Overblog Suivre ce blog
Administration Créer mon blog
19 février 2017 7 19 /02 /février /2017 07:52

C'est par un arrêté publié le 17 février 2017 au Journal officiel que le fichier TES va être mis en place progressivement à toute la France du 21 février au 28 mars. 

C'est Paris qui va essuyer les plâtres (après les Yvelines depuis début novembre 2016 à titre expérimental), puis le Val d’Oise, les Hauts-de-Seine, et ensuite suivront autres départements.

Le décret du 28 octobre 2016 du fichier TES autorise en effet la mise en œuvre d'un traitement commun aux cartes nationales d'identité et aux passeports des données à caractère personnel 

Ce texte en apparence anodin modifie cependant profondémen le décret n° 55-1397 du 22 octobre 1955 modifié instituant une carte nationale d'identité ainsi que le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports.

Pour procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation des cartes nationales d'identité mentionnées à l'article 7 du décret du 22 octobre 1955 susvisé et des passeports mentionnés aux articles 1er et 17-1 du décret du 30 décembre 2005 susvisé, ainsi que prévenir et détecter leur falsification et contrefaçon, le ministre de l'intérieur met en œuvre un traitement de données à caractère personnel dénommé "titres électroniques sécurisés" (TES).

Ainsi, les données personnelles et biométriques de tous les détenteurs d’une carte d’identité ou d’un passeport sont désormais compilées dans une base de données unique se substituant à terme au TES  actuel dédié aux passeports et au Fichier national de gestion des cartes d’identité.

Les données à caractère personnel et informations enregistrées dans le traitement mentionné à l'article 1er sont :

1° Les données relatives au demandeur ou au titulaire du titre :
a) Le nom de famille, le nom d'usage, les prénoms ;
b) La date et le lieu de naissance ;
c) Le sexe ;
d) La couleur des yeux ;
e) La taille ;
f) Le domicile ou la résidence ou, le cas échéant, la commune de rattachement de l'intéressé ou l'adresse de l'organisme d'accueil auprès duquel la personne est domiciliée ;
g) Les données relatives à sa filiation : les noms, prénoms, dates et lieux de naissance de ses parents, leur nationalité ;
h) Le cas échéant, le document attestant de la qualité du représentant légal lorsque le titulaire du titre est un mineur ou un majeur placé sous tutelle ;
i) L'image numérisée du visage et celle des empreintes digitales qui peuvent être légalement recueillies ;
j) L'image numérisée de la signature du demandeur de la carte nationale d'identité ;
k) L'adresse de messagerie électronique et les coordonnées téléphoniques du demandeur, lorsque celui-ci a choisi d'effectuer une pré-demande de titre en ligne ou a demandé à bénéficier de l'envoi postal sécurisé, ou sur déclaration de l'usager lorsqu'il souhaite être informé par ce moyen de la disponibilité de son titre ;
l) Le cas échéant, le code de connexion délivré par l'administration au demandeur pour lui permettre de déclarer la réception de son passeport lorsque ce titre lui a été adressé par courrier sécurisé ;

2° Les informations relatives au titre :
a) Numéro du titre ;
b) Type de titre ;
c) Tarif du droit de timbre ;
d) Date et lieu de délivrance ;
e) Autorité de délivrance ;
f) Date d'expiration ;
g) Mention, avec la date, de l'invalidation du titre et de son motif (perte, vol, retrait, interdiction de sortie du territoire, autre motif), de la restitution du titre à l'administration, de sa destruction;
h) Mentions des justificatifs présentés à l'appui de la demande de titre ;
i) Informations à caractère technique relatives à l'établissement du titre ;
j) Informations relatives à la demande de titre : numéro de demande et, le cas échéant, de pré-demande, lieu de dépôt, date de réception de la demande, date de l'envoi du titre au guichet de dépôt, motif de non-délivrance ;
k) La date et le mode de remise du titre ainsi que, le cas échéant, les nom, prénoms et identifiant du consul honoraire chargé de sa remise ou le nom, l'adresse du site internet de suivi et l'identifiant du transporteur chargé de son acheminement lorsque le titre est adressé à l'usager par courrier sécurisé ;
l) Les informations relatives à la réception du passeport par le demandeur lorsque le titre lui est adressé par courrier sécurisé : la date d'envoi du passeport, le numéro de suivi du courrier sécurisé, la date de la déclaration de réception, de non-réception ou de refus de réception du passeport, la mention des justificatifs produits à l'appui de la déclaration ;

3° Les données relatives au fabricant du titre et aux agents chargés de la délivrance du titre :
a) Nom, prénom et références de l'agent qui enregistre la demande de titre ;
b) Noms, prénoms et références des agents mentionnés à l'article 3 ;
c) Identifiant du fabricant du titre ;
4° L'image numérisée des pièces du dossier de demande de titre.

Excusez du peu, puisque seront donc ainsi disponibles données biométriques et analogiques ! 

Le traitement ne comporte en revanche pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage ou de l'image numérisée des empreintes digitales enregistrées dans ce traitement.

De très nombreux services auront accès aux données du TES (ministère de l'intérieur, Préfecture, police, gendarmerie, Interpol etc.)

Ces données seront conservées pendant quinze ans pour les passeports et vingt ans s'il s'agit d'une carte nationale d'identité (respectivement dix ans et quinze ans lorsque le titulaire du titre est mineur) 

Le décret supprime également le principe de territorialisation des demandes de cartes nationales d'identité.

Les demandes de cartes nationales d'identité pourront ainsi être déposées, à l'instar des demandes de passeports ordinaires, auprès de n'importe quelle mairie équipée d'un dispositif de recueil.

Autant dire que la CNIL a émis des réserves sur ce traitement dans sa délbération du 29 septembre également publiée au JO et s'inquiète du fichage de 60 millions de personnes, soit "la quasi-totalité de la population française".

A noter que le 22 mars 2012, le Conseil Constitutionnel avait rendu une décision qui retoquait un projet analogue dénonçant des atteintes disproportionnées susceptibles d'être portées aux libertés individuelles.

On peut donc légitimement s'interroger sur le timing et la méthode d'arrivée brutale de ce texte dans notre Droit par la voie réglementaire, en dehors de tout débat parlementaire.

Dans son avis du 23 février 2016 qui a été rendu public le 4 novembre, le Conseil d'Etat s'avoue très circonspect sur cette mesure.

Le Conseil d’État a surtout constaté que, contrairement au traitement ayant fait l’objet de la décision du Conseil constitutionnel, le TES permettait seulement de vérifier l’identité avancée par le demandeur d’un titre et non de rechercher l’identité d’une personne à son insu grâce à sa photographie ou à ses empreintes. En effet, l’entrée dans le fichier ne peut s’opérer qu’à partir des données nominatives, qui permettent ensuite d'accéder aux empreintes ou à la photographie afin de vérifier l’identité du demandeur. Mais cela ne fonctionne pas en sens inverse : il est impossible d’effectuer une recherche à partir des données biométriques !

 Compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, le Conseil d'Etat a conclu qu'il n’était pas interdit au Gouvernement, s’il le croit opportun, d’emprunter la voie législative: il n'en a rien été et l'exécutif a fait fi de cette recommandation de bon sens.

En 1974, le projet Safari était de la même eau, il a été heureusement enterré car créant une véritable "chasse aux français" et a permis de déboucher dans la foulée sur la création de la CNIL.

Lire l'avis du Conseil d’État du 23 février 2016 sur le traitement informatique relatif aux cartes nationales d’identité et aux passeports

 

D’ici la fin mars, toutes les demandes de cartes nationales d'identité présentées en métropole seront donc encadrées par les prescriptions du décret instaurant le fichier TES selon le calendrier suivant:


DATE D'APPLICATION

DÉPARTEMENTS

21 février 2017

Paris.

22 février 2017

Val d'Oise.

23 février 2017

Hauts-de-Seine.

28 février 2017

Essonne, Seine-et-Marne, Seine-Saint-Denis, Val-de-Marne.

1er mars 2017

Loire-Atlantique, Maine-et-Loire, Mayenne, Sarthe, Vendée.

2 mars 2017

Calvados, Cher, Eure, Eure-et-Loir, Indre, Indre-et-Loire, Loir-et-Cher, Loiret, Manche, Orne, Seine-Maritime.

7 mars 2017

Ariège, Aude, Aveyron, Gers, Gard, Haute-Garonne, Hérault, Lot, Lozère, Hautes-Pyrénées, Pyrénées-Orientales, Tarn, Tarn-et-Garonne.

8 mars 2017

Alpes-de-Haute-Provence, Hautes-Alpes, Alpes-Maritimes, Bouches-du-Rhône, Corse-du-Sud, Haute-Corse, Var, Vaucluse.

14 mars 2017

Aisne, Nord, Oise, Pas-de-Calais, Somme.

15 mars 2017

Charente, Charente-Maritime, Corrèze, Creuse, Deux-Sèvres, Dordogne, Gironde, Landes, Lot-et-Garonne, Pyrénées-Atlantiques, Vienne, Haute-Vienne.

21 mars 2017

Ain, Allier, Ardèche, Cantal, Drôme, Isère, Loire, Haute-Loire, Puy-de-Dôme, Rhône, Savoie, Haute-Savoie.

22 mars 2017

Côte-d'Or, Doubs, Jura, Nièvre, Haute-Saône, Saône-et-Loire, Territoire de Belfort, Yonne.

28 mars 2017

Ardennes, Aube, Marne, Haute-Marne, Meurthe-et-Moselle, Meuse, Moselle, Bas-Rhin, Haut-Rhin, Vosges.

 

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
13 février 2017 1 13 /02 /février /2017 06:00

Votre vie privée vaut-elle une robe ? Avec une nouvelle application qui conçoit des robes sur-mesure en utilisant vos données personnelles et en allant encore plus loin dans l'espionnage intime, la question est posée.

Google vient en effet de conclure un partenariat avec Ivyrevel, l’enseigne numérique du groupe H&M.

Dans le cadre de ce nouveau projet nommé "Coded Couture", Google et le géant suédois de la mode utilisent une application Android utilisant Awareness API créé par la firme de Mountain View afin de recueillir les données personnelles de ses utilisatrices pour créer des robes sur mesure spécialement pour elles.

Awareness API a été l’une des plus grandes annonces faites lors du Google I/O de 2016: il s'agit d'une base unique pour accéder via votre smartphone aux données recueillies par le dispositif avec votre accord, liées à l’emplacement et à l’utilisation de ce dernier.

Sept catégories de données sont ainsi prises en compte : activité, balises, casque, emplacement, lieux, horaires, ainsi que les conditions météorologiques. Google précise que l’API offrira une durée de vie de batterie améliorée pour l’appareil en raison de la conservation des données.

C'est donc cette technologie très invasive qui est utilisée pour ce projet "Coded Couture" afin de recueillir vos données personnelles avec votre permission et vous vendre ensuite une robe sur mesure, la data dress !

Awareness API va fournir à l’application Coded Couture toutes les informations concernant votre localisation, vos activités quotidiennes comme quand et où vous mangez, le temps qu’il fait, la région où vous vivez, à quel moment vous vous rendez au travail, quand vous sortez avec des amis, et bien plus encore.

Toutes les données recueillies pourront être consultées dans l’application d’Ivyrevel. afin de  sortir la robe sur mesure qui conviendra à vos besoins.

Il suffira ensuite de spécifier l’occasion (déjeuner d’affaires, fête de charité, bal du bâtonnier…) pour laquelle vous souhaitez porter une robe ou toute autre tenue; et sur la base de vos activités, emplacement et autres informations, la "data robe" idéale sera définie selon l’ensemble de ces données personnalisées.

Toutes ces informations sont ensuite compilées et analysées par l'application qui s'en inspirera pour imaginer la plus adaptée des tenues, en l'occurrence des robes, mises en vente par cette même application, à partir de 99 dollars, soit environ 93 euros.

Alors prêtes pour la robe parfaite, au détriment de votre vie privée ?

Cette affaire a le mérite de rappeler que les objets connectés sont de vilains gourmands avides de données personnelles

Une récente affaire a défrayé la chronique et était liée à des sextoys capables de recueillir des données précises (date et durée d’utilisation, modes et vitesses de vibrations activés, température des composants internes, etc.) et de les envoyer directement à son fabricant canadien ( Données intimes collectées par un sextoy)

Il faut donc bien réfléchir avant de livrer en pâture ses précieuses données personnelles et de s'assurer des règles de transparence prévues pour protéger la vie privée des utilisateurs. 

 

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
10 février 2017 5 10 /02 /février /2017 08:07

Dans une décision du 8 février 2017, le Conseil d’Etat bloque le dispositif de flicage publicitaire de JCDecaux qui souhaitait pister les téléphones des passants.

JC Decaux, spécialiste du mobilier urbain, souhaitait ni plus ni moins collecter les identifiants des téléphones portables des personnes passant à côté de ses panneaux publicitaires à La Défense !

Confirmant une décision de la CNIL, le Conseil d’Etat interdit cette nouvelle velléité de traque des données personnelles et d'intrusion dans la vie privée des usagers, en mettant un point final à cette affaire

La CNIL avait été sollicitée le 4 février 2015 par JCDecaux pour mettre en place une expérimentation de quatre semaines sur la dalle de la Défense d'un dispositif permettant de quantifier les flux de piétons

Il s'agissait d'installer sur ses panneaux publicitaires des boîtiers Wi-Fi capables de capter les adresses MAC de tous les appareils mobiles dans un rayon de 25 mètres.

L’entreprise comptait aussi utiliser ce dispositif permettant d’identifier un appareil pour localiser la position géographique exacte des passants et enregistrer ainsi la façon dont ils se déplaçaient sur le site de la Défense.

La CNIL  refuse cette autorisation le 16 juillet 2015 estimant que ce dispositif n’était pas conforme à la loi du 6 janvier 1978, aux termes d'une délibération notamment motivée par l'insuffisante anonymisation des données collectées et le caractère déloyal de la collecte.

Ayant contesté cette décision auprès du Conseil d’Etat, JCDecaux est pareillement retoquée puisque la Haute juridiction administrative a confirmé la position de la CNIL : 

« La société JCDecaux France n’est pas fondée à demander l’annulation de la délibération qu’elle attaque. Par voie de conséquence, elle n’est pas fondée à demander qu’il soit enjoint à la CNIL de lui délivrer l’autorisation sollicitée. »
 


 

Repost 0
Published by thierry vallat - dans NTIC Droit numérique
commenter cet article
2 février 2017 4 02 /02 /février /2017 07:05

Le Conseil d’Etat a examiné ce 2 février 2017 à 14h en Assemblée du contentieux la légalité de 4 refus opposés par la CNIL à des déréférencements sur le moteur Google.

C'est toute la question de l'application du droit à l'oubli sur internet.

Il convient en effet de déterminer lesquelles des dispositions de la directive n° 95/46/CE du 24 octobre 1995, transposée par la loi n° 78-17 du 6 janvier 1978, sont applicables au moteur de recherche dans le cadre du droit au déréférencement dégagé par la Cour de justice de l’Union européenne dans son arrêt Google Spain SL and Google Inc. v Agencia Española de Protección de Datos and Mario Costeja González du 13 mai 2014 (C-131/12),

C'est ainsi que quatre requérants ont saisi le Conseil d'Etat: 

1° Sous le numéro 391000,  Mme C… demande au Conseil d’Etat d’annuler pour excès de pouvoir la décision du 24 avril 2015 par laquelle la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a clôturé sa plainte enregistrée le 25 septembre 2014 tendant au déréférencement d’un lien menant vers une vidéo publiée sur le site internet Youtube, dans les résultats obtenus à la suite d’une recherche effectuée à partir de son nom sur le moteur de recherche de la société Google Inc..

2° Sous le numéro 393769, M.  T… demande au Conseil d’Etat d’annuler pour excès de pouvoir la décision du 28 août 2015 par laquelle la présidente de la CNIL a clôturé sa plainte, enregistrée le 22 décembre 2014, tendant au déréférencement de liens menant vers un article du quotidien Libération et vers le site du Centre contre les manipulations mentales (CCMM) dans les résultats obtenus à la suite d’une recherche effectuée à partir de son nom sur le moteur de recherche de la société Google Inc..

3° Sous le numéro 399999, M. C… demande au Conseil d’Etat :

  • 1) d’annuler pour excès de pouvoir la décision du 21 mars 2016 par laquelle la présidente de la CNIL a clôturé sa plainte du 18 janvier 2016 tendant au déréférencement de plusieurs liens obtenus à la suite d’une recherche effectuée à partir de son nom sur le moteur de recherche de la société Google Inc. ;
  • 2) d’enjoindre à la CNIL d’intervenir auprès de la société Google Inc. pour qu’elle déréférence les adresses URL litigieuses.

4° Sous le numéro 401258, M. D… demande au Conseil d’Etat d’annuler pour excès de pouvoir la décision du 9 mai 2016 par laquelle la présidente de la CNIL a clôturé sa plainte en date du 17 septembre 2014 tendant au déréférencement de deux liens, vers des articles publiés par les quotidiens Nice Matin et le Figaro, dans les résultats obtenus à la suite d’une recherche effectuée à partir de son nom sur le moteur de recherche de la société Google Inc..

Dans ces quatre litiges, les requérants ont demandé à la société Google Inc. de déréférencer des liens menant vers des pages web en réponse aux requêtes faites sur le moteur de recherche à partir de leur nom.

Ils ont ensuite demandé à la CNIL d’enjoindre à la société Google Inc. de procéder à ce déréférencement.

Quelle légalité pour ces refus opposés par la CNIL et quelle interprétation des dispositions des Directives faut-il faire ? Tel est le sens de ce important contentieux qui déterminera la suite des  demandes de déréférencements et du droit à l'oubli en France.

Lors de l'audience, la rapporteure publique Aurélie Bretonneau a proposé de solliciter la justice européenne quant à un « mode d’emploi » du droit au déréférencement. Elle a donc demandé à ce que soit transmise à la CJUE plusieurs questions préjudicielles, afin d’éclaircir la question.

Le Conseil d'Etat qui est libre de suivre ou non son rapporteur devrait donc logiquement surseoir à statuer et renvoyer le mistigri à la Cour européenne pour qu'elle explicite le mode opératoire.
 
 L'issue de ce débat sera d'autant plus importante que la Cour suprème du Japon vient de donner raison à Google le 31 janvier 2017, en privilégiant le droit à l'information sur le droit à l'oubli (lire http://mashable.com/2017/02/01/google-right-to-be-forgotten-japan/#xW4hTteq3Oqg )

Retrouvez également l'article sur le  Droit à l'oubli numérique et déréférencement et  l'Interview de Me Thierry Vallat sur BFMTV sur le droit à l'oubli

(Source: Conseil d'Etat)

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
30 janvier 2017 1 30 /01 /janvier /2017 07:20

Alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données, la CNIL a adopté le 19 janvier 2017 une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière. Elle met également des outils pratiques à disposition des professionnels et des particuliers.

Bien que ce moyen d’authentification soit de plus en plus critiqué et mis à l’épreuve, le mot de passe reste LE sésame pour accéder à la plupart des services numériques.

Le développement des usages du numérique impose aux utilisateurs une gestion toujours plus complexe de multiples comptes et de mots de passes. Une gestion non organisée de ces mots de passe fait courir des risques aux utilisateurs sur ses données personnelles :

  1. l’utilisation du même mot de passe pour accéder à différents services peut compromettre les comptes sensibles, notamment l’adresse de messagerie principale ;
  2. la tendance à partager ses mots de passe augmente les risques d’usurpation d’identité ;
  3. la tendance à créer des mots de passe en rapport avec soi  (date de naissance, prénom des enfants, nom de son entreprise, etc.) les rend plus vulnérables, notamment dans un contexte où il est facile de récupérer des informations sur les personnes en ligne (ingénierie sociale) ;
  4. la difficulté à mémoriser un mot de passe trop long incite à définir des mots de passe trop simples, quelques caractères, souvent des mots usuels, ou à les écrire sur support papier.

Pourtant, de nombreux utilisateurs ne sont pas informés des pratiques élémentaires de sécurité et de gestion de ces secrets, alors que le nombre de comptes et la sensibilité des informations qu’ils protègent ne cessent de croître.

 

En 2016, on a assisté à la multiplication des attaques informatiques, parfois spectaculaires, qui ont notamment entraîné la compromission de bases de données entières de comptes et des mots de passe associés.

Ces attaques ont eu pour conséquence de rendre publics de nombreux mots de passe. Ils ont permis aux attaquants de mettre au jour les modalités de création des mots de passe et les moyens mnémotechniques utilisés par les personnes.

Les principales plateformes ont renforcé la sécurité de leurs dispositifs d’authentification, en complétant l’authentification par mot de passe par des dispositifs de sécurité complémentaires (double authentification via un code mobile, blocage du compte au bout de X tentatives).

Toutefois, il suffit qu’une seule plateforme soit défaillante en termes de sécurité (par exemple, en cas de vol massif de données d’authentification) pour qu’elle fasse courir un risque de sécurité à l’ensemble de l’écosystème numérique : les comptes, notamment les « webmails » (gestionnaires de courrier en ligne), dont le mot de passe a été découvert, compromettent en cascade l’ensemble des services auxquels les personnes sont inscrites.

Dans ce contexte, il apparaît  indispensable de fixer un niveau de sécurité minimum en la matière.

La CNIL a donc adopté une recommandation relative aux mots de passe, qui permet aux professionnels comme aux particuliers de connaître les conditions minimales pour respecter l’obligation de sécurité posée par la loi.

Dans le cadre de ses missions de contrôle, la CNIL analyse régulièrement les dispositifs d’authentification mis en œuvre par des responsables de traitements.

Afin de prendre en compte les contraintes de l’état de l’art, la CNIL a par ailleurs consulté différents acteurs de la sécurité, ainsi que l’ensemble des autorités de protection des données européennes.

Ces constats et ces échanges ont incité la CNIL à prescrire des mesures minimales et pragmatiques, en se basant sur les pratiques d’authentification en vigueur sur les principales plateformes en ligne. Cette recommandation n’exclut pas que d’autres mesures soient mises en œuvre en fonction des risques spécifiques qui pourraient être identifiés.

Ainsi, la longueur et la complexité du mot de passe varient en fonction des autres mesures de sécurité mises en œuvre pour l’authentification (temporisation d’accès au compte, double authentification, matériel détenu en propre par la personne).

La recommandation de la CNIL couvre quatre aspects de la gestion de mots de passe auxquels sont associées des menaces récurrentes bien identifiées :

  • la création du mot de passe ;
  • l’authentification
  • la conservation ;
  • et le renouvellement

La CNIL vous informe également des mesures de sécurité élémentaires

Retrouvez la Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe

(Source:  Les conseils de la CNIL pour un bon mot de passe )

(crédits illustration: Martin VIdberg pour CNIL)

 

 

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
3 janvier 2017 2 03 /01 /janvier /2017 14:08

Vous êtes adeptes des sites de rencontre en ligne ? Accros à Meetic ou Attractive World?

Quelque chose me dit que votre intimité n'est pas si bien respectée que ça sur ces sites pourtant alimentés de données très personnelles !

Alors attention à vos précieuses données et remerciez la CNIL

En effet, à la suite de contrôles effectués auprès de 13 sites de rencontre ayant révélé de nombreux manquements à la loi Informatique et Libertés, notamment sur les informations sensibles fournies par leurs clients, la Présidente de la CNIL a mis le 24 juin 2015 en demeure huit acteurs majeurs du secteur.

De plus en plus de Français se rendent sur les sites de rencontre. La plupart de ces sites offrent à leurs utilisateurs une recherche de partenaires très ciblée : par communauté sociale, ethnique ou religieuse, par localisation géographique, en fonction de l’apparence physique, des pratiques sexuelles ou des opinions politiques, etc.

Le nombre important des utilisateurs ainsi que la quantité des données traitées et leur sensibilité ont conduit la CNIL à inscrire les sites de rencontre dans son programme annuel des contrôles pour 2014.

A la suite de contrôles effectués en 2014 auprès de plusieurs sociétés gérant des sites de rencontres, la CNIL a relevé plusieurs manquements importants à la loi « Informatique et Libertés ». La Présidente de la CNIL a alors adopté, le 24 juin 2015, des mises en demeure publiques à l’encontre des sites de rencontres contrôlés, dont les sociétés Samadhi et Meetic SAS. Ces mises en demeure enjoignaient notamment aux sociétés de recueillir le consentement exprès des personnes lors de la collecte des données « sensibles » qui concernent par exemple la vie sexuelle, les opinions religieuses ou les origines ethniques (lire notre article  Comment protéger votre intimité )

La formation restreinte de la CNIL a finalement prononcé le 29 décembre 2016 une sanction publique de 10.000 € à l’encontre du site Attractive World et de 20.000 € à l’encontre de la société Meetic en raison du traitement de données sensibles sans consentement exprès des utilisateurs. 

En effet, les sociétés Samadhi (Attractive World) et Meetic SAS ayant adressé à la CNIL des réponses partielles ou insatisfaisantes sur ce point, la Présidente de la CNIL a désigné un rapporteur afin que soient engagées des procédures de sanction à leur encontre.

La formation restreinte de la CNIL, saisie de ces dossiers, a estimé que les deux sociétés ne recueillaient pas le consentement exprès des utilisateurs au traitement de leurs données sensibles. En effet, les utilisateurs souhaitant s’inscrire aux sites devaient – en une seule fois - accepter les conditions générales d’utilisation, attester de leur majorité et consentir au traitement des données sensibles. Or, la formation restreinte rappelle que la loi impose que les internautes aient conscience de la protection attachée à ces données particulières dont le traitement est normalement interdit. La seule inscription au site de rencontre ne peut valoir accord exprès des personnes au traitement de telles données qui révèlent des éléments de leur intimité.

Les sociétés concernées ont finalement proposé des modifications afin de recueillir le consentement exprès des personnes concernées (mise en place d’une case dédiée). Toutefois, ces modifications sont intervenues au-delà du délai imparti par les mises en demeure.

En raison de la sensibilité des données et du nombre de personnes concernées par les sites en cause, la formation restreinte a également décidé de rendre publiques les sanctions prononcées.

Enfin, compte tenu des circonstances de l’espèce et des situations propres à chacune des sociétés en cause, la formation restreinte a considéré qu’un montant de sanction différent était approprié. 

Repost 0
Published by thierry vallat - dans NTIC Droit numérique
commenter cet article
23 décembre 2016 5 23 /12 /décembre /2016 13:39

Vous vous rendez aux USA: vous devez divulguer désormais si vous avez des comptes Facebook ou Twitter aux autorités d'immigration !

C'est en effet mis en place dans la plus grande discrétion depuis le 20 décembre 2016: les ressortissants des pays exemptés de visa qui souhaitent se rendre aux USA sont invités, à titre facultatif pour le moment, à indiquer leur présence sur les réseaux sociaux dans le formulaire de demande d’ESTA (Electronic System for Travel Authorization (lire  US government starts asking foreign visitors for their Facebook, Twitter )

C'est par le biais d'une liste déroulante des plateformes auxquelles l’utilisateur peut associer son compte personnel comme Twitter, Instagram,  Facebook, Twitter ou LinkedIn, que cette nouvelle atteinte caractérisée au secret de notre vie privée est allègrement franchie par l'administration américaine !

Ce n'est cependant pas une surprise que les Services de Douane américains (DHS) souhaitent accéder à vos informations de présence sur les réseaux sociaux (voir notre article du 27 juin 2016  Vos identifiants de présence en ligne sur les réseaux sociaux bientôt )

Une proposition de loi avait en effet été déposée en ce sens le 23 juin 2016 afin que les formulaires d’entrée et sortie aux Etats-Unis (ESTA et formulaires I-94 et I-94 W) comportent un renseignement supplémentaire pour signaler ses comptes dans les réseaux sociaux, avec les noms ou pseudonymes correspondants.

La nouvelle question est la suivante: "Please enter information associated with your online presence—Provider/Platform—Social media identifier.” que l'on peut traduire par "veuillez indiquer les renseignements relatifs à votre presence en ligne - identifiants"

La motivation de cette demande fort intrusive dans nos données personnelles émanant de l'U.S. Customs and Border Protection (CBP): il faut que le Département de la sécurité intérieure (DHS) dont elle est une des composantes puisse avoir davantage de visibilité sur une éventuelle activité nuisible et des connexions.

Il ne s'agit cependant, à ce stade, que d'une indication "optionnelle", dont on imagine aisément que le refus ne faciliterait pas l'entrée aux Etats-Unis...Il faudra sans doute faire preuve de persuasion pour expliquer au gabelou étatsunien pourquoi vous avez refusé de donner votre compte twitter !

On apprend à cette occasion que le coût annuel total des formulaires ESTA, I-94 et I-94 W serait de 300 millions de dollars.

Ou comment justifier un amortissement au détriment de la vie privée des voyageurs déjà mise à rude épreuve avec le fichier PNR européen dans les tuyaux (lire: Mise en place d'un fichier PNR européen et lutte contre le terrorisme ..)

Retrouvez la proposition déposée auprès du registre fédéral US: https://www.federalregister.gov/articles/2016/06/23/2016-14848/agency-information-collection-activities-arrival-and-departure-record-forms-i-94-and-i-94w-and#addresses

 

Vos comptes Twitter ou Facebook doivent être déclarés sur option depuis le 20 décembre aux autorités douanières avant d'entrer aux USA
Vos comptes Twitter ou Facebook doivent être déclarés sur option depuis le 20 décembre aux autorités douanières avant d'entrer aux USA
Repost 0
Published by thierry vallat - dans NTIC Lutte contre le terrorisme
commenter cet article
22 décembre 2016 4 22 /12 /décembre /2016 03:47

Dans un arrêt très important rendu le 21 décembre 2016, la Cour de Justice de l'Union Européenne précise que les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques

Aux termes de cette décision dans les affaires jointes C-203/15 Tele2 Sverige AB/ Post-och telestyrelsen et C-698/15 Secretary of State for the Home Department/Tom Watson e.a , la CJUE nous indique que droit de l’Union s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

Pour la Cour, il est cependant loisible aux États membres de prévoir, à titre préventif, une conservation ciblée de ces données dans le seul but de lutter contre la criminalité grave, à condition qu’une telle conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire.

L’accès des autorités nationales aux données conservées doit donc être soumis à des conditions, dont notamment un contrôle préalable par une autorité indépendante et la conservation des données sur le territoire de l’Union.

Chaque législateur doit donc opter pour une conservation "ciblée", sous certaines conditions, notamment la destruction des données au terme de la durée de leur conservation. L'IP bill anglais par exemple est donc désormais hors la loi !  

Retrouvez le communiqué de presse de la CJUE du 21 décembre 2016:http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-12/cp160145fr.pdf

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
2 décembre 2016 5 02 /12 /décembre /2016 06:00

Existe-t-il un droit à l’Internet privé au travail ?

La Grande Chambre de la Cour européenne des droits de l’homme (CEDH) a tenu à ce sujet ce mercredi 30 novembre 2016 une importante audience dans l’affaire Bărbulescu c. Roumanie (requête n° 61496/08) (Retransmission de l'audience)

L’affaire concerne le licenciement d'un ressortissant roumain par son employeur pour avoir utilisé à des fins personnelles, et pendant les heures de travail, les comptes internet de la société au mépris du règlement de celle-ci. 

Dans son arrêt de chambre du 12 janvier 2016 la Cour européenne des droits de l’homme avait conclu, par six voix contre une, à la non-violation de l’article 8 de la Convention, jugeant que les juridictions internes avaient ménagé un juste équilibre entre le droit du requérant au respect de sa vie privée et de sa correspondance en vertu de l’article 8 et les intérêts de son employeur. Elle avait estimé en particulier que si la vie privée et la correspondance du salarié avaient été mises en jeu, la surveillance de ses communications par son employeur avait été raisonnable dans le contexte d’une procédure disciplinaire (voir notre article du 13 janvier 2016: La surveillance de l'utilisation de comptes internet par un employé)

La Grande chambre avait été saisie le 16 juin 2016 et le délibéré sera prononcé à une date ultérieure non encore fixée.

La question est donc de savoir si l'employeur peut surveiller les échanges internet de son salarié sur son temps de travail. Il s'agit d'une question. Elle est jugée « très importante » par les syndicats européens, qui appellent à la « protection des travailleurs à l’ère numérique ».

Rappelons qu'en France d'une part les courriels adressés par le salarié grâce à l’outil informatique mis à sa disposition par l’employeur sont présumés avoir un caractère professionnel. (Ch. soc. 16 mai 2013 n°12-11866) et que d'autre part la Chambre sociale de la Cour de cassation, par exemple dans un arrêt du 26 février 2013 (n°11-27372), affirme constamment qu’une utilisation abusive d’internet pour des raisons personnelles pendant les heures de travail était constitutive d’une faute grave, justifiant un licenciement

J'ai été interrogé par LCI sur le sujet le 30 novembre 2016 .Retrouvez le point sur la règlementation en la matière en France dans l'article http://www.lci.fr/societe/vie-privee-au-travail-votre-employeur-a-t-il-le-droit-de-surveiller-ce-que-vous-faites-sur-internet-2015021.html

Repost 0
29 novembre 2016 2 29 /11 /novembre /2016 05:59

Quand le futur dystopique imaginé par Black Mirror est déjà présent en 2016.

Dans le premier épisode de la troisième saison (Nosedive) de cette captivante série d'anticipation américaine, chacun est noté avec des étoiles: ça vous rappelle forcément quelque chose.

Uber bien sur, et ses chauffeurs que l'on note d'une à cinq étoiles en fonction de la qualité de la course (et qui vous notent en retour).

Sur le mode inauguré par Trip Advisor, voilà en effet la notation en ligne pour tout et n'importe quoi.

Vient par exemple d'être lancée dans certains arrondissements parisiens une nouvelle application dénommée "Doyouno" qui se veut être la première application de recommandation des services de proximité. Elle se targue de pouvoir vous permettre de trouver les meilleurs professionnels et artisans près de chez vous.

A en croire leur site (http://doyouno-app.andro.io/fr ): "Vous pourrez y trouver tous les métiers qui nécessitent une recommandation, tels que Médecins, Baby-sitter, coiffeur, vétérinaire, plombier, serrurier, peintre, boucher, boulanger, etc.

Vous avez besoin d’un bon serrurier, d’un bon médecin, d’un bon bricoleur ?Vous pouvez désormais choisir les meilleurs pros de votre quartier en comparant les notes et avis de la communauté. Chacun d’entre vous peut partager ses bonnes et mauvaises expériences, permettant ainsi à toute la communauté d’en profiter." 

Et d'ouvrir également la voie à toutes les dérives bien entendu pour dénigrer ses concurrents ou s'auto congratuler en s'adressant des louanges pro domo.

Attention donc aux commentaires dénigrants:  un internaute a ainsi été condamné en octobre 2015 à 2500 euros d’amende, et 5000 euros de frais, pour avoir rédigé un commentaire faux et malveillant visant un restaurant du groupe Bernard-Loiseau à Dijon comme le rappelle Le Bien public

Le 30 juin 2014 le tribunal de grande instance de Bordeaux avait également  condamné en référé la blogueuse L'Irrégulière à 1500 euros à titre de provision sur dommages et intérêts, ainsi que 1000 euros de frais de procédure, en raison d'une critique jugée insultante-retirée depuis- du restaurant Il Giardino au Cap Ferret qu'elle avait publiée sur son blog

Dans un autre style, certaines LegalTechs comme AvoStart ou avocat.net se sont crues autorisées également à vouloir instaurer un système de notation des...avocats !  

La Cour d'appel de Paris a  pourtant rappelé dans un arrêt du 18 décembre 2015 que la pratique de cette notation des avocats, par les internautes, selon ses desiderata qui correspondent à ses propres critères, est contraire à la déontologie et porte atteinte à l’intérêt collectif de la profession.(http://cnb.avocat.fr/La-Cour-d-appel-de-Paris-alourdit-les-sanctions-contre-le-site-avocat-net--interdit-le-systeme-de-notation-des-avocats_a2507.html )

Il faut reconnaitre que nombre de sites de notations n’informent même pas les professionnels de la collecte et du traitement de leurs données !

On se souviendra à cet égard de l'affaire "Note2be" dans laquelle il était proposé à des étudiants de noter leurs professeurs ! Un syndicat d’enseignement avait obtenu en référé la suspension des pages des données personnelles des enseignants. La cour d’appel de Paris, dans son arrêt rendu le 25 juin 2008, avait confirmé et sanctionné la société Note2be.com sur le fondement de la loi du 6 janvier 1978 considérant que « n’importe qui peut « noter » un professeur, sans qu’un système ne limite cette possibilité aux seuls élèves ayant le professeur concerné comme enseignant", les données du site litigieux n'étant dans ces conditions "manifestement pas collectées de façon loyale, et ne présentent aucune garantie tant sur leur pertinence que sur leur caractère adéquat" (Cour d'appel de Paris 14ème chambre, section A Arrêt du 25 juin 2008)

La notation se généralise donc, et après les professionnels, voici que même les êtres humains de votre entourage sont désormais évalués !

En effet, après une année d'existence, l'application polémique Peeple est toujours téléchargeable sur les plateformes, certes édulcorée et encore peu populaire, mais elle existe.

Rappelons que ce Yelp ! d'un genre nouveau permet depuis novembre 2015 de noter... des gens.

Imaginée par deux Américaines, Peeple permet d'attribuer à des personnes (ses amis, les membres de sa famille, le livreur de pizza ou son voisin) des commentaires positifs ou négatifs et un nombre d'étoiles, correspondant à une "note".

Le projet avait été dès son origine fort décrié, poussant ses créatrices à revoir leur copie en l'adoucissant.

Son lancement a été avancé de novembre au 12 octobre 2015, et surtout, les principes de l'application ont été modifiés.

L'appli envisageait initialement notamment de pouvoir noter les gens à partir de leur simple numéro de téléphone et de leur créer un profil sans leur consentement, ce qui n'a finalement pas été retenu.

Devant le tollé suscité par l'application, et dans une déclaration publiée sur LinkedIn, Julia Cordray sa créatrice a effectué un rétropédalage radical en faisant désormais passer Peeple pour une invention "positive". 

Chacun devra donner son autorisation pour que les avis le concernant soient publiés et les commentaires "négatifs" ont été abolis de la plate-forme.

Ainsi peut-on aujourd'hui allégrement continuer à noter ses voisins et amis via cette application, la frénésie de notation ne semblant pas devoir se tarir.

La licéité des applications de notation demeure cependant très problématique et Il est désormais plus que recommandé d'être très vigilant sur ses données et profils, et de veiller à préserver sa E-réputation: une mauvaise note est vite arrivée. Nous aurons l'occasion de revenir sur le sujet

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
17 novembre 2016 4 17 /11 /novembre /2016 14:36

L’organisation, par un ou plusieurs partis politiques, d’une consultation ouverte à l’ensemble des électeurs (dite « primaire ouverte »), pour désigner un candidat en vue d’élections, suscite des questions particulières en termes de protection des données. 

La CNIL s'est donc légitimement penchée sur les fichiers constitués dans le cadre de ces primaires, dont celle de la Droite et du Centre qui se tiennent dès dimanche 20 novembre 2016 et le dimanche 27 novembre suivant, ainsi que celle de la Gauche les 22 et 29 janvier 2017

Le terme de «primaire ouverte» est utilisé lorsque d’autres personnes que les seuls membres du parti organisateur, voire l’ensemble des électeurs, peuvent y participer. 

La sensibilité des informations collectées et traitées à cette occasion est évidemment amplifiée par le nombre d’électeurs appelés à participer à cette consultation (le corps électoral est estimé à environ 45 millions d’électeurs).

Ces opérations impliquent :

  • la constitution de fichiers spécifiques (comme les listes des participants et des électeurs potentiels ou une liste de « sympathisants » souhaitant être recontactés par les partis organisateurs) ;
  • la collecte et le traitement d'importants volumes de données personnelles susceptibles de faire apparaître les opinions politiques des participants (nom, prénom, adresse, date de naissance, numéro de téléphone, adresse électronique de l'électeur, expression de l’opinion).
  1. La constitution du corps électoral

Les candidats et partis politiques peuvent notamment utiliser les listes électorales pour organiser une consultation des électeurs dans le cadre d’une élection primaire.

La liste électorale étant librement communicable en vertu du code électoral, son utilisation n’est pas subordonnée au recueil du consentement de chaque électeur ou à son information, celui-ci ne pouvant pas davantage s’opposer à cette transmission.

Le parti organisateur agrège les listes électorales pour constituer la liste informatisée des participants potentiels à cette consultation (le fichier des électeurs). Il procède à un découpage de cette liste par lieux de vote. Chaque bureau de vote reçoit la liste des électeurs de son bureau , afin de constituer la liste d’émargement.

Des mesures de sécurité adaptées doivent être mises en œuvre  pour préserver la confidentialité des données :

  • lors de la constitution du fichier des électeurs,
  • lors de leur transmission aux bureaux de vote et durant l’intégralité de leur période d’utilisation.

Tout électeur peut par ailleurs s’opposer à figurer sur le fichier des électeurs avant même l’agrégation des listes électorales. L’exercice de cette opposition peut être exercé sur place et facilité  par la mise en ligne d’un formulaire spécifique.

  1. L’organisation du vote

Le jour du vote, les électeurs signent sur des supports distincts :

  • éventuellement, leur adhésion à la « charte des valeurs »  fixées par les organisateurs ;
  • la liste d’émargement qui acte leur participation au vote.

Afin de se prémunir de la constitution d’un fichier faisant apparaître, directement ou indirectement, les opinions politiques (soutien à tel parti ou orientation vers telle direction) ou philosophiques (adhésion à certaines valeurs, par exemple) de l’ensemble des électeurs nationaux, la participation au vote et l’adhésion à la « charte des valeurs » ne peuvent pas faire l’objet d’un enregistrement dans le fichier des électeurs, constitué à partir des listes électorales.

Les participants peuvent donner leur consentement à être contactés par le parti organisateur sur un support de collecte spécifique, distinct de la liste d’émargement. Le parti politique organisateur constitue ainsi un « fichier des sympathisants » qu’il pourra utiliser, dès la proclamation des résultats de la primaire, à des fins de prospection politique.

Exemple de mention d’information à insérer sur le formulaire de collecte présenté lors de la primaire :
« En nous fournissant vos coordonnées, vous autorisez le parti organisateur à vous contacter pendant et, si vous le souhaitez, après l’élection [préciser le type de scrutin]. Ces informations nous permettront de vous tenir informé jusqu’à la proclamation officielle des résultats de [élection concernée]. Vous pouvez exercer vos droits d’accès, de rectification et de suppression à l’adresse postale ou électronique suivante : [coordonnées postales ou/et électroniques du parti]. »

  1. Entre les deux tours

Entre les deux tours, ainsi qu'entre la fin du second tour et l'investiture officielle du candidat désigné, les formations politiques organisatrices doivent assurer un haut niveau de sécurité et de confidentialité, notamment

  • protéger l'accès informatique au fichier des électeurs ; 
  • stocker de façon sécurisée les listes d'émargement et tout autre fichier constitué dans le cadre du scrutin.

Le fichier des sympathisants constitué au premier tour ne peut pas être utilisé par les candidats à la primaire.

  1. La proclamation des résultats du vote

A la proclamation des résultats et à l’issue de l’investiture du candidat officiel, le parti politique organisateur procède à la destruction :

  • Du fichier des électeurs ayant servi à constituer le corps électoral ;
  • Eventuellement, du ou des fichiers des personnes ayant adhéré à la  charte des valeurs».
  • Des listes d’émargement utilisées par les bureaux de vote ;

Le parti peut conserver le « fichier des sympathisants », constitué des personnes ayant consenti à devenir « contacts réguliers » du parti.

  1. Durant la campagne présidentielle

Le « fichier des sympathisants » constitué à l’occasion des primaires peut être utilisé par le candidat à des fins de prospection politique.

Les personnes ont toutefois la possibilité de s’opposer à tout moment à recevoir de nouvelles sollicitations, et peuvent demander  à ne plus figurer dans ce fichier

(Source: CNIL)

La CNIL se penche sur les fichiers constitués dans le cadre des primaires ouvertes
Repost 0
Published by thierry vallat - dans NTIC Droit numérique
commenter cet article
28 octobre 2016 5 28 /10 /octobre /2016 06:20

La CNIL annonce le 27 octobre 2016 engager une procédure pour sanctionner le Parti socialiste pour ne pas avoir détecté un grave manquement en matière de sécurité informatique sur son site,.

Cette faille a permis une fuite de données personnelles de plus de 10.000 de ses adhérents.

Le 26 mai 2016, la CNIL a été informée de l’existence d’une faille de sécurité entraînant une fuite de données sur le site du Parti Socialiste. Lors d’un contrôle en ligne réalisé dès le lendemain, la CNIL a constaté que les mesures garantissant la sécurité et la confidentialité des données des primo-adhérents du PS étaient insuffisantes.

Les contrôleurs de la CNIL ont en effet pu accéder librement, par la saisie d’une URL, à la plateforme de suivi des primo-adhésions au Parti Socialiste effectuées en ligne. Ils ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, adresse IP, moyen de paiement et montant de la cotisation de certains adhérents.

Cette faille avait été rendue possible par l’utilisation d’une technique non sécurisée d’authentification à la plateforme. Elle a concerné plusieurs dizaines de milliers de primo-adhérents.

Alerté le même jour par la CNIL de cette faille, le PS a immédiatement pris les mesures nécessaires pour y mettre fin.

Un second contrôle réalisé cette fois dans les locaux du PS le 15 juin 2016, destiné à comprendre les raisons de la faille, a permis de constater que les mesures élémentaires de sécurité n’avaient pas été mises en œuvre initialement. En effet, il n’existait pas de procédure d’authentification forte au site ni de système de traçabilité permettant notamment d’identifier l’éventuelle exploitation malveillante de la faille.

Le contrôle a aussi permis de constater que le PS conservait sans limitation de durée les données personnelles de la plateforme, ce qui avait accru la portée de la fuite de données. La base active contenait des demandes d’adhésion effectuées depuis 2010 qui auraient dû a minima être stockées en archive.

En conséquence, la Présidente de la CNIL a décidé d’engager une procédure de sanction en désignant un rapporteur. La formation restreinte de la CNIL a prononcé le 13 octobre 2016 un avertissement public car elle a estimé que le Parti Socialiste avait manqué à ses obligations :

Enfin, la formation restreinte a décidé de rendre publique sa décision le 27 octobre 2016 en raison de la gravité des manquements constatés, du nombre de personnes concernées par la faille et du caractère particulièrement sensible des données en cause qui permettaient notamment d’avoir connaissance de leurs opinions politiques.

Retrouvez la Délibération de la formation restreinte n°2016-315 du 13 octobre 2016 prononçant un avertissement à l'encontre du PARTI SOCIALISTE

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
20 octobre 2016 4 20 /10 /octobre /2016 06:55

L’exploitant d’un site Internet peut avoir un intérêt légitime à conserver certaines données à caractère personnel des visiteurs afin de se défendre contre les attaques cybernétiques: tel est le sens de l'Arrêt de la Cour de Justice de l'Union européeenne du 19 octobre 2016 dans l'affaire n°C-582/14 Patrick Breyer contre Bundesrepublik Deutschland

 

Et autre point intéressant dans cette décision, nous savons désormais que pour la CJUE l’adresse de protocole internet dynamique d’un visiteur constitue, pour l’exploitant du site, une donnée à caractère personnel, lorsque cet exploitant dispose de moyens légaux lui permettant de faire identifier le visiteur concerné grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet du visiteur.

M. Patrick Breyer s’opposait devant les juridictions allemandes à ce que les sites Internet des services fédéraux allemands qu’il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP ») . Ces services enregistrent et conservent, outre la date et l’heure de la consultation, les adresses IP des visiteurs afin de se prémunir contre des attaques cybernétiques et de rendre possibles les poursuites pénales.

Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) avait alors saisi la Cour de justice pour savoir si, dans ce contexte, les adresses IP « dynamiques » constituent elles aussi, à l’égard de l’exploitant du site Internet, une donnée à caractère personnel et bénéficient ainsi de la protection prévue pour de telles données. Une adresse IP dynamique est une adresse IP qui change lors de chaque nouvelle connexion à Internet. À la différence des adresses IP statiques, les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Ainsi, seul le fournisseur d’accès à Internet de M. Breyer dispose des informations supplémentaires nécessaires pour l’identifier.

Par ailleurs, le Bundesgerichtshof cherchait à savoir si l’exploitant d’un site Internet doit, au moins en principe, avoir la possibilité de collecter et d’utiliser ultérieurement les données à caractère personnel des visiteurs afin de garantir la capacité générale de fonctionnement de son site. Il observe à cet égard que la majorité de la doctrine allemande interprète la réglementation allemande en la matière en ce sens que ces données doivent être effacées à la fin de la session de consultation à moins qu’elles ne soient requises à des fins de facturation.

Par son arrêt du 19 octobre 2016 la Cour répond tout d’abord qu’une adresse IP dynamique enregistrée par un « fournisseur de services de médias en ligne » (c’est-à-dire par l’exploitant d’un site Internet, en l’occurrence les services fédéraux allemands) lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel ( Au sens de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31) , lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier.

La Cour relève à cet égard qu’il semble exister en Allemagne des voies légales permettant au fournisseur de services de médias en ligne de s’adresser, notamment en cas d’attaques cybernétiques, à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et déclencher par la suite des poursuites pénales.

En second lieu, la Cour répond que le droit de l’Union s’oppose à une réglementation d’un État membre en vertu de laquelle, en l’absence du consentement du visiteur, un fournisseur de services de médias en ligne ne peut collecter et utiliser les données à caractère personnel du visiteur que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète des services par ce visiteur, sans que l’objectif visant à garantir la capacité générale de fonctionnement de ces services puisse justifier l’utilisation des données après une session de consultation de ceux-ci.

La Cour rappelle que, selon le droit de l’Union, le traitement de données à caractère personnel est licite, entre autres, s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

La réglementation allemande, telle qu’interprétée majoritairement par la doctrine, réduit la portée de ce principe, en excluant que l’objectif de garantir la capacité générale de fonctionnement du média en ligne puisse faire l’objet d’une pondération avec l’intérêt ou les droits et libertés fondamentaux des visiteurs.

Dans ce contexte, la Cour souligne que les services fédéraux allemands qui fournissent des services de médias en ligne pourraient avoir un intérêt légitime à garantir, au-delà de chaque utilisation concrète de leurs sites Internet accessibles au public, la continuité du fonctionnement de leurs sites.

 En résumé, pour cette décision du 19 octobre 2016:

- L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.

- L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.

Retrouvez l'arrêt Breyer de la CJUE du 19 octobre 2016: http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d58e5f40beca054bb0ae2fe5de75dd6a02.e34KaxiLc3qMb40Rch0SaxyKax50?text=&docid=184668&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=1404507

 

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
29 septembre 2016 4 29 /09 /septembre /2016 00:13

Avec le développement de l’Internet et des réseaux sociaux, les données mises en ligne par les internautes connaissent un fort développement, mais chaque site ou réseau social disposait jusqu'alors d'une totale liberté de traitement de la mort numérique.

La gestion de ces données après la mort soulève en effet des difficultés, les héritiers n’en ayant pas nécessairement connaissance et ne pouvant y avoir accès. S’agissant de données à caractère personnel, celles-ci sont attachées à la personne du défunt et ne peuvent être transmises par voie de succession aux héritiers.

La Cnil a identifié par exemple qu'un profil sur 100 sur Facebook est celui d'une personne décédée.

La loi pour une République numérique votée le 28 septembre 2016 permet désormais à toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès: un véritable testament numérique

La personne pourra transmettre des directives sur le sort de ses données à caractère personnel à la CNIL ou à un responsable de traitement et pourra désigner une personne chargée de leur exécution.

Par ailleurs, les fournisseurs de services sur Internet devront informer l’utilisateur du sort de ces données à son décès et lui permettre de choisir de les transmettre ou non à un tiers qu’il désigne.

C'est donc l'article 63 de la loi numérique qui dispose:

" Article 63:

I. – La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :

1° L’article 40 est ainsi modifié :

a) Au début du premier alinéa, est ajoutée la mention : « I. – » ;

b) Après le cinquième alinéa, il est inséré un II ainsi rédigé :

« II. – Sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de services de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu’il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

« En cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

« Les deux premiers alinéas du présent II ne s’appliquent pas lorsque le traitement de données à caractère personnel est nécessaire :

« 1° Pour exercer le droit à la liberté d’expression et d’information ;

« 2° Pour respecter une obligation légale qui requiert le traitement de ces données ou pour exercer une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

« 3° Pour des motifs d’intérêt public dans le domaine de la santé publique ;

« 4° À des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit mentionné au présent II est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;

« 5° À la constatation, à l’exercice ou à la défense de droits en justice. » ;

c) Les deux derniers alinéas sont supprimés ;

2° Après l’article 40, il est inséré un article 40-1 ainsi rédigé :

« Art. 40-1. – I. – Les droits ouverts à la présente section s’éteignent au décès de leur titulaire. Toutefois, ils peuvent être provisoirement maintenus conformément aux II et III suivants.

« II. – Toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières.

« Les directives générales concernent l’ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d’un tiers de confiance numérique certifié par la Commission nationale de l’informatique et des libertés.

« Les références des directives générales et le tiers de confiance auprès duquel elles sont enregistrées sont inscrites dans un registre unique dont les modalités et l’accès sont fixés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

« Les directives particulières concernent les traitements de données à caractère personnel mentionnées par ces directives. Elles sont enregistrées auprès des responsables de traitement concernés. Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation.

« Les directives générales et particulières définissent la manière dont la personne entend que soient exercés, après son décès, les droits mentionnés à la présente section. Le respect de ces directives est sans préjudice des dispositions applicables aux archives publiques comportant des données à caractère personnel.

« Lorsque les directives prévoient la communication de données qui comportent également des données à caractère personnel relatives à des tiers, cette communication s’effectue dans le respect de la présente loi.

« La personne peut modifier ou révoquer ses directives à tout moment.

« Les directives mentionnées au premier alinéa du présent II peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. À défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés.

« Toute clause contractuelle des conditions générales d’utilisation d’un traitement portant sur des données à caractère personnel limitant les prérogatives reconnues à la personne en vertu du présent article est réputée non écrite.

« III. – En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section dans la mesure nécessaire :

« – à l’organisation et au règlement de la succession du défunt. À ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ;

« – à la prise en compte, par les responsables de traitement, de son décès. À ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour.

« Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en application du troisième alinéa du présent III.

« Les désaccords entre héritiers sur l’exercice des droits prévus au présent III sont portés devant le tribunal de grande instance compétent.

« IV. – Tout prestataire d’un service de communication au public en ligne informe l’utilisateur du sort des données qui le concernent à son décès et lui permet de choisir de communiquer ou non ses données à un tiers qu’il désigne. » ;

3° Le 6° du I de l’article 32 est complété par les mots : « dont celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort » ;

4° Au premier alinéa de l’article 67, les références : « 39, 40 et » sont remplacées par les mots : « et 39, le I de l’article 40 et les articles »."

Retrouvez la loi pour une République numérique, adoptée par le Sénat le 28 septembre 2016 , TA n° 185

Pour plus de détails sur le testament numérique , n'hésitez pas à prendre contact avec notre Cabinet

Repost 0
Published by thierry vallat - dans Droit numérique NTIC
commenter cet article
28 septembre 2016 3 28 /09 /septembre /2016 07:44
Le contrôle d’accès biométrique sur les lieux de travail modifié par la CNIL

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le nouveau règlement européen sur la protection des données.

En Droit du travail: l'utilisation de données biométriques et d'empreintes fait ainsi l'objet d'attentions toutes particulières de la Commission nationale Informatique et Liberté (CNIL)

Le 30 juin 2016, la CNIL a adopté deux autorisations uniques qui refondent en profondeur l’encadrement des dispositifs de contrôle d’accès biométrique sur les lieux de travail qui viennent seulement de faire l'objet d'une publication au Journal officiel du 27 septembre 2016.

La biométrie : qu'est-ce que c'est ?

La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même la démarche). A titre d’illustration, le contrôle d'accès par reconnaissance de l’empreinte digitale fonctionne de la manière suivante :

  • un échantillon biométrique de référence ou « gabarit » créé à partir de l’image de l’empreinte et ne retenant que les points distinctifs des sillons digitaux est enregistré ;
  • ce gabarit de référence est comparé au doigt posé sur le lecteur biométrique, lors du contrôle d’accès.

Des traitements de données sensibles

La biométrie est aujourd’hui intégrée à de nombreux actes de la vie quotidienne nécessitant une authentification des personnes. Dans un contexte professionnel, il peut s’agir du contrôle d’accès à des locaux, à des ordinateurs, ou à des applications. La biométrie est souvent présentée dans ces cas comme une alternative plus ergonomique et plus fiable que le port de badges encombrants et que l’on peut oublier.

Or, les données biométriques permettent de reconnaitre automatiquement les personnes et reposent sur une réalité biologique permanente, dont elles ne peuvent s’affranchir.

A la différence d’un badge ou d’un mot de passe, il n’est pas possible de se défaire d’une caractéristique biométrique ou de la modifier. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves pour les droits et libertés des personnes.

Le cadre légal

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et sont soumis à l’autorisation préalable de la CNIL (article 25).

Afin de simplifier la procédure, la Commission a allégé les formalités pour certains dispositifs, en définissant un cadre de référence : l’autorisation unique. Quand un organisme met en œuvre un dispositif biométrique qui répond aux exigences définies par une autorisation unique, il peut effectuer une déclaration simplifiée, qui l'engage au respect des conditions définies dans ce texte.

La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

Cas particulier :
les dispositifs biométriques mis en œuvre par l’Etat pour authentifier ou contrôler l’identité des personnes relèvent d’un avis préalable de la CNIL sur un décret (article 27-I-2°).

La doctrine de la CNIL

Depuis plusieurs années, de nombreux outils se sont développés pour permettre de capter et de reproduire les caractéristiques physiques des personnes, aisément et à bas coût. L’effacement des frontières entre biométrie « à trace » et « sans trace » ces dernières années a conduit la CNIL à revoir sa doctrine.

Aujourd’hui, toutes les caractéristiques biométriques laissent des traces et peuvent présenter des risques élevés pour les personnes concernées.

ANTICIPER LE RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES

Les traitements de données, notamment biométriques, devront être en conformité avec le règlement européen d’ici mai 2018. A cette date, les dispositifs biométriques ne seront plus soumis à l’autorisation préalable de la CNIL.

Les organismes qui mettent en oeuvre ces dispositifs devront en revanche :

  • documenter les différentes caractéristiques de leurs traitements
  • être en mesure de démontrer leur proportionnalité
  • respecter les principes de protection des données par défaut et dès la conception
  • réaliser une analyse d’impact relative à la protection des données, si leur traitement biométrique est réalisé à grande échelle.

Ces nouvelles exigences sont intégrées dans les autorisations uniques AU-052 et AU-053.

Mesures transitoires

Les autorisations uniques AU-007, AU-008, AU-019, AU-027 sont abrogées.

Les responsables du traitement qui avaient effectué un engagement de conformité à ces autorisations uniques doivent vérifier si leur traitement répond aux exigences des nouvelles autorisations uniques AU-052 ou AU-053.

  • Si oui : un engagement de conformité à l'une de ces nouvelles autorisations peut être réalisé ;
  • Si non : ils disposent d’un délai de deux ans pour se mettre en conformité

Attention : à l’issue du délai de 2 ans, le règlement européen sera applicable.

La vérification des obligations imposées par les nouvelles autorisations uniques pourront être effectuées à tout moment par la CNIL dans le cadre de contrôles.

Autorisations uniques biométrie

> AU-052 - Biométrie : Contrôle d’accès sur les lieux de travail avec maîtrise de la personne sur son gabarit

> AU-053 - Biométrie : Contrôle d’accès sur les lieux de travail, avec conservation des gabarits biométrique en base

(Source: CNIL

Retrouvez également

Repost 0

Présentation

  • : Le blog de Thierry Vallat, avocat au Barreau de Paris (et sur Twitter: @MeThierryVallat)
  • Le blog de Thierry Vallat, avocat au Barreau de Paris (et sur Twitter: @MeThierryVallat)
  • : Blog d'actualités juridiques par Maître Thierry Vallat, avocat au Barreau de Paris (33 01 56 67 09 59) cabinet secondaire à Tallinn ISSN 2496-0837
  • Contact

Le Cabinet Thierry Vallat

  0018-BAS-SAT.jpg     

Cabinet Thierry Vallat

50, avenue de la Grande Armée 75017 Paris (cabinet secondaire Pikk 41- 10123 Tallinn)

Tel: 33(0)1.56.67.09.59

mail: thierry.vallat@gmail.com

Activités principales: Droit du travail, droit fiscal, immobilier et copropriété, droit pénal des affaires, banque et contentieux commercial, droit numérique et des robots

Recherche

Dans les médias récemment

BFMTV du 10 février 2017: itw sur les caméras piétons de la police municipale http://www.bfmtv.com/police-justice/cameras-pietons-pour-policiers-un-systeme-anti-violence-et-anti-bavure-1100293.html

France24 du 9 février 2017: itw sur le Parquet national financier http://www.france24.com/fr/20170209-avocats-francois-fillon-penelope-pnf-parquet-national-financier-dessaisir-justice

Croix du 7 février 2017: itw sur la compétence du Parquet national financier sur l'affaire Fillon http://www.la-croix.com/France/Politique/Le-parquet-national-financier-competent-dans-laffaire-Fillon-2017-02-07-1200823089?utm_medium=Social&utm_campaign=Echobox&utm_source=Twitter&utm_term=Autofeed#/link_time=1486475997

Le Monde du 6 février 2017 itw sur le phishing ou le hameçonnage http://www.lemonde.fr/argent/article/2017/02/06/hameconnage-la-banque-doit-vous-rembourser-si-elle-ne-peut-prouver-votre-negligence_5075315_1657007.html

Libération du 27 janvier 2017 itw sur le sexisme et la modération sur Facebook http://www.liberation.fr/france/2017/01/27/pourquoi-des-feministes-denoncent-la-moderation-de-facebook_1543436

France Soir du 25 janvier 2017 sur les emplois fictifs http://www.francesoir.fr/politique-france/emplois-fictifs-d%C3%A9finition-quelle-peine-encourue-risques-penelope-fillon-fran%C3%A7ois-loi-droit-jurisprudence-thierry-vallat-avocat

Radio Méditerranée Internationale Interview du 23 janvier 2017 sur les vignettes anti-pollution 

Sputnik News du 20 janvier 2017 interview sur le soft power de Facebook https://fr.sputniknews.com/france/201701201029689183-facebook-france-startup/

France Soir du 18 janvier 2017 sur la responsabilité d'EDF en cas de coupures http://www.francesoir.fr/lifestyle-vie-quotidienne/vague-de-froid-quelle-responsabilite-pour-edf-fournisseurs-en-cas-de-coupures-de-courant-electricit%C3%A9-thierry-vallat-droits-lois

Slate du 18 janvier 2017 sur le harcèlement à domicile http://www.slate.fr/story/134768/services-aboli-frontieres-intime

France Soir du 17 janvier 2017: décryptage de l'affaire Buffy Mars http://www.francesoir.fr/societe-faits-divers/sms-de-drague-quelles-sanctions-pour-le-technicien-orange-et-les-harceleurs-de-buffy-mars-harcelement-twitter-facebook-texto

BFMTV du 17 janvier 2017 interview sur la gifle à Manuel Valls et ses conséquences http://www.bfmtv.com/police-justice/manuel-vals-gifle-que-risque-le-jeune-homme-interpelle-1083960.html

Le Parisien du 17 janvier 2017 sur l'affaire Buffy Mars http://www.leparisien.fr/laparisienne/societe/harcelement-une-blogueuse-denonce-puis-se-fait-harceler-sur-twitter-17-01-2017-6579348.php#xtor=AD-1481423553

Le Figaro du 13 janvier 2017 interview sur le fichage illégal des bénévoles de la Croix-Rouge http://www.lefigaro.fr/actualite-france/2017/01/13/01016-20170113ARTFIG00351-quand-la-croix-rouge-fichait-ses-benevoles-en-secret.php

Le Parisien du 7 janvier 2017 interview sur la fermeture du site Babylon 2.0 http://www.leparisien.fr/societe/sur-facebook-babylone-2-0-enfin-ferme-le-groupe-partageait-des-photos-volees-de-femmes-nues-07-01-2017-6538266.php

Neon Mag du 6 janvier 2017 interview sur les groupes Babylon 2.0 et le revengeporn http://www.neonmag.fr/babylone-2-0-le-groupe-facebook-secret-qui-diffuse-des-photos-volees-de-femmes-nues-482095.html

LCI du 28 décembre 2016 interview sur les caméras pour les policiers municipaux http://www.lci.fr/societe/cameras-sur-les-policiers-municipaux-et-les-agents-de-securite-sncf-et-ratp-vous-avez-ete-filme-voici-ce-que-dit-la-loi-2019176.html

Village de la justice du 28 décembre 2016 sur la résurrection numérique et le droit à l'image http://www.village-justice.com/articles/Resurrection-numerique-quelle-legalite-exploitation-image-artiste-mort,23852.html

Sputnik news du 21 décembre 2016 sur le rachat de WhatsApp par Facebook https://fr.sputniknews.com/points_de_vue/201612211029289418-facebook-mensonge-bruxelles/

C8 du 14 décembre 2016 sur la règlementation des drones http://www.c8.fr/c8-docs-mags/pid8478-c8-focus.html

LCI du 30 novembre 2016 sur la surveillance des échanges internet par l'employeur http://www.lci.fr/societe/vie-privee-au-travail-votre-employeur-a-t-il-le-droit-de-surveiller-ce-que-vous-faites-sur-internet-2015021.html

Weka du 16 novembre 2016 sur le rétablissement de l'autorisation de sortie de territoire pour les mineurs http://www.weka.fr/actualite/administration/article/lautorisation-de-sortie-du-territoire-pour-les-mineurs-non-accompagnes-redevient-obligatoire-a-partir-du-15-janvier-2017-44552/

Gameblog du 1er novembre 2016 sur le cadre légal des agressions sexuelles virtuelles http://www.gameblog.fr/news/63348-agressee-sexuellement-en-realite-virtuelle-elle-raconte-son-

Konbini du 21 octobre 2016: interview sur le Cyber-harcèlement http://www.konbini.com/fr/tendances-2/cyberharcelement-marre-etre-victime/

Lexbase Ed Professions du 29 septembre 2016 sur le devoir de conseil des avocats

RTS du 29 septembre 2016: itw sur les actions en justice contre Pokemon Go

Vice News du 20 septembre 2016: que risque l'auteur d'une fausse attaque terroriste ? https://news.vice.com/fr/article/que-risque-lauteur-dune-fausse-alerte-terroriste

BFMTv du 19 septembre 2016: débat sur le swatting http://www.bfmtv.com/mediaplayer/video/fausse-alerte-terroriste-un-adolescent-a-ete-arrete-dans-la-marne-865457.html

L'Express du 12 septembre 2016 sur l'affaire Morandini http://www.lexpress.fr/actualite/medias/jean-marc-morandini-veut-etre-entendu-rapidement-par-la-justice_1829584.html

Sputnik News du 9 septembre 2016 débat sur les nouvelles technologies https://soundcloud.com/sputnik_fr/lancement-de-liphone-7-est-ce-que-la-technologie-nous-sauvera-dun-avenir-dystopique-ou-en-creera-t-elle-un

RMC du 8 septembre 2016: débat sur la lutte contre le sexisme http://rmc.bfmtv.com/mediaplayer/aud

BFMTV du 24 août 2016: interview sur les dangers de PokémonGo au bureau http://www.bfmtv.com/societe/jouer-a-pokemon-go-au-bureau-peut-s-averer-risque-1029223.html

France 3 du 12 août 2016 sur l'affaire Take Eat Easy http://france3-regions.francetvinfo.fr/paris-ile-de-france/paris/paris-la-fronde-des-livreurs-de-repas-velo-1064893.html

Europe 1 du 12 août 2016: interview sur le dossier Take Eat Easy http://www.europe1.fr/emissions/europe-1-bonjour/europe-bonjour-julia-martin-120816-2818891

La Croix du 10 août 2016 sur la requalification des contrats des coursiers à vélo http://www.la-croix.com/Economie/Social/Les-livreurs-de-repas-a-velo-se-rebellent-2016-08-10-1200781385

France Inter du 3 août 216 sur les problèmes juridiques posés par l'appli Périscope https://www.franceinter.fr/emissions/le-debat-de-midi/le-debat-de-midi-03-aout-2016

BFMTV du 28 juillet 2016 sur le harcelement sexuel et le travail dissimulé http://www.bfmtv.com/mediaplayer/video/trois-plaintes-deposees-contre-jean-marc-morandini-846243.html

Les Inrocks du 20 juillet 2016: suite de l'affaire Morandini http://abonnes.lesinrocks.com/2016/07/19/actualite/enquete-pratiques-de-jean-marc-morandini-suite-11854401/

Rue89 L'Obs du 15 juillet 2016 sur la diffusion de contenus choquants sur internet http://rue89.nouvelobs.com/2016/07/15/nice-risquez-si-partagez-photos-victimes-264651

FranceTVInfo du 14 juillet 2016: interview sur l'affaire Morandini http://www.francetvinfo.fr/economie/medias/morandini/affaire-morandini-c-est-du-harcelement-caracterise-affirme-l-avocat-des-acteurs-des-faucons_1546669.html

Les Inrocks du 13 juillet 2016 sur les pratiques de la société de production de JM Morandini http://abonnes.lesinrocks.com/2016/07/12/actualite/enquete-pratiques-de-jean-marc-morandini-11852954/

Sputnik News du 11 juillet 2016 sur le droit à la déconnexion http://Thierry Vallat: Il faudra une charte détaillée qui indique ... - SoundCloud 

Radio Canada du 6 juillet 2016 Interview sur la condamnation de Lionel Messi pour fraude fiscale 

Sputnik News du 5 juillet 2016 sur les déclaration de Manuel Valls sur le dumping social et la directive de 1996 https://soundcloud.com/sputnik_fr/me-thierry-vallat-ca-me-semble-audacieux-de-dire-quon-nappliquerait-pas-la-directive?utm_source=soundcloud&utm_campaign=share&utm_medium=facebook

Slate du 1er juillet 2016 sur Serge Aurier et l'appli Periscope http://www.slate.fr/story/120325/serge-aurier-periscope-paye

Le Journal du Management n°52 (juillet-août 2016): fiscalité des bitcoins et cryptomonnaies http://fr.calameo.com/read/000000178209f1e043d9b

L'Opinion du 15 juin 2016 interview sur les conséquences juridiques du Jasta http://www.lopinion.fr/edition/international/terrorisme-en-voulant-punir-l-arabie-saoudite-senat-americain-provoque-104741?utm_source=twitter&utm_medium=social&utm_content=content&utm_campaign=cm

La Croix du 16 mai 2016 interview sur le litige entre Uber t l'Urssaf sur le statutd des chauffeurs http://www.la-croix.com/Economie/Social/Pour-l-Urssaf-le-chauffeur-Uber-est-un-salarie-2016-05-16-1200760509

Public Sénat du 13 mai sur les dangers de Périscope http://www.publicsenat.fr/lcp/politique/periscope-l-application-sans-limites-1347939

La Croix du 12 mai 2016 interview sur l'appli Periscope http://www.la-croix.com/France/Periscope-questions-apres-drame-2016-05-12-1200759614?utm_medium=Social&utm_source=Twitter&utm_campaign=Echobox&utm_term=Autofeed#/link_time=1463066713

Sputnik News du 10 mai 2016: interview sur le soutien des avocats français à leurs confrères turcs emprisonnés https://soundcloud.com/sputnik_fr/thierry-vallat-lordre-des-avocats-francais-est-solidaire-des-confreres-turcs-arretes

Public Sénat le 14 avril 2016: débat du sur le fichier PNR

20 MInutes du 14 avril 2016: un employeur qui demande un changement de prénom légal ou pas ? http://www.20minutes.fr/economie/1826595-20160414-employeur-demande-salarie-changer-prenom-legal

RMC du 25 mars 2016: interview de jean-Jacques Bourdin sur le fichier PNR http://www.thierryvallatavocat.com/2016/03/mise-en-place-d-un-fichier-pnr-europeen-et-lutte-contre-le-terrorisme-me-thierry-vallat-interroge-sur-rmc-le-25-mars-2016.html

Le Monde du 22 mars 2016: Peut-on être licencié pour utiliser les réseaux sociaux au travail http://www.lemonde.fr/emploi/article/2016/03/22/peut-on-etre-licencie-pour-utiliser-les-reseaux-sociaux-a-titre-personnel-au-travail_4888193_1698637.html

Sputniknews du 11 mars 2016 sur le jugement américan condamnant l'Iran à indeminiser les victimes du 11 septembre https://fr.sputniknews.com/points_de_vue/201603111023300130-iran-usa-11-septembre/

BFM Business du 3 mars 2016 sur l'usage de twitter au travail http://bfmbusiness.bfmtv.com/emploi/tweeter-4-fois-par-jour-au-travail-n-est-pas-un-motif-de-licenciement-957155.html

Ouest France du 25 février 2016 Interdiction du vapotage dans les lieux publics http://www.ouest-france.fr/sante/addictions/tabac/vapotage-linterdiction-recommandee-dans-tous-les-lieux-publics-4056069

Sputniknews du 25 février 2016 sur l'amende fiscale de 1,6 milliard d'€ infligée à Google http://fr.sputniknews.com/points_de_vue/20160226/1022747386/france-google-impots.html#ixzz41XeliIC6

Le Parisien du 21 février 2016 sur le sextorsion http://www.leparisien.fr/faits-divers/les-sextorsions-envahissent-le-net-21-02-2016-5565269.php#xtor=AD-1481423553

Sputnik news du 18 février 2016 sur la légalité du blocage de sites internet http://fr.sputniknews.com/points_de_vue/20160218/1021896666/france-internet-blocage.html

Lexbase (n°641 du 28 janvier 2016): nom de domaine des avocats et art 10.5 du RIN http://images.lexbase.fr/sst/N0913BWQ.pdf

L'Humanité du 12 janvier 2016: le cadre légal du Esport  http://www.humanite.fr/loi-numerique-laddiction-portee-de-clic-595184

Village de Justice du 29 décembre 2015: La France se dote d'une nouvelle règlementation sur les drones civilshttp://www.village-justice.com/articles/France-dote-une-nouvelle,21130.html

La Tribune du 17 décembre 2015 sur l'indemnisation des victimes d'attentat http://www.latribune.fr/economie/france/attentats-de-paris-l-indemnisation-des-victimes-atteindrait-300-millions-d-euros-536831.html

D8 interview pour le magazine "En quête d'actualité" du 16 décembre 2015 : la règlementation des drones http://www.d8.tv/d8-docs-mags/pid5198-d8-en-quete-d-actualite.html?vid=1342386

Lexbase (n°636 du 10 décembre 2015): précisions sur la consultation des pièces pendant la garde à vue http://images.lexbase.fr/sst/N0227BWC.pdf

Village de la Justice du 23 novembre 2015: le droit de l'Esport dans le projet de loi numérique http://www.village-justice.com/articles/droit-sport-dans-Projet-Loi,20900.html

RT France du 10 novembre 2015: arrêt CEDH Dieudonné https://francais.rt.com/france/10045-cour-europeenne-droits-lhomme-rejette

Radio Orient: débat du 5 novembre 2015 sur la réforme du droit du travail http://www.radioorient.com/live/?tab=podcast&id=27826

Lexbase du 15 octobre 2015 sur la fragilisation des droits de la defense pendant la grève des avocats http://images.lexbase.fr/sst/N9379BUW.pdf

L'Express du 2 octobre 2015 sur les amendes pour jets de mégots sur la voie publique: http://votreargent.lexpress.fr/consommation/paris-est-elle-la-seule-ville-concernee-par-l-amende-pour-jet-de-megot_1721944.html

Lexbase du 17 septembre 2015 sur les perquisitions en cabinet d'avocats et l'arrêt CEDH Sérvulo c/Portugal http://www.presentation.lexbase.fr/sites/default/files/actualites/fichiers/lj_625.pdf

Archimag n°287 de septembre 2015: neutralité et loyauté des plateformes numériques http://Numéro 287 : Démat des factures : passage à l'acte

Vice News du 31 août 2015 sur les soupçons de chantage dans l'affaire Eic Laurent/Roi du Maroc https://news.vice.com/fr/article/les-deux-journalistes-francais-accuses-davoir-fait-chanter-le-roi-du-maroc-ont-donne-leur-version-des-faits

Village de la Justice du 21 août 2015: pour un véritable droit au renvoi d'audience http://www.village-justice.com/articles/Pour-veritable-droit-renvoi,20261.html

Version Fémina du 6 juillet 2015 sur les sanctions pour abandon de détritus sur la voie publiques

Lexbase du 2 juillet 2015 sur les honoraires de postulation 

France Info: interview du 10 juin 2015 sur l'interdiction de l'appli Gossip https://www.youtube.com/watch?v=o14NjTYrVVk

Sud Radio: débat du 4 juin 2015 sur portable et harcelement scolaire http://www.sudradio.fr/Podcasts/Seul-contre-tous/Gossip-il-faut-interdire-le-portable-avant-la-fin-du-lycee

L'Obs du 4 juin 2015 sur les drones de l'info

Libération du 3 juin 2015 sur l'application Gossip http://www.liberation.fr/societe/2015/06/03/gossip-l-appli-accusee-de-favoriser-le-harcelement_1322045

Europe 1 Interview du 2 juin 2015 sur le cyber harcèlement http://www.europe1.fr/societe/gossip-lapplication-dans-le-viseur-des-associations-1350076#utm_source=dlvr.it&utm_medium=twitter

Weka du 18 mai 2015: Pollution de l'air procdure d'infraction de la Commission Européenne contre la France http://www.weka.fr/actualite/developpement-durable/article/pollution-lair-particules-fines-procedure-dinfraction-commission-europeenne-contre-france/

La Tribune du 23 avril 2015: "2 ans après le Rana Plaza" interview sur le devoir de vigilance et responsabilité sociétale des entreprises  http://www.latribune.fr/edition-quotidienne/23-04-2015/focus/commerce-ce-que-le-rana-plaza-a-change-1447.html#enrichments_article

Lexbase (n°608 du 9 avril 2015): vers l'élaboration d'un véritable droit des drones http://images.lexbase.fr/sst/N6841BUW.pdf

Metronews du 23 mars 2015: interview sur les poursuites pénales contre les bénéficiaires d'un bug informatique dans une station service http://www.metronews.fr/info/bug-dans-une-station-service-de-l-herault-les-clients-m-insultaient-et-me-bousculaient-pour-pouvoir-faire-le-plein-a-5-euros/mocw!FhNku0n2vQraE/

Expoprotection du 16 mars 2015: "les employeurs condamnés à prévenir le burn-out" http://www.expoprotection.com/?IdNode=1571&Zoom=1fbf527b7549e1ea4635c97e6f06fcc0&Lang=FR

Europe 1: interview du 11 mars 2015 sur le swatting et les risques pénaux encourus http://www.europe1.fr/societe/swatting-que-risquent-les-auteurs-de-ces-canulars-made-in-usa-2396671

Weka du 9 mars 2015 "contrats de génération: un décret du 3 mars 2015 en facilite l'accès" http://www.weka.fr/actualite/emploi/article/contrats-generation-decret-du-3-mars-2015-en-facilite-lacces/

Vice News du 7 mars 2015: interview sur le jugement Facebook du 5 mars 2015 https://news.vice.com/fr/article/facebook-courbet-justice-francaise

LCI (6 mars 2015): interview sur le sexisme au travail http://videos.tf1.fr/infos/2015/le-sexisme-au-travail-redoutable-instrument-d-exclusion-8575434.html

Lexbase (n°603 du 5 mars 2015): braconniers du droit ou plate-forme juridique légale les enseignements du jugement avocat.net http://presentation.lexbase.fr/sites/default/files/actualites/fichiers/lj_603.pdf

Lexbase (n°601 du 12 février 2015): le droit d'accès de l'avocat au dossier complet de l'information http://www.presentation.lexbase.fr/la-lettre-juridique-ndeg601-du-12-fevrier-2015

Metronews du 10 février 2015: interview sur la fraude fiscale après le swissleaks http://www.metronews.fr/info/swissleaks-hsbc-fraudeurs-fiscaux-voici-les-bons-conseils-du-fisc-pour-vous-en-sortir/mobj!HKyMtcffg25A/ 

Vice News du 6 février 2015: interview sur la violation du secret de l'instruction  https://news.vice.com/fr/article/36-quai-orfevres

Lexbase (n°598 du 22 janvier 2015): "menaces de mort à un avocat" http://www.presentation.lexbase.fr/sites/default/files/actualites/fichiers/lj_598.pdf

ETV (14 janvier 2015): intervention dans le reportage du magazine d'information estonien Pealtnägija sur la contrefaçon http://uudised.err.ee/v/majandus/aee45037-b7f0-4356-9044-7277ab86724f

Le Nouvel Economiste du 9 janvier 2015: "défiscalisation immobilière, aides et conseils" http://www.lenouveleconomiste.fr/dossier-art-de-vivre/defiscalisation-immobiliere-aides-et-conseils-25647/

Weka du 15 décembre 2014:"le sandale des dons de RTT encore interdits de fait aux agents publics" http://www.weka.fr/actualite/rh-publiques-thematique_7849/le-scandale-du-don-de-rtt-encore-interdit-de-fait-aux-agents-publics-article_8628/

Le Figaro du 21 novembre 2014: "Crime organisé le nouveau statut des repentis" http://www.lefigaro.fr/actualite-france/2014/11/21/01016-20141121ARTFIG00436-crime-organise-le-nouveau-statut-du-repenti-en-cinq-questions.php

BFM Business l'Atelier numérique du 8 novembre 2014 débat sur la règlementation des drones civils http://bfmbusiness.bfmtv.com/mediaplayer/audio/bfm-0811-atelier-numerique-17h-18h-119937.html

RMC: interview du 31 octobre 2014 sur le démarchage des avocats

BFM Business émission-débat du 21 octobre 2014 sur la pénibilité au travail http://bit.ly/1wsG7lP

ExpoProtection du 13 octobre 2014: "les 6 décrets sur la pénibilité au travail viennent d'être publiés" http://www.expoprotection.com/site/FR/L_actu_des_risques_professionnels_naturels__industriels/Zoom_article,I1571,Zoom-fed7eb81350aeaa93a0129555ee4db66.htm 

Atlantico.fr (23 septembre 2014): interview sur les fraudes aux aides sociales par les britanniques installés en France http://www.atlantico.fr/decryptage/ces-britanniques-installes-en-france-pour-qui-aventure-tourne-au-cauchemar-pauvrete-voire-fraude-catharine-higginson-thierry-1760330.html#3buYAEZKEpoSO7wJ.01

Le Monde du Droit (9 septembre 2014): "faire et défaire la loi ALUR: quelle cohérence ?") http://www.lemondedudroit.fr/decryptages-profession-avocat/194351-faire-et-defaire-la-loi-alur-quelle-coherence-.html

LCP-Public Sénat ( 28 juin 2014): interview sur l'arrêt Baby Loup du 25 juin 2014 e le principe de laïcité https://www.youtube.com/watch?v=1Lui5Cma1lE

Le Figaro (17 juin 2014): interview sur les exonérations de taxe d'habitation http://www.lefigaro.fr/impots/2014/06/17/05003-20140617ARTFIG00302-taxe-d-habitation-les-exonerations-pourraient-faire-augmenter-les-impots.php

Cahiers Lamy du CE (n°138 de juin 2014): "attaques en règle contre le forfait-jours"http://www.wk-rh.fr/preview/BeDhHlEjDiJnIoHkKoHl/presse/cce/les_cahiers_lamy_du_ce_2014/attaques_en_regle_contre_le_forfait_jours__resistera-t-il_au_temps_qui_passe_

BFM TV (31 mai 2014): interview sur Google et le droit à l'oubli numérique https://www.youtube.com/watch?v=Jzyg0eCldiQ

Cahiers Lamy du CE (n°135 de mars 2014) : « vapoter au bureau : vrai droit ou fumeux détournement de la loi Evin ? »http://www.wk-rh.fr/actualites/detail/74306/vapoter-au-bureau-vrai-droit-ou-fumeux-detournement-de-la-loi-evin-.html

Journal du management juridique (mars 2014) : « Intensification de la lutte contre la fraude fiscale » http://issuu.com/legiteam/docs/jmj39/11?e=1003431/7212830

Cahiers Lamy du CE (n°132 de décembre 2013) :   http://www.wk-rh.fr/actualites/detail/71878/que-reste-t-il-du-repos-dominical-en-2013-l-imbroglio-autour-du-travail-le-dimanche.html

Terrafemina du 29 novembre 2013: ''Qu'est-ce que la notion de légitime défense?''  http://www.terrafemina.com/societe/societe/articles/33862-braqueur-tue-a-sezanne-quest-ce-que-la-notion-de-legitime-defense-.html 

TV News du 16 novembre 2013 "Le travail dominical": http://www.youtube.com/watch?v=ixE3IqtIUls

Metronews du 7 novembre 2013 "Il y a urgence à légiférer sur la géolocalisation des portables":http://www.metronews.fr/info/geolocalisation-des-portables-il-y-a-urgence-a-reflechir-a-une-loi/mmkf!XBe1c5mEcyITs/

Droit-Inc du 7 octobre 2013: "démarchage de clientèle: oui ou non ?" http://www.droit-inc.fr/article10825-Demarchage-de-clientele-Oui-ou-non

Europe 1 le 30 septembre 2013: "Travail le dimanche: quel impact économique" http://www.europe1.fr/Economie/Travail-le-dimanche-quel-impact-economique-1657923/

Revue Fémina du 3 au 9 juin 2013: "Accords emplois: ça change quoi ?

Revue Management (mars 2013): Article dans la revue "Management" de mars 2013: "Les contrats de génération: ce qui va changer"    

 

 

 

Le Cabinet En Images

Catégories