produits et services pour lesquels le déposant souhaite l’enregistrer. Cependant, elle ne doit pas être exclusivement la représentation du produit désigné de manière générique ou usuelle. Elle doit être différente des autres signes distinctifs au point de ne pas prêter à confusion dans l’esprit du public. Les signes descriptifs ne sont pas distinctifs. Sauf si elle souligne des caractères propres qui le distingue d’un usage courant de langage.
  • disponibilité: la marque ne doit pas porter atteintes, par reproduction ou par imitation, aux droits antérieurs à son enregistrement pour les produits et services identiques ou similaires. Une recherche d’antériorité s’impose pour identifier les éventuelles signes identiques et/ou similaires.
  • licéité: la marque déposée doit être licite. Elle ne doit pas illicite ou porter atteinte à l’ordre public et aux bonnes mœurs.
  • non déceptivité: la marque ne doit pas tromper le public sur la nature, la qualité ou l’origine géographique du produit.

Quelle est la procédure de dépôt d’une marque en France auprès de l’INPI?

  1. identification des produits ou services pour lesquels la marque sera déposée en fonction de la classification internationale de Nice. La protection obtenue sera limitée aux produits et/ou services désignés. En cas d’oubli des produits et/ou services, il n’est pas possible de l’ajouter au dossier de dépôt initial. Ainsi, il faut procéder à un nouveau dépôt pour des produits et/ou services manquants ;
  2. recherche de disponibilité des produits et/ou services identifiés;
  3. dépôt en ligne de la marque sur le site de l’INPI et paiement de frais de dépôt (certaines rectification seront facturées moyennant le paiement d’une taxe de 104 euros);
  4. accusé de réception du dépôt adressée au déposant via email par l’INPI (date et n° de dépôt);
  5. Publication, par l’INPI, du dépôt de la demande d’enregistrement au Bulletin officiel de la propriété intellectuelle (BOPI);
  6. examen du dossier du dépôt par l’INPI (la forme et le fond) dans un délai de 6 à 8 mois et communication de ses éventuelles objections et/ou des observations ou oppositions des tiers;
  7. publication de l’enregistrement de la marque au BOPI;
  8. Envoi par l’INPI d’une certification d’enregistrement de la marque au titulaire de la marque.

Tout dossier incomplet ou imprécis pourra entraîner, lors de l’examen du dépôt, un retard ou un rejet de la demande. La marque enregistrée est protégée pour une durée de 10 ans indéfiniment renouvelable.

Une fois enregistrée, la marque bénéficie d’une protection de 10 ans renouvelable indéfiniment.

Compte tenu des subtilités liées au dépôt d’une marque, il est conseillé de vous accompagner par des services d’un avocat spécialiste du sujet.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Procédure d’opposition d’une marque devant l’INPI

DIA accompagne des titulaires de droits antérieurs dans la procédure d’opposition devant l’institut national de la propriété intellectuelle.

Lors d’une demande d’enregistrement de marque devant les offices de propriété intellectuelle français (l’INPI) ou européen (l’EUIPO), les titulaires de droits antérieurs ont droit de former une opposition à l’enregistrement de la marque s’ils considèrent que ceci porte atteinte à ses droits.

Le délai pour faire l’opposition est de deux mois à compter de la publication de la demande d’enregistrement au BOPI (pour les marques françaises), à l’OMPI (pour les marques internationales).

Cette opposition se fait par le titulaire des droits antérieurs ou par son mandataire via une procédure administrative devant l’office de propriété intellectuelle concernée.

Le titulaire des droits d’antérieurs justifie dans son mémoire les raisons relatives à cette opposition (risque de confusion, atteinte au nom, à l’image etc.).

L’opposition sera ensuite notifiée par l’office de propriété intellectuelle concerné au déposant d’enregistrement pour formuler d’éventuelles observations en réponse à l’opposition.

Le déposant doit présenter des éléments écartant l’opposition tels que l’absence de risque de confusion, ou atteinte au nom et à l’image. Il peut demander à l’opposant des éléments prouvant l’exploitation de la marque par ce dernier durant les cinq dernières années.

L’office de propriété intellectuelle publiera ensuite dans un délai de 6 mois sa décision.

La décision de l’office de propriété intellectuelle peut fair l’objet d’un recours devant le Cour d’appel compétent en cas de contestation.

Si l’opposition est confirmée, la demande d’enregistrement de marque est refusée.

