Title: RLES ET RESPONSABILITES DU DSI
1RÔLES ET RESPONSABILITES DU DSI
19 juin 2007
Fichiers, droit dauteur, contrats, délégation
pénale, protection du savoir-faire de
lentreprise, prévention des risques
Anne Cousin Avocat au Barreau de
Paris anne.cousin_at_dentonwildesapte.com
119177.01
2Programme
- Matinée
- La responsabilité pénale
- Maîtriser les cas dans lesquels lentreprise est
responsable dune utilisation frauduleuse ou
illicite des moyens informatique - Protéger votre savoir-faire et patrimoine
intellectuel par des dispositions adaptées dans
vos contrats - Après-midi
- Recenser les fichiers de votre société et
réaliser les déclarations nécessaires auprès de
la CNIL - Accès par badge, contrôle biométrique, archivage,
recenser vos obligations - E-mails et fichiers personnels ou professionnels
quels sont les pouvoirs de lentreprise? - La nouvelle procédure de sanction devant la CNIL
3THEME N1LA RESPONSABILITEPENALE
4La responsabilité pénale
- Atteinte à lordre public
- Peine damende ou privative de liberté
- Responsabilité de la personne morale et/ou dune
personne physique
5La responsabilité pénale
- Â Nul nest responsable que de son propre faitÂ
(article L 121-1 du Code pénal) - Moyen de défense la délégation de responsabilités
6Licéité de la délégation
- Lécrit nest pas obligatoire mais
- Lacceptation du délégataire ne doit pas être
ambiguë - La date de la délégation doit être certaine
- Lautorité, les moyens et la compétence du
délégataire doivent être effectifs et vérifiables
7La délégation pénale
- Distinction
- Le chef dentreprise cest la personne qui
détient la plénitude des pouvoirs de direction
sur le personnel - Précision dans les SA (article L 225-51-1 du Code
de commerce)  La direction générale de
lentreprise est assumée, sous sa responsabilité,
soit par le président du conseil
dadministration, soit par une autre personne
physique nommée par le conseil dadministration
et portant le titre de directeur général - Le délégataire cest la personne qui détient,
dans un domaine déterminé, et sur délégation du
chef dentreprise, un partie de ces mêmes pouvoirs
8Responsabilité du gérant de fait
- Les juges
- Identifient le véritable chef dentreprise
- Ne sen tiennent