CNIL

https://www.cnil.fr

  • RGPD : se préparer en 6 étapes | CNIL
    https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

    Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL disparaîssent. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.


  • « Le Comité européen de la protection des données a récemment adopté une note d’information sur l’éventualité d’un Brexit sans accord à l’attention des organismes dans l’Union qui transmettent des données personnelles vers le Royaume-Uni.

    La CNIL précise, dans une série de questions-réponses, les recommandations et étapes à suivre pour se préparer au scénario du "No-deal Brexit" [brexit sans accord]. »

    https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil

    #brexit #CNIL #données_personnelles



  • Des animaux assoiffés de liberté
    https://infokiosques.net/spip.php?article1623

    Combien de marches pacifiques avant la « fermeture des abattoirs » ? Combien de pétitions pour mettre fin aux massacres ? Combien de réformes avant que tous les animaux ne soient libres ? Combien de lois pour en finir avec l’expérimentation animale ? En assumant une position antispéciste anarchiste, cette brochure critique les positions réformistes et pro-étatiques de différents courants antispécistes français, et s’attaque également aux principes de domestication et de contrôle humain sur la vie des animaux (y compris quand c’est "pour leur bien").

    #D

    / #Antispécisme,_végétarisme, Infokiosque fantôme (partout), (...)

    #Infokiosque_fantôme_partout_ #Anglais
    https://www.peta.org/about-peta/faq/whats-petas-position-on-the-animal-liberation-front-alf
    https://sansattendre.noblogs.org/post/2018/06/27/lille-france-l214-vole-au-secours-des-bouchers
    https://www.cnil.fr/fr/la-videosurveillance-videoprotection-au-travail
    https://www.lanouvellerepublique.fr/actu/euthanasies-a-la-spa-comment-faire-autrement
    https://www.refugeanimalierdebrax47.com/2014/03/12/chenil-fourri%C3%A8re-de-caubeyre-529-euthanasies
    https://www.lemonde.fr/biodiversite/article/2017/05/10/la-spa-de-pau-suspectee-d-euthanasies-massives-d-animaux_5125588_1652692.htm
    https://www.cahiers-antispecistes.org/sur-le-droit-a-la-vie-des-predateurs
    https://infokiosques.net/IMG/pdf/Des_animaux_assoiffes_de_liberte-cahier.pdf
    https://infokiosques.net/IMG/pdf/Des_animaux_assoiffes_de_liberte-pageparpageA5.pdf
    https://infokiosques.net/IMG/pdf/Animals_thirsting_for_freedom-booklet.pdf
    https://infokiosques.net/IMG/pdf/Animals_thirsting_for_freedom-pageparpage.pdf


  • Profondes modifications sur le fichage génétique - Pénal | Dalloz Actualité
    https://www.dalloz-actualite.fr/flash/profondes-modifications-sur-fichage-genetique

    Sans débat, la commission des lois de l’Assemblée nationale a adopté vendredi 9 novembre un amendement sur le fichage génétique (FNAEG). Outre une modification des règles d’effacement, il élargit les possibilités de recherches en parentalité et supprime la notion d’ADN non codant, verrou d’un fichage génétique selon les caractéristiques des personnes.

    par Pierre Januelle 12 novembre 2018

    La notion d’ADN non codant, supprimée par l’amendement du rapporteur Didier Paris, était centrale à la création du fichier, il y a vingt ans. Face aux risques de fuite de données et d’atteintes aux libertés, il s’agissait de ne pas intégrer de segments d’ADN comprenant d’information biologique sur la personne (maladies, origine ethnique). L’évolution de la génétique a remis en cause cette notion d’ADN inutile. Toutefois, la suppression pure et simple de ce mot modifiera en profondeur la destinée du FNAEG, en permettant d’inclure dans le fichier des éléments d’ADN relatifs à l’apparence ou l’origine des personnes.

    Cette suppression permettra une « adaptation textuelle aux évolutions des nouvelles technologies ». Ce domaine évolue rapidement, la recherche en fonction de portraits robots génétiques (v. Dalloz actualité, 16 juill. 2014, art. C. Fonteix ) ou l’association de profils ADN à des signalements de personnes (deux projets de règlement européen évoquent cette possibilité) étant déjà possibles.

    Par ailleurs, les possibilités de recherches en parentalité (faire correspondre une trace ADN avec celle d’un parent présent dans le FNAEG), actuellement limitées aux parents en ligne directe, sont élargies (v. Dalloz actualité, 17 juill. 2018, art. S. Fucini ). Ce qui étendra fortement le champ des personnes fichées indirectement au FNAEG.