Désormais, avec la réforme 2019 de droit de marque, les titulaires de droits antérieurs sur toute signe distinctive (nom commercial, nom de domaine, enseigne, etc.) peuvent effectuer une action d’opposition directement devant l’INPI.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Données biométriques

Quelle est la définition des données biométriques?

Les données personnelles résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

A quelle catégorie de données personnelles appartiennent les données biométriques?

Les données biométriques font partie des catégories particulières des données (données sensibles). Le traitement des données sensibles est par défaut interdit. Cette interdiction fait l’objet de quelques dérogations (consentement de la personne concernée, nécessaire aux fins de l’exécution des obligations et des droits propres au responsable de traitement, intérêt public, intérêt vital de la personne concernée, etc.).

Quels sont les cas d’usage des données biométriques?

Le traitement des données biométriques est en particulier pour l’authentification biométrique

  • Contrôle d’accès à l’entrée et dans les locaux
  • Contrôle d’accès à des appareils et applications informatiques.

Les applications de mobiles relatives aux services publics (Ameli, mutuelle) ou privés (banques, les opérateurs de télécommunication) font l’usage davantage à une authentification biométrique.

les smart phones sont équipés de dispositif d’empreinte digital. L’empreinte digital est enregistré dans la téléphone.

Les applications ci-dessus mentionnées réutilisent sous le consentement du titulaire d’empreinte ces données bimétriques afin d’authentifier l’utilisateur de l’application lors de la connexion à sont compte personnel par smartphone.

Quelles sont les données personnelles collectées?

  • identité : nom, prénom, photographie et gabarit de la caractéristiques biométriques, clé biométrique, n° d’authentification ou n° de support individuel, coordonnés
  • vie professionnelle: n° de matricule interne, corps ou service d’appartenance, grade, nom de l’employeur
  • accès aux locaux: porte utilisée, zones et plage horaire d’accès autorisées, date et heure d’entrée et de sortie

Quelles sont les modalités et durées de conservation des données biométriques?

Les caractéristiques biométriques doivent être conservées sous la forme d’un gabarit chiffré irréversible ne permettant pas de recalculer la donnée biométrique d’origine

Quelles sont les mesures de sécurité à mettre en place concernant les données biométriques?

La CNIL dans son règlement type relatif aux traitements des données biométriques pour l’authentification biométrique recommande des mesures de sécurité suivantes:

  • mesures relatives à la sécurité des données: cloisonner les données, chiffrer les données biométriques, associer un code d’intégrité aux données (signature ou hachage), interdire tout accès externe à la donnée biométrique (match on card, Hardware Security Module), effectuer le conrôle d’accès via la fonction de hachage (comparaison entre l’échantillon calculé et le gabarit d’enrolement), veiller à l’effectivité de l’effacement des données à l’issue de la durée de conservation)
  • mesures relatives à l’organisation: responsabilisation des personnes, gestion d’accès physique ou logique, notifier les personnes concernées en cas d’accès non autorisé à leurs données
  • mesures relatives aux matériels: utiliser les matériels certifiés, garantir la traçabilité du cycle de vie des du matériel
  • mesures relatives aux logiciels: tenir un logiciel à jour équipé d’un antivirus
  • mesures relatives aux canaux d’information: sécuriser les canaux d’information.

Mécanisme de guichet unique

DIA vous accompagne dans la procédure de demande de désignation de guichet unique pour vos traitements transfrontaliers.

Face à des traitements transfrontaliers (lorsqu’un responsable de traitement est établi dans plusieurs États membre ou ses traitements concernent les personnes concernées dans plusieurs États membres), le responsable de traitement ou le sous-traitant bénéficie d’une seule autorité de contrôle comme l’autorité chef de file (l’administration centrale ou guichet unique en matière de protection des données). Cette autorité prendra des décisions applicables à l’ensemble des États membres concernés.

Comment identifier l’autorité chef de file?

L’autorité chef de file sera celle de l’établissement principal du responsable de traitement ou le sous-traitant. A défaut d’un établissement principal, l’autorité relative à l’établissement où se déroulera l’essentiel des activités du responsable de traitement ou du sous-traitant sera considéré comme l’autorité chef de file.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Traitement des données post mortem

En application de la loi informatique et libertés dans sa dernière version, le responsable de traitement informe la personne concernée de son droit de définir des directives relatives au sort des données après sa mort.