    • « Ce projet sur l’ADN transformerait tous les citoyens en suspects potentiels »
      https://www.nouvelobs.com/justice/20181130.OBS6345/ce-projet-sur-l-adn-transformerait-tous-les-citoyens-en-suspects-potentie

      La Commission nationale de l’informatique et des libertés (#Cnil) s’est émue de cette situation dans un communiqué du 16 novembre, rappelant que « toute modification substantielle de ce fichier doit faire l’objet d’une réflexion approfondie et concertée », de même que l’Observatoire des libertés numériques dans un communiqué du 22 novembre.

      Les réactions publiques ont provoqué la rédaction d’un nouvel amendement devant l’Assemblée nationale, visant à restreindre, dans une rédaction maladroite et inadaptée, la portée du projet initial (n° 1123). Ce texte vient d’être retiré avant son examen, rendant toute sa capacité de nuisance à l’amendement adopté par la commission des lois.

      Les signataires de la présente tribune entendent alerter solennellement l’ensemble des autorités compétentes sur le risque majeur que constitue ce texte et sur la nécessité impérieuse d’y renoncer.

      #FNAEG

    • Données génétiques : les réserves de la CNIL sur l’amendement portant sur l’élargissement du FNAEG | CNIL
      https://www.cnil.fr/fr/donnees-genetiques-les-reserves-de-la-cnil-sur-lamendement-portant-sur-lelargis

      16 novembre 2018

      A la suite d’un amendement au projet de loi de programmation pour la justice relatif au fichier national des empreintes génétiques (FNAEG), adopté en Commission des lois de l’Assemblée nationale, la CNIL tient à alerter sur la nécessité de mesurer précisément les risques induits par l’élargissement des segments d’ADN susceptibles d’être utilisés et de se réinterroger sur la proportionnalité du fichier

      La Commission nationale de l’Informatique et des Libertés a pris connaissance de l’amendement adopté en commission dans le cadre de l’examen du projet de loi de programmation 2019-2022 et de réforme pour la justice visant en particulier à modifier les articles 706-54 et 706‑56‑1‑1 du code de procédure pénale (CPP) relatifs au fichier national des empreintes génétiques (FNAEG).

      Le FNAEG, qui de manière générale sert à faciliter l’identification et la recherche des auteurs d’infractions à l’aide de leur profil génétique, repose en très grande partie sur l’exploitation de segments d’ADN « non codants » (à savoir ceux qui en principe ne permettent pas de reconnaître les caractéristiques génétiques d’un individu, comme son origine ethnique) et dont la liste est fixée par arrêté. 

      Or cet amendement a pour objet d’élargir la possibilité d’identifier une personne via le FNAEG grâce à tout segment d’ADN, codant ou non-codant. Il vise également à étendre le champ des recherches en parentèle susceptibles d’être réalisées à partir de ce fichier.

      Le FNAEG, compte tenu des données très sensibles qui y sont conservées et du nombre de personnes directement concernées (2.9 millions de profils et 480 000 traces non identifiées), a toujours fait l’objet d’une attention particulière tant de la part de la CNIL que des juridictions nationales et européennes. En particulier, la Commission rappelle que, jusqu’à présent, la limitation des possibilités d’identification via les seuls segments non-codants a été précisément regardée comme une garantie essentielle de proportionnalité du fichier. Par ailleurs l’approfondissement du périmètre des recherches en parentèle soulève de nouveaux enjeux. 

      Les mesures envisagées sont dès lors susceptibles d’entraîner des risques graves pour la vie privée et la protection des personnes pouvant être ciblées sur la base de correspondances génétiques partielles ou de similarités morphologiques. Ces risques doivent être précisément mesurés.

      Si des évolutions techniques et scientifiques pourraient conduire à se réinterroger sur le rôle fonctionnel joué le cas échéant par les segments non codants de l’ADN, la CNIL estime en tout état de cause que toute modification substantielle de ce fichier doit faire l’objet d’une réflexion approfondie et concertée.

    • (OLN) Fichage génétique : dérapage incontrôlé | CECIL
      https://www.lececil.org/node/32552

      Communiqué de l’Observatoire des libertés et du numérique (OLN), Paris, le 22 novembre 2018

      En matière de fichage génétique, le projet de loi de programmation de la justice est devenu un dangereux véhicule législatif, roulant à contre-sens vers un fichage généralisé.

      Sans aucune concertation ni débat préalable, un amendement au texte prétend tirer les conséquences de la condamnation de la France par la Cour européenne des droits de l’Homme (CEDH) en juin 2017, qui a jugé le fichage opéré par le fichier national des empreintes génétiques (FNAEG) disproportionné et contraire au droit à la vie privée en raison de la durée excessive de conservation (de 25 à 40 ans) et de l’impossibilité d’effacement pour les personnes condamnées.

      Ce fichier tentaculaire contient aujourd’hui plus de 3,8 millions de traces ADN, résultat des textes et injonctions politiques successifs ayant étendu les possibilités de ficher pour des infractions mineures (plus d’une centaine) des personnes à peine suspectes, sans contrôle préalable du procureur de la République, le refus de prélèvement ADN constituant, enfin, une infraction pénale. Cette alimentation systématique fait que 76 % de personnes fichées sont de simples «  mis en causes  » et qu’on y trouve encore des enfants et des adultes fichés pour des faits mineurs.

      Le gouvernement ayant décidé d’engager la procédure accélérée, le Parlement est sur le point d’adopter des modifications désastreuses.

      Les unes ne modifient pas la nature du fichier : la procédure d’effacement serait raccourcie et ouverte aux personnes fichées, car condamnées, ce qui ne sera d’aucun effet tant que le critère de l’effacement demeure « si la conservation n’apparait plus nécessaire compte tenu de la finalité du fichier ».

      Les autres ouvrent la voie, non plus à une restriction, mais bien à un fichage encore plus massif, et font céder, sans débat, une digue importante.

      L’amendement proposant de ne plus restreindre l’extrait d’ADN prélevé aux seuls segments non codants est présenté comme une évidence scientifique et une nécessité pour s’adapter aux évolutions futures. Or cette exclusion était centrale lors de la création du fichier : ces segments "non codants " devaient permettre, sur la base des connaissances scientifiques de l’époque, d’identifier la personne concernée de manière unique sans révéler ses caractéristiques héréditaires ou acquises et c’est sur la base de cedit garde-fou, scientifiquement contesté depuis, que ce fichier a pu prospérer sans véritable débat démocratique sur l’éthique du fichage génétique. Le balayer d’un revers de main, en prétendant qu’il suffirait désormais de préciser que les informations relatives aux caractéristiques de la personne ne pourront apparaitre dans le fichier vise à endormir la vigilance des citoyens. La Commission nationale informatique et libertés (CNIL) ne s’y est pas trompée, en dénonçant cette évolution lourde, intervenue sans son avis préalable.

      Mais bientôt, il suffira qu’un parent, cousin, oncle, tante ait déjà été fiché, même pour une infraction mineure, pour devenir un suspect potentiel. Les députés veulent en effet ouvrir la « recherche en parentèle » au-delà des parents directs. Pour ces recherches dans le FNAEG, ce ne sont plus 3,8 millions de traces qui seront comparées, mais bien davantage, au point que l’on est en droit de se demander qui, désormais, ne sera pas, d’une façon ou d’une autre, fiché.

      L’Observatoire des Libertés et du Numérique exige le retrait de cet amendement et une véritable concertation qui permettrait une prise de conscience citoyenne pour éviter ce « dérapage incontrôlé » du fichage génétique en France.

      Organisations membres de l’OLN : Le CECIL, Creis-Terminal, La Ligue des Droits de l’Homme (LDH), La Quadrature du Net (LQDN), Le Syndicat des Avocats de France (SAF), Le Syndicat de la Magistrature (SM).


  • Mise en demeure de cinq sociétés d’assurance pour détournement de finalité des données des assurés
    https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-d

    La Présidente de la CNIL met en demeure des sociétés des groupes #HUMANIS et #MALAKOFF-MÉDÉRIC de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite.


  • Intéressant article de la #CNIL à propos de la #chaîne_de_blocs et de ses conséquences pour la protection des #données_personnelles. Je ne suis pas d’accord avec tout mais c’est bien fait, et par des gens qui connaissent leur sujet.

    https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf

    (Voir aussi https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-d )

    #vie_privée



  • OPH de Rennes : sanction pécuniaire pour une utilisation du #fichier des #locataires incompatible avec la finalité initiale | CNIL
    https://www.cnil.fr/fr/oph-de-rennes-sanction-pecuniaire-pour-une-utilisation-du-fichier-des-locataire

    La formation restreinte de la CNIL a prononcé une sanction de 30 000 euros à l’encontre de l’OPH de Rennes Métropole ARCHIPEL HABITAT pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social.

    • L’autorité indépendante reproche à l’OPH, et tout particulièrement sa présidente #Nathalie_Appéré, également maire PS de #Rennes, d’avoir utilisé un courrier aux locataires des logements sociaux de l’OPH pour critiquer la décision du gouvernement de diminuer le montant des aides au logement (APL).
      https://france3-regions.francetvinfo.fr/bretagne/ille-et-vilaine/rennes/oph-rennes-sanctionne-cnil-mauvais-usage-son-fichier-lo

      « Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes », a rappelé la Cnil dans sa décision, ajoutant que « la loi interdit que des données personnelles soient traitées ultérieurement de manière incompatible avec la finalité qui en a justifié la collecte ».

      Selon la Commission, l’OPH a justifié l’usage de son fichier afin « d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL » (aides au logement), une explication que la #CNIL rejette « au regard des termes utilisés dans le courrier et de la teneur générale du message ».
      La Cnil explique par ailleurs son choix de rendre cette décision publique par la nécessité de « rappeler publiquement à l’ensemble des acteurs du secteur social l’interdiction d’utiliser des fichiers d’usagers pour des finalités autres et incompatibles avec les finalités initiales ».

      La maire de Rennes avait adressé un courrier à la mi-octobre à l’ensemble des 12 500 Rennais locataires de logements sociaux afin d’y critiquer la décision gouvernementale de diminuer le montant des aides gouvernementales au logement, dénonçant une « mesure injuste (qui) aurait des répercussion terribles sur la qualité de votre cadre de vie ».

      Ce courrier avait provoqué la colère de l’antenne de La République En Marche (LREM) en Ille-et-Vilaine mais également de l’opposition de droite au conseil municipal, qui est à l’origine de la saisine de la Cnil. Bertrand Plouvier chef de file de l’opposition LR se « félicite de cette décision » en précisant "qu’on ne doit pas mélanger les genres comme c’est le cas depuis 40 ans à Rennes et instrumentaliser les peurs des locataires.

      http://www.archipel-habitat.fr/actu_CP_decision_CNIL.html

    • http://rennes-info.org/Le-DAL-35-soutient-la-saisie-du

      Le DAL 35 soutient la saisie du Conseil Constitutionnel par Archipel-Habitat
      mardi 7 août 2018

      La CNIL, saisie par la droite municipale, a estimé devoir pénaliser le bailleur social Archipel-Habitat par une amende de 30 000 €, ce parce que la Présidente de ce bailleur social (la maire de Rennes) a adressé une lettre à tous les locataires dénonçant la baisse de l’APL de 5 €.

      Il est tellement rare qu’un bailleur s’adresse aux locataires pour les informer que l’initiative mérite d’être soulignée. Qu’aurait dit cette opposition municipale si cette lettre avait appelé à une manifestation ?

      Le #DAL35 soutient donc la saisie du Conseil Constitutionnel par Archipel-Habitat afin de déclarer nulle la position de la #CNIL pour le moins abusive.

      En tant que représentants élus des locataires d’Archipel-Habitat, nous attendons avec impatience une autre lettre de notre Présidente expliquant les mesures de la #loi_ELAN qui visent à détruire le logement social.

      Cette loi anti-pauvres, passée au Sénat en juillet, est faite pour l’argent, pas pour les gens ! Et encore moins pour les sans-abri et mal-logés de plus en plus nombreux en France : ELAN accélère les expulsions, criminalise les occupant-e-s sans titre et les squatters, marchandise les #HLM, réduit le nombre de logements pour les handicapés, diminue la qualité des logements, autorise le préfet de Guyane à expulser en un mois et sans jugement les maisons dans les quartiers informels, précarise les locataires (bail mobilité), démonte la loi SRU …


  • Comment Google aide les entreprises à ‘pister’ le comportement d’achat offline  d.soenens@gondola.be - 27 Juin 2018 - Gondola
    http://www.gondola.be/fr/news/digital/comment-google-aide-les-entreprises-pister-le-comportement-dachat-offline

    Combien de visiteurs de votre webshop se rendent-ils dans votre magasin ? Et combien y dépensent-ils ? Pour répondre à ces questions, Google a développé un outil que sont venus présenter Lionel Soccal de Google Belgique et Greogry Bauduin d’Ikea Belgique lors du Gondola Day.
     


    Google en sait beaucoup sur nous. Il en sait beaucoup sur notre comportement online – les vidéos YouTube que nous regardons, nos recherches de produits et nos achats – mais il nous suit également offline. Ces données sont essentielles pour connaître l’impact des publicités et de la communication online sur les visites en magasin et les achats offline. « Lorsque votre mobile Android est connecté et que l’application de localisation est activée, Google peut vous suivre offline, où que vous alliez. Lorsque vous faites vos courses, nous pouvons vous suivre dans n’importe quel magasin et savoir ce que vous y avez acheté. Nous savons que tout le monde n’est pas connecté, mais nous savons quel pourcentage du public belge est connecté. Le pourcentage précis est une information confidentielle mais il nous permet de connaître le nombre de personnes qui se rendent dans un magasin donné – en l’occurrence un magasin Ikea » explique Lionel Soccal, industry manager retail & e-commerce de Google Belgique. « Ensuite, grâce aux données des cartes bancaires et de crédit que nous communiquent nos partenaires, nous sommes en mesure de savoir combien de personnes achètent effectivement un produit et même la valeur moyenne d’un panier. Ces données sont cryptées et comparées au comportement de clic sur les publicités online. Ainsi, nous connaissons la valeur des personnes qui sont entrées dans le magasin et nous la comparons avec le coût de la campagne publicitaire numérique. Nous pouvons donc dire si une campagne numérique a été couronnée de succès en termes de trafic et de transactions en magasin. Le point de départ de l’analyse est le nombre de clics via l’ordinateur ou le mobile. »
     
    On s’en doute, une analyse qui va du clic jusqu’au contenu du panier intéresse au plus haut point les retailers. C’est précisément pour cette raison qu’Ikea Belgique utilise l’outil de Google. Gregory Bauduin, country deputy marketing manager d’Ikea Belgique le confirme : « Nous voulons être en mesure d’évaluer nos investissements en ligne. Cette information est d’une importance cruciale. Il y a deux ans, nous avons lancé notre Click & Collect et, il y a trois mois, nous avons présenté notre nouvelle plate-forme e-commerce. Nous sommes présents online mais nous devons l’être partout. C’est important car le client Ikea est quelqu’un qui cherche beaucoup sur internet et aime ‘fureter’ à gauche et à droite. Les données statistiques des visites sur notre site nous permettent de constater que les clients sont à la recherche d’informations et d’inspiration. Et cela va plus loin : ils veulent aussi pouvoir voir et toucher les produits, surtout quand il s’agit de meubles de grande taille. C’est pourquoi nous tenons à avoir une image aussi précise que possible de l’impact du trafic online sur les visites et sur les ventes en magasin. » Ikea avait déjà une idée du nombre de visiteurs online qui se rendaient en magasin mais la méthode était peu fiable dans la mesure où elle reposait sur les dires des clients eux-mêmes. L’outil de Google est donc une source d’information extrêmement précieuse. Bauduin : « Nous obtenons des informations supplémentaires sur l’impact de nos investissements online et sur la manière dont nous pouvons les améliorer pour augmenter nos ventes. »
     
    Dans le cas d’Ikea, l’outil de recherche de Google a donné de très bons résultats. Le retour sur investissement est de 18:1, largement au-dessus de la moyenne. En outre, grâce à la technologie qu’il a développée, Google peut également diffuser des annonces mieux ciblées, en affichant les promotions des magasins à proximité. Pratique pour le consommateur mais aussi extrêmement rentable pour Google car la probabilité est grande que vous cliquiez sur les promotions en question. Le marketing, la communication et la publicité online continuent de se développer à grande vitesse et, l’an dernier, Google a réalisé sur ce créneau un bénéfice de… 79 milliards de dollars ! 

    #google #espionnage #commerce #internet #surveillance #vie_privée #Belgique #ikéa


  • Vortrag zur Datenschutzgrundverordnung (EU DSGVO) – Hostsharing eG – die Hosting-Genossenschaft
    https://www.hostsharing.net/blog/2018/03/20/vortrag-zur-datenschutzgrundverordnung-dsgvo

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen und juristischen Normen im internationalen Umfeld auszeichnet. Die EU DSGVO schafft hierfür erstmals einen einheitlichen Rechts- und Durchsetzungsraum innerhalb der EU, allerdings zu dem Preis oftmals sehr unbestimmter, stark auslegungsbedürftiger Rechtstexte als Ergebnis eines langwierigen politischen Kompromisses.
    EU-DSGVO Checkliste

    Im Anschluss daran wies Martin Weigele auf einige Punkte hin, die in einer Datenschutz-Checkliste nicht fehlen sollten.
    Gültigkeit klären

    Zunächst ist zu klären, ob die Datenverarbeitung überhaupt von der EU DSGVO betroffen ist. Denn die Verordnung gilt grundsätzlich für personenbezogene Daten im Zusammenhang mit Waren- und Dienstleistungsangeboten innerhalb der EU.

    Bei rein privaten Zwecken ist eine Gültigkeit nicht von vorne herein anzunehmen. Eine genaue Abgrenzung muss die Rechtsprechung übernehmen.
    Rollen prüfen

    Wichtig ist bei der konkreten Anwendung vor allem, sich die jeweiligen Rollen bei der Verarbeitung personenbezogener Daten, wie etwa Betroffener, oder Verantwortlicher, je nach konkretem Datenverarbeitungsvorgang klar zu machen. Daneben kennt die Verordnung auch den Auftragsverarbeiter und die gemeinsam Verantwortlichen.

    Eine Definition dieser Rollen findet man in der Verordnung selbst, u.a. in Artikel 4 EU DSGVO
    Erlaubte Rechtfertigungsgründe prüfen
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern

    Ausgehend von der Klärung dieser Rollen ist der Grundsatz, wie schon beim Bundesdatenschutzgesetz, das Verbot der Verarbeitung personenbezogener Daten. Es müssen deshalb stets die erlaubten Rechtfertigungsgründe abgeprüft werden.

    Was sind solche Gründe neben der (widerruflich) erklärten Einwilligung des Betroffenen?

    Hier kommen zunächst einmal gesetzliche Regelungen oder geschlossene Verträge in Frage.

    In einem Vertragsverhältnis dürfen die für seine Erfüllung erforderlichen Daten natürlich auch verarbeitet werden.

    Beispiele für gesetzliche Gründe sind gesetzliche Pflichten zur Erhebung oder Aufbewahrung von Sozialversicherungs- oder steuerlichen Daten oder Aufbewahrungspflichten zu geschäftlicher Korrespondenz, also auch E-Mails, nach dem Handelsgesetzbuch.

    Zur Gefahrenabwehr dürfte in der dritten Erlaubniskategorie, dem Vorliegen eines berechtigten Interesses, das gegenüber den Interessen des Betroffenen überwiegt, die zeitweise Speicherung von IP-Adressen von Webseitenbesuchern zulässig sein.

    Der Bundesgerichtshof hat im vergangenen Jahr entschieden, dass IP-Adressen von Webseitenbesuchern personenbezogene Daten sind, weil die dazugehörigen Betroffenen im Rahmen von rechtlichen Verfahren ans Tageslicht kommen können. Somit bedarf es für Logfiles einer rechtlichen Rechtfertigung.
    Auftragsdatenverarbeitung bzw. Auftragsverarbeitung

    Eine Besonderheit stellt die DGSVO-Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) dar, die es prinzipiell ermöglicht, auch ohne Vorliegen solcher Gründe personenbezogene Daten zu verarbeiten. Dafür müssen beim Auftraggeber die genannten Rechtfertigungsgründe vorliegen. Allerdings treffen den Auftragsverarbeiter erweiterte Sorgfalts- und Haftungspflichten gegenüber der früheren Regelung.

    Diese Spielart dürfte aber bei selbstgestaltetem Hosting, bei dem die Datenverarbeitungstätigkeit auch technisch weitgehend selbst kontrolliert wird, meist keine große Rolle spielen. Hier muss allerdings die Entwicklung der Rechtsprechung genau beobachtet werden.
    Betroffenenrechte

    Im Anschluss erläuterte Weigele die Rechte der Betroffenen. Diese sind vor Informationsrechte (Art. 13 und 14 DSGVO) , Werbe-Einwilligungerklärungen (Art. 7 und 13 DSGVO), die Einrichtung eines Auskunftsverfahren für Betroffene (Art. 15 in Verbindung mit Art. 12 DSGVO), das Recht auf eine Berichtigung von Daten und ihre Löschung (Art. 16 und 17 DSGVO), das Recht einer Speicherung zu widersprechen (Art. 21 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
    Risikomanagement, Datenschutz-Folgenabschätzung, Meldepflichten

    Ferner erklärte er, welche Faktoren in einem datenschutzrechtlichen Risikomanagement beachtet werden müssen. Hier gilt es vor allem den Nachweispflichten zu entsprechen.

    In bestimmten Fällen sind Datenverarbeiter sogar zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet.

    Und schließlich müssen Prozesse implementiert werden, durch die sichergestellt wird, dass Datenschutzverletzungen erkannt und rechtzeitig der zuständigen Datenschutzbehörde gemeldet werden.

    Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL
    https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-profess

    Microsoft : EU-Datenschutz-Grundverordnung : Sind Sie vorbereitet ?
    https://www.microsoft.com/de-de/aktion/IT-Sicherheit/eu-datenschutz-grundverordnung.aspx

    Ab dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) Anwendung (international bezeichnet als General Data Protection Regulation, kurz GDPR). Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit Personen in der Union erfassen und analysieren.

    Durch den neuen gemeinsamen und gemeinschaftlichen Datenschutzstandard soll das Schutzniveau insgesamt angehoben und länderübergreifend verbessert werden; zudem bietet er Vorteile im EU-weiten Warenverkehr. Das Ziel hinter der DSGVO ist ein EU-weit einheitliches Schutzniveau für personenbezogene Daten natürlicher Personen in der Union.

    Organisationen sollten jetzt die erforderlichen Schritte einleiten, um ihre Compliance mit der DSGVO zu sichern.

    #SPIP et le RGPD
    https://contrib.spip.net/SPIP-et-le-RGPD

    #RGDP #DSGVO


  • CNIL : tous les rapports annuels en ligne
    http://www.precisement.org/blog/CNIL-tous-les-rapports-annuels-en-ligne.html

    La CNIL à publié tous ses rapports d’activité depuis sa création. Ils sont ici : https://www.cnil.fr/fr/archives Ce serait super s’ils étaient rangés dans l’ordre antéchronologique et si la page les affichait tous d’un coup. En dehors de classer les rapports CNIL du plus récent au plus vieux et de les afficher tous d’emblée, un autre chose serait utile : optimiser les PDF pour les rendre moins lourds en kilo-octets Je rappelle que le rapport annuel de la (...)


  • DIRECT ENERGIE : mise en demeure pour une absence de consentement concernant les données issues du compteur communicant LINKY | CNIL
    https://www.cnil.fr/fr/direct-energie-mise-en-demeure-pour-une-absence-de-consentement-concernant-les-

    27 mars 2018

    La Présidente de la CNIL met en demeure la société DIRECT ENERGIE en raison d’une absence de consentement à la collecte des données de consommation issues du compteur communicant LINKY. Elle lui demande de se conformer à la loi dans un délai de trois mois.

    La société DIRECT ENERGIE est un fournisseur d’électricité. Dans le cadre de cette mission et afin de rendre possible la facturation, la société dispose des données mensuelles de consommation.

    A l’occasion de l’installation du compteur communicant LINKY, la société a demandé au gestionnaire du réseau de distribution, la société #ENEDIS, de lui transmettre les données de ses clients correspondant à leur consommation journalière d’électricité ainsi que les données de consommation à la demi-heure. Ces données ne peuvent cependant être recueillies qu’après avoir obtenu le consentement des personnes concernées.

    La Présidente de la CNIL a décidé en octobre 2016 et février 2018 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi Informatique et Libertés.

    Ces contrôles ont révélé que le consentement des clients n’était pas recueilli dans des conditions conformes à l’article 7 de la loi Informatique et libertés du 6 janvier 1978, le consentement au traitement de données personnelles n’étant pas libre, éclairé et spécifique.

    Ce manquement a d’abord été constaté pour les données de consommation à la demi-heure.

    Regarde bien comment fait la CNIL, elle n’attaque pas Linky parce que ce système a été conçu pour transmettre des données personnelles toutes les demies-heures, ben non, puisqu’en soit le principe du compteur communicant ne la froisse pas. Ce qu’il lui faut pour être en règle c’est juste qu’on ait signé un accord de transmission clair, peu importe qu’on y comprenne rien à ce que cela implique.

    Tiens, passée à la sécu hier, les agents de la CPAM ont des blouses imprimées DMP, et dans le hall des affiches de 3m vantent les mérites de la transmission des données personnelles.

    #donne_tes_données
    #linky
    #cnil
    #données_personnelles
    #surveillance
    #fusible_politique

    • La Présidente de la CNIL a décidé en octobre 2016 et février 2018 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi Informatique et Libertés.

      … et avec leurs propres préconisations…

      résultat :

      27 mars 2018
      La Présidente de la CNIL met en demeure la société DIRECT ENERGIE

      À l’été 2016, j’avais écrit à la CNIL en leur joignant (au cas où elle n’en aurait pas disposé…) le formulaire diffusé par DE. Sans même connaitre aucun texte (ni loi de 78, ni recommandations CNIL), le regarder (2 cases à cocher sans aucune explication en particulier sans expliciter (mais ça c’était pareil dans le document EdF)) ce qui se passerait si on ne cochait pas lesdites cases.

      résultat : ni réponse, ni même accusé de réception…

    • Ben moi je n’ai pas eu droit à signer quoique ce soit, étant locataire, mais j’ai appris que mon propriétaire n’avait pas non plus signé. Par contre la facture a bien augmenté de 200% et je n’ai pas réussi à me faire entendre même à passer la journée au téléphone.


  • Transmission de données de WHATSAPP à FACEBOOK : mise en demeure publique pour absence de base légale | CNIL
    https://www.cnil.fr/fr/transmission-de-donnees-de-whatsapp-facebook-mise-en-demeure-publique-pour-abse

    Attention là : Quand on doit valider des conditions d’utilisation sans lesquelles on ne peut utiliser une application, on n’est pas « libre ». C’est la CNIL qui le dit, et c’est une petite révolution !
    Je pourrais peut être demain utiliser Word sur mobile sans lui donner tout mon carnet d’adresses... Ça pique sévère.

    La Présidente de la CNIL a estimé que la transmission de données de WHATSAPP vers FACEBOOK Inc. pour cette finalité de « business intelligence » ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés.

    En particulier, ni le consentement des utilisateurs ni l’intérêt légitime de WHATSAPP ne peuvent être invoqués dans les circonstances de l’espèce.

    En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli car :

    il n’est pas spécifique à cette finalité - lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par FACEBOOK Inc. pour des finalités accessoires, telle que l’amélioration de son service ;
    il n’est pas libre - le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.

    D’autre part, la société WHATSAPP ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société FACEBOOK Inc. dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application.

    #CNIL #Whatsapp


  • La censure augmente en France - Entretien de Autistici avec Indymedia Nantes et Indymedia Grenoble
    https://grenoble.indymedia.org/2017-11-08-La-censure-augmente-en-France

    « Supprimez cet article sous 24h ou votre site web disparaitra de la surface d’Internet ». C’est en substance le contenu d’un email reçu par les administrateurices de Indymedia Nantes et Indymedia Grenoble le soir du 21 septembre. De l’autre côté de l’écran, ceux qui ont appuyé sur « envoyer l’email » étaient les flics de l’OCLTIC (acronyme pour Office Central de Lutte Contre la Criminalité Liée aux Technologies de l’Information et de la Communication) - une équipe de cyberpoliciers à laquelle il a été (...)

    #Articles

    / #Infos_locales, Répression / Contrôle social, #Média

    #Répression_/_Contrôle_social
    https://cavallette.noblogs.org/2007/09/921
    https://cavallette.noblogs.org/2017/10/9214#censorshipgrowsfr-eng
    https://www.autistici.org
    https://riseup.net
    https://nantes.indymedia.org
    https://fr.wikipedia.org/wiki/Tails_(syst%C3%A8me_d%27exploitation)
    https://fr.wikipedia.org/wiki/Tor_(r%C3%A9seau)
    https://fr.wikipedia.org/wiki/GNU_Privacy_Guard
    https://fr.wikipedia.org/wiki/Signal_(application)
    https://nantes.indymedia.org/pages/intimite
    https://fr.wikipedia.org/wiki/Censure_d%27Internet_en_France#2015
    https://www.cnil.fr/fr/controle-du-blocage-administratif-des-sites-la-personnalite-qualifiee-presente-
    https://zad.nadir.org
    https://tantquilyauradesbouilles.wordpress.com
    https://vmc.camp
    https://eprivacy.laquadrature.net/fr




  • Voitures connectées : à qui appartiennent les données ?
    http://www.lemonde.fr/economie/article/2017/10/25/voitures-connectees-a-qui-appartiennent-les-donnees_5205679_3234.html

    Les industriels et les autres acteurs, assureurs en tête, se disputent la manne du big data produit par les automobiles, devenues de vrais smartphones roulants.

    A qui appartiennent les données générées par une voiture ? La question est cruciale, à l’heure où une automobile d’aujourd’hui – véritable smartphone roulant – produit en moyenne 1 milliard d’octets par jour, mille fois plus qu’il y a simplement deux ans. Et 30 000 fois moins qu’un véhicule du futur surconnecté et autonome. Cette manne du big data – le pétrole du XXIe siècle – est l’objet d’une lutte sourde entre les industriels et d’autres acteurs, en particulier les assureurs.

    Le 19 octobre, une conférence de presse discrète s’est déroulée à Paris. Les représentants de la filière – constructeurs, équipementiers, garagistes – annonçaient leur adhésion au « pack de conformité », une sorte de Yalta des données automobiles négocié avec la Commission nationale de l’informatique et des libertés (CNIL).

    La démarche s’inscrit dans la perspective de l’application, le 25 mai 2018, du nouveau règlement européen sur la protection des données personnelles, qui élargit le droit des personnes en matière de données. Pour mettre en place ce pack de conformité automobile, la CNIL a mené une concertation avec les acteurs de la filière mais aussi, chose inédite, avec des fournisseurs de service et de technologie connexes. Et en particulier les sociétés d’assurance.

    Une question, déterminer si les informations générées par une voiture constituent des données machine ou des données personnelles, a suscité de vifs débats entre les constructeurs, soucieux de ne pas disséminer « leur » data, et les assureurs, chauds partisans de l’ouverture.

    La CNIL a dû sensibiliser les industriels au fait que la définition des données personnelles est très large. Elle s’étend en effet bien au-delà des éléments de l’identité d’une personne. Les données de déplacement mais aussi de consommation ou d’usure des pièces sont considérées comme personnelles dès lors qu’il est possible de les relier à quelqu’un.

    Les constructeurs, qui avaient commencé ces discussions avec la CNIL afin de se protéger des géants du Web (Google, Apple, etc.) ont découvert un droit de la donnée qui ne les avantage pas. D’autant plus que la nouvelle réglementation européenne prévoit dans son article 20 qu’un individu a le droit de transmettre les données le concernant à un autre prestataire de service.

    Ce « droit à la portabilité » fait le bonheur des assureurs qui voient là l’occasion de prospecter de nouveaux clients et d’offrir des prestations sur mesure aux conducteurs. De leur côté, les industriels font bonne figure. « Il est hors de question d’aller à l’encontre des demandes et des droits de nos clients », affirment en substance les professionnels de l’automobile.