Selon la loi, la personne concernée peut définir des directives générales et particulières relatives à la conservation, à l’effacement et à la communication de ses données personnelles après sa mort.

Les directives générales peuvent être enregistrées auprès d’un tiers de confiance certifié par la CNIL. Les références des directives générales et le tiers de confiances sont inscrites dans un registre unique. Un décret du Conseil d’État définit les modalités et l’accès à ce registre unique. Ce décret sera adopté après l’avis motivé et publié de la CNIL.

Les directives particulières relatives aux traitement des données post mortem sont enregistrées auprès du responsable de traitement concerné. Les directives particulières font l’objet du consentement spécifique de la personne concernée et ne peuvent pas résulter des conditions générales d’utilisation.

Les directives peuvent être modifiées ou révoquées à tout moment.

Toute clause contractuelle limitant les prérogatives liées à ce droit est réputée non écrite.



Exercice des droits sur la protection des données par un mandataire

DIA vous accompagne dans l’exercice de vos droits relatifs au traitement de ses données personnelles auprès de responsable du traitement ou du sous-traitant.

En effet, le demandeur d’exercice de droits peut exercer ses droits par un mandataire.

En application du décret de la loi informatique et liberté du 30 mai 2019, la personne concernée peut exercer ses droits par l’intermédiaire d’un mandataire. Ainsi, la demande sera présentée par une personne spécialement mandaté à cet effet par la personne concernée.

Lors de la présentation de la demande par un mandataire, celui-ci justifie de:

  • son identité;
  • l’identité du mandant (demandeur);
  • son mandat;
  • la durée du mandat;
  • l’objet précis du mandat;
  • le cas échéant si le mandataire est destinataire de la réponse du responsable de traitement ou du sous-traitant.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Justificatif d’identité lors de l’exercice des droits

Lors de l’exercice des droits, le responsable de traitement doit pouvoir authentifier le demandeur pour s’assurer que la personne concernée est à l’origine de la demande. Ainsi, la personne concernée doit justifier son identité lors de l’exercice de ses droits. La justification de l’identité peut se faire par tout moyen sous réserve qu’elle soit suffisante afin d’authentifier le demandeur.

Autrement dit, les données collectées afin d’identifier la personne concernée doivent respecter le principe de minimisation des données. Dans ce sens, lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne concernée, il peut demander des informations supplémentaires nécessaires à la finalité poursuivie qui est dans un premier temps l’authentification de la personne concernée.

Les moyens de justification d’identité peut être divers en fonction du contexte, à titre d’exemple, les données d’identité numériques, la photocopie d’un titre d’identité portant la signature de la personne concernée;

Conséquences pour le responsable de traitement ou le sous-traitant d’une violation des données

Quelle est la définition de la violation des données?

Une violation de la sécurité entrainant de manière accidentale ou illicite la perte, l’altération et la divulgation non-autorisée des données personnelles.

Quelles sont les conséquences pour le responsable de traitement ou le sous-traitant d’une violation des données?

  • Réparation du dommage matériel ou moral causé à la personne concernée du fait d’une violation des données suite à une action de réparation déposée par la personne concernée auprès des juridictions compétente.
  • Sanction administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondiale, le montant le plus élevé étant retenu, et cela suite à un contrôle de l’autorité de contrôle compétente.

Représentant du responsable de traitement ou du sous-traitant

Quelle est la définition de “représentant” au sens du RGPD?

La personne physique ou morale établie dans l’union européenne désignée par le responsable de traitement ou le sous-traitant par écrit qui les représente en ce qui concerne leurs obligations respectives.

Dans quels cas le responsable de traitement ou le sous-traitant doivent désigner un représentant?

Lorsque le responsable de traitement ou le sous-traitant n’est pas établi dans l’Union européenne mais il offre de biens ou de services aux personnes qui se trouvent dans l’Union ou il suit le comportement de ces personnes, il doit désigner un représentant.

Quelles sont les dérogations à l’obligation de désigner un représentant?

  • Lorsque les traitements sont occasionnels et n’impliquent pas un traitement à grand échelle des catégories particulières de données ou relatif aux infractions pénales,
  • les organismes publics.

Quelle est la fonction du représentant?

Le représentant agit pour le compte du responsable de traitement ou du sous-traitant en tant que point de contacte par les autorités de contrôle ou les personnes concernées en plus ou à la place du responsable de traitement ou de sous-traitant pour toutes les questions relatives au traitement aux fins d’assurer le respect du RGPD.

Le représentant agit au nom du responsable de traitement ou du sous-traitant pour en ce qui concerne leurs obligations en application du RGPD.

Le représentant coopère avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du RGPD.

Le représentant accomplit ses tâches conformément au mandat reçu du responsable de traitement ou du sous-traitant.

Le représentant peut-il faire l’objet d’une action en justice ?

Le représentant peut faire l’objet d’une action en justice dans le cadre de sa fonction. En revanche, la désignation du représentant est sans préjudice d’action en justice qui pourrait être intentée contre le responsable de traitement ou le sous-traitant en cas d’une violation des données personnelles. En effet, la désignation du représentant ne porte pas atteinte aux obligations du responsable de traitement ou du sous-traitant.

En revanche, le représentant peut faire l’objet de procédures coercitives en cas de non-respect du RGPD par le responsable de traitement ou de sous-traitant.

Comment se fait la désignation d’un représentant?

Le représentant devrait être expressément désigné par un mandat écrit du responsable de traitement ou du sous-traitant pour agir en son nom.

Recherche de disponibilité lors du dépôt d’une marque

Pour pouvoir déposer et protéger un signe distinctive, elle doit remplir trois conditions suivantes: distinctivité, disponibilité et licéité.

Une marque est disponible lorsqu’elle ne porte pas atteinte aux droits antérieurs.

Pour vérifier le respect du critère de disponibilité, une recherche et une analyse d’antériorité exhaustive (à l’identique ou similaire) est indispensable. Cette recherche porte sur l’ensemble des signes identiques ou similaires telles que marques françaises ou européennes, les dénomination sociales et les noms commerciaux, les noms de domaine sur les différentes extensions (.fr, .com, .net, etc.).

La présence des marques antérieures à l’identique pour les produits et/ou services identiques présente un obstacle absolu au dépôt de la marque.

Il convient d’indiquer que la qualité de la recherche et de l’analyse d’antériorité pourrait empêcher le rejet de la demande du dépôt (dans certains offices de propriété intellectuelles), une action d’opposition à l’enregistrement de la marque ou une action en contrefaçon marque postérieurement à l’enregistrement de la marque.


Droit à la portabilité

En application du RGPD, la personne concernée a le droit de récupérer les données personnelles la concernant qu’elle a fourni à un responsable du traitement dans un format lisible par une machine et de les communiquer à un autre responsable du traitement. A titre d’exemple, la personne concerner peut récupérer et transférer l’historique de ses communications lors du changement d’un prestataire de service de communication au public en ligne à un autre.

  • Le responsable du traitement peut-il faire obstacle à la communication des données?

Le responsable du traitement auquel les données ont été communiqué initialement ne peut pas faire obstacle à la communication des données.

  • Quel est le double objectif poursuivi par le droit à la portabilité?

Renforcer le droit à l’autodétermination informationnelle au niveau européen de la personne concernée[1] par plus de contrôle et une mobilité numérique accrue offerte à celle-ci.

Faciliter la libre circulation des données[2] par une transmission directe[3] des données d’un responsable de traitement à un autre ; Améliorer ainsi le fonctionnement du marché en équilibrant le rapport de concurrence entre différents fournisseurs de service dans le cadre du marché unique numérique[4].

  • Quelles sont les conditions d’exercice du droit à la portabilité?

Le droit à la portabilité n’existe que pour les traitements fondés sur un contrat dont elle est partie contractante ou sur le consentement des personnes concernées.

Le droit à la portabilité s’applique uniquement sur les données personnelles faisant l’objet d’un traitement automatisé [5]

  • Quel est le format de la communication des données?

Le format des données joue un rôle important dans la bonne transmission des données et dans la réutilisation des données à la fois par les autres responsables du traitement et la personne concernée.

Les données doivent être communiquées dans un format structuré, couramment utilisé et lisible par un machine. Selon la CNIL, le format de données doit être adapté au type de données concernées en privilégiant des formats ouverts interopérables comme CSV et JSON.

Selon l’avis du G29, les acteurs de l’industrie et les associations professionnelles peuvent travailler sur un ensemble de standards et formats interopérables pour respecter ces prérequis du droit à la portabilité. Concernant le format, un haut niveau d’abstraction s’avère nécessaire. En outre, les métadonnées doivent être les plus précises possibles. Selon le G29, « lorsque les données collectées auprès du consommateur ne peuvent pas être récupérées dans un standard ouvert et aisément réutilisable, le fournisseur de service de communication au public en ligne en informe le consommateur de façon claire et transparente. Le cas échéant, il l’informe des modalités alternatives de récupération de ces données et précise les caractéristiques techniques du format du fichier de récupération, notamment son caractère ouvert et interopérable ».

  • Quelle est la limite du droit à la portabilité?

Le droit à la portabilité concerne aussi les données collectées de manière automatique, notamment des données de comportement d’un individu lors de l’utilisation d’un service en ligne, comme par exemple l’historique des transactions ou Access log.

Les données dérivées ou les inférées issues de traitements complémentaires sortent du champ d’application du droit à la portabilité. Ces données comprennent les DCP générées par l’activité de la personne concernée à travers un fournisseur de services (responsable du traitement). L’exemple donné par le G29 est le résultat à l’issue d’algorithmes de traitement de données comme le crédit, l’état de santé, le profilage.

  • Quels est l’enjeu lié à l’application du droit à la portabilité?

Les données qui font l’objet de l’exercice du droit à la portabilité peuvent comprendre des données de tiers. Cela concerne notamment les données de communication que ce soit par le service de messagerie ou de téléphone, données de transactions bancaires, etc. Certes, la présence des données de tiers ne peut pas justifier un rejet de la demande. À cet égard, une condition importante visée par l’article 20-4 du RGPD est que le droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.   

Selon le G29 sur le droit à la portabilité, et afin de prévenir le risque sur les tiers, le nouveau responsable du traitement destinataire des données est tenu de procéder au traitement des données a priori pour la même finalité qu’initialement définie. Il ne doit traiter ces données que dans la mesure où elles sont gardées sous le seul contrôle de la personne concernée à l’origine de la demande de portabilité, et qu’elles ne sont gérées pour des besoins purement personnels du nouveau responsable du traitement. Un tel traitement serait susceptible d’être considéré comme illégal, en particulier si les tiers concernés ne sont pas informés et ne peuvent exercer leurs droits en tant que personnes concernées.

À cet égard, il est préconisé par le G29 que tous les responsables du traitement (les parties «expéditrice» et «réceptrice») devraient mettre en place des outils permettant aux personnes concernées de sélectionner les données pertinentes. En outre, ils devraient mettre en œuvre des mécanismes de consentement pour d’autres personnes concernées, afin de faciliter la transmission des données dans les cas où ces parties sont disposées à consentir.

  • Quelles sont les bonnes pratiques qui peuvent être adoptées par les responsable du traitement pour l’exercice du droit à la portabilité?

Mettre en place les infrastructures techniques et pratiques comme des interfaces (API) pour permettre l’exercice du droit à la portabilité[6].

Assurer l’exercice du droit à la portabilité le plus rapidement possible, sans jamais excéder un délai de deux mois[7].

Vérifier l’identité des demandeurs et la légitimité de la portabilité demandée.

S’assurer que les démarches à effectuer ne découragent pas les personnes concernées et ne leur occasionnent pas de frais[8].

Mettre au point des formats interopérables permettant la portabilité des données[9].


[1] Considérant 68 du RGPD.

[2] G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 4.

[3] Article 20-2 du RGPD sous réserve que cette transmission soit techniquement possible, considérant 68 du RGPD.

[4] G29, WP 242, guide sur le droit à la portabilité, op. cit., p. 3.

[5] Considérant 68 du RGPD.

[6] API (application programming interfaces), G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 3.

[7] Rapport du CGREF, « Entreprise : clé d’application réussite du GDPR », http://www.cigref.fr/entreprise-cle-application-reussie-gdpr-livrable-cigref-afai-tech-in-france, p. 59.

[8] Idem.

[9] Considérant 68 du RGPD.

Transfert des données hors l’UE

Dans le cas de transferts de données personnelles vers un pays « non adéquat », l’organisme n’a pas besoin d’autorisation de la CNIL dans les cas suivants :

  • Consentement de la personne concernée ;
  • Recours aux/Conclusion des clauses contractuelles types adoptées par la Commission Européenne;
  • Conclusion des clauses contractuelles spécifiques ;
  • Mise en place des règles d’entreprise contraignantes (BCR).

En revanche, les clauses contractuelles non types/ spécifiques pourront apporter des garanties suffisantes sous réserve qu’elles aient fait l’objet d’un contrôle/examen de la CNIL dans le cadre d’une demande d’autorisation.

Collecte directe des données

Lorsque les données personnelles sont collectées directement auprès des personnes concernées, la collecte est qualifié de “directe” (formulaire en ligne, souscription d’un contrat).

Selon la CNIL, la collecte est aussi qualifiée “directe” lorsqu’elle se fait via des dispositifs ou des technologies d’observation de l’activité des personnes (vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et analyse pour la mesure d’audience).

Protection des mots de passe

La CNIL a adopté deux délibérations n°2017-012 en 2017 portant des recommandations concernant les mots de passe dans l’objectif d’apporter une plus grande confiance dans les services du numérique basés sur l’authentification par mot de passe.

  • Quelle sont la taille et la complexité exigées pour le mot de passe? Selon la CNIL, elles peuvent différer en fonction des mesures de sécurité complémentaires prévues:
  • Mot de passe seul:

Si l’authentification repose uniquement sur un identifiant et un mot de passe, la taille de mot de passe doit être au minimum 12 caractère comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.

  • Mot de passe et restriction d’accès au compte:

Si l’authentification prévoit une restriction de l’accès au compte (temporisation ou blocage d’accès après plusieurs échecs), la taille de mot de passe doit être au minimum 8 caractères comportant au moins 3 de 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux)

  • Mot de passe et information complémentaire:

Si l’authentification prévoit une information complémentaire, la taille du mot de passe doit être au minimum 5 caractères.

  • Mot de passe et matériel détenu par la personne:

Si l’authentification s’appuie sur un matériel détenu par la personne (cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverouillable par mot de passe (token)), la taille du mot de passe doit être au minimum 4.

  • Quelles sont les modalités de l’authentification?

Selon la CNIL, la fonction de l’authentification doit être sûre. Lorsque l’authentification n’a pas lieu en local, une mesure de contrôle de l’identité du serveur d’authentification doit être mise en place au moyen d’un certificat d’authentification de de serveur. De plus, il est recommandé que le canal de communication entre le serveur d’authentifié et le client soit chiffré à l’aide d’une fonction de chiffrement sûre. De plus, la sécurité des clés privés doit être assurée.

  • Quelles sont les modalités de conservation des mots de passe?

La CNIL recommande que le mot de passe ne doit jamais être stocké en claire. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre.

  • Quelles sont les modalités de renouvellement du mot de passe et de la notification à la personne?

Selon la CNIL, le renouvellement du mot de passe doit être systématique en cas de compromission de celui-ci. Dans tous les cas, le mot de passe ne doit jamais être communiqué à l’utilisateur en claire notamment par l’e-mail. Le renouvellement peut être périodique en fonction de la complexité du mot de passe. Le renouvellement peut être également sur demande du mot de passe.

Droit à l’information sur le traitement de ses données personnelles

La personne concernée par le traitement a le droit d’être informée sur le traitement de ses données personnelles et d’avoir le contrôle sur ses données.

A cet égard, le responsable du traitement a une obligation de transparence vis-à-vis des personnes concernées lors de traitement de leurs données personnelles. Cette obligation de transparence impose une information transparente, concise, complète, précise, compréhensible et aisément accessible (articles 12 à 14 du RGPD).

Selon la CNIL, les modalités de présentation de cette information doivent être adaptées au contexte. Il convient de distinguer la collecte directe de celle indirecte. En cas de collecte directe le responsable du traitement informe la personne concernée au moment de la collecte (ex. mention d’information au pied du formulaire de collecte en ligne). L’information en cas de collecte indirecte se fait dans les meilleurs délais.

Le respect de l’obligation de transparence impose une information régulière en cas de modification substantielle ou d’événement particulier.

Les informations communiquées à la personne concernée sont, dans tous les cas, les suivantes:

  • identification et coordonnées de responsable du traitement;
  • finalités du traitement;
  • base légal du traitement;
  • caractère obligatoire ou facultatif du recueil des données;
  • destinataires ou catégroies de destinataires;
  • durée de conservation des données,
  • droits des personnes concernées y compris de droit d’introduire une réclamation auprès de la CNIL;
  • coordonnées du DPO (si applicable)

Selon les cas, les intérêts légitimes poursuivis par le responsable du traitement si le traitement est basé sur l’intérêt légitime, l’existence d’un transfert des données, l’existence d’une prise de décision automatisée ou d’un profilage, le droit du retrait du consentement si le traitement est basé sur le consentement.

En cas de collecte indirecte des données, les catégories des données et la source des données vont aussi être communiquée à la personne concernée

Pour plus d’information sur le site de la CNIL..

EDPS: Preliminary Opinion on Data Protection & Scientific Research

European Data Protection Supervisor (EDPS) has published on 6th of januery a preliminary opinion on data protection related to scientific research.

Generally, there is an established ethical framework governing the particular field of health science, medical research and clinical trials. The interaction between the GDPR and the ethical framework is being discussed by European Data Protection Board (EDPB).

A special data protection regime is applying to the protection of scientific and research data. This spcecial regime have not any impact to the application of the principles rgeariding the personal data protection such as data minimization, transparency, lawfulness, purpose limitation.

However some derogation apply to the controler obligations which include presomption of compatibility of processing of scientific researh puroposes of data collected in commercial and other contexts provided appropriate safeguards are in place. This derigation is based on the assumption that the resaerch following the ethical framework serves the public interests.

For more information, the opinion is available on the EDPB website.


CEPD: Lignes directrices sur la base légale liée à l’exécution du contrat

Le CEPD a adopté le 9 octobre, la version finale des lignes directrices sur le champ d’application de l’article 6-1-b du RGPD (sur la base légale d’exécution de contrat) dans le contexte des services en ligne tels que les réseaux sociaux, le e-commerce ou les agences de voyages en ligne.

CNIL: Publication d’une liste des traitements pour lesquels une analyse n’est pas requise

Le RGPD prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire. La CNIL a adopté sa liste définitive le 12 septembre dernier, après avoir soumis un projet au Comité européen de la protection des données.

Droit d’accès indirecte à ses données

En application du RGPD, la personne concernée peut exercer directement, sans intermédiaire d’un tiers, son droit d’accès à ses données personnelles auprès du responsable du traitement. Cependant, dans certains cas, l’exercice de ce droit peut être limité à un droit d’accès indirect par l’intervention de l’autorité de la protection des données (la CNIL en France). À cet égard, pour avoir accès à certains fichiers d’intérêt public (à titre d’exemple les fichiers concernant la sûreté de l’État, la défense ou la sécurité publique) tels que les fichiers de police, de gendarmerie, le fichier de renseignement, FICOBA, le fichier d’autres administrations comme l’administration fiscale, la CNIL doit être contactée en premier lieu. l’exercice d’un droit d’accès indirect n’entraine pas le droit à la communication des données, sauf en cas d’accord du responsable du traitement concerné.

CNIL- lignes directrices sur les cookies

Dans une précédente publication sur les cookies, nous avons décrit le régime juridique applicable aux cookies et les autres traceures.

Poursuivant son plan d’action 2019-2020 concernant les règles applicables sur le ciblage publicitaire, la Commission Nationale de l’Informatique et des Libertés (CNIL), a adopté, le 4 juillet 2019 par une délibération n°2019-093 lignes directrices sur les cookies remplaçant ses recommandations de 2013.

  • Quel est le champ d’application des lignes directrices?

Les lignes directrices de la CNIL s’appliquent à tous les dispositifs ayant pour objet la lecture d’informations ou d’inscrire des informations sur l’équipement terminal des internautes quels que soit les systèmes d’exploitation, les logiciels applicatifs tels que navigateurs ou les terminaux utilisés. L’équipement terminal peut être tout objet connecté à un réseau de télécommunication ouvert au public. Ex. tablette, smartphone, ordinateur fixe ou mobile, console de jeu vidéo, télévision connectée, véhicule connecté, assistant vocal.

  • Quels sont les cookies et les autres traceurs?
  1. Cookies HTTP;
  2. Cookies Flash ou objets locaux partagés (local shared objects);
  3. Stockage local (local storage);
  4. Empreinte digital (Identifications par calcul d’empreinte du terminal);
  • Quelles les données collectées et traitées par les cookies ?
  1. Identifiant unique d’un cookie;
  2. Adresse IP;
  3. Identifiant du terminal ou d’un composant du terminal de l’utilisateur;
  4. Identifiant généré par un logiciel ou un système d’exploitation;
  5. Identifiants générés par les systèmes d’exploitations (OS) publicitaires ou non: (IDFA, IDFV, Android ID, etc.);
  6. Identifiants matériels (adresse MAC, numéro de série ou d’autres identifiants d’un appareil);
  7. Résultat de calcul dans le cas d’une technique de “fingerprinting”.
  • Quant est-ce que le consentement doit être recueilli ?

Le consentement doit être recueilli avant toute action visant au dépôt ou à la lecture des cookies.

Selon ces lignes directrices, la poursuite de la navigation sur un site ou la pratique de scroll (faire défiler une page), l’acceptation des conditions générales d’utilisation ne peuvent plus être considérées comme un consentement valide.

De plus, la preuve du consentement doit être conservée.

Par contre, dans les lignes directrices nous ne retrouvons pas d’information concernant la prescription de la durée de validité du consentement obtenu. Par contre, il a été précisé que les traceurs ne peuvent pas avoir uen durée de vie excédant 13 mois.

Les modalités pratiques du recueil de consentement seront prochainement publiées par la CNIL. Par la suite, une période d’adaptation de 6 mois est prévue par la CNIL.


CNIL: Nouveau modèle de registre simplifié

La constitution et le maintien d’un registre est une obligation prévue à l’article 30 du RGPD. La CNIL publie un nouveau modèle de registre des activités de traitement simplifiés.

TAJ – Traitement d’Antécédents Judiciaires

Le fichier TAJ est quoi ?

Le fichier TAJ remplace des fichiers STIC de la police nationale et JUDEX de la gendarmerie nationale qui ont été définitivement supprimés. Ce fichier comporte 87 millions d’affaires et 18,9 millions de fiche de personnes mises en cause.

Qui est le responsable du traitement du fichier TAJ ?

Ministère de l’intérieur (DGPN et DGGN).

Quelles sont les finalités poursuivies par le traitement des données relatives au fichier TAJ ?

Recherche dans le cadre des enquêtes judiciaires et administratives.

Quelle est la base juridique du traitement des données relatives au fichier TAJ ?

les articles 230-6 à 230-11 du Code de la procédure pénale.

Quelles sont les catégories des données traitées via le fichier TAJ ?

  • Donnes relatives aux mis ne cause et aux victimes: sur les personnes physiques (identité, surnom, alias, situation familiale, nationalité, adresses postales, adresses électroniques, numéros de téléphone, date et lieu de naissance, profession, état de la personne, signalement, photographe).; sur les personnes morales (raison sociale, enseigne commerciale, sigle, forme juridique, IRCS, SIREN, SIRET, lieu du siège social, secteur d’activité, adresse postale, adresse électronique, numéro de téléphone)
  • Données relatives aux personnes faisant l’objet d’une enquête ou d’une instruction: Au-delà des données ci-dessus mentionnées, faits, objets de l’enquête, lieux, dates de l’infraction, mode opératoires, données relatives aux objets.

Quelles sont les critères d’inscription?

Les personnes en lien avec des infractions comme la mort, les blessures graves et les disparitions au sens de l’article 74 et 74-1 du code de procédure pénale sont destinées à être inscrites sur le fichier TAJ.

Quelle est la durée de conservation des données sur le fichier TAJ ?

  • 20 ans concernant les personnes mises en cause majeures;
  • 5 ans concernant les personnes mises en cause mineurs;
  • 15 ans concernant les victimes;

Quelles sont les destinataires du fichier TAJ ?

Les personnes habilitées pour les besoins d’enquêtes judiciaires et administratives (à titre d’exemple, les agents de la police et gendarmerie nationale exerçant les missions de police judiciaire, les douanes judiciaires, les magistrats du parquet, les agents des services judiciaires habilités par le procureur de la république, les agents du service national des enquêtes administratives de sécurité, etc.)

Comment exercer le droit d’accès au fichier TAJ ?

Les personnes concernées sont un droit d’accès et de rectification directe à ce fichier qu’elles doivent exercer auprès du ministère de l’intérieur (article R.40-33 II du code de procédure pénale).

Le ministère de l’intérieur doit répondre dans un délai de deux mois à compter de la date de réception de la demande.

En cas d’une réponse incomplète ou d’absence de réponse, la CNIL peut être saisie pour l’exercice indirecte de ces droits.

Pour plus d’information sur le site de la CNIL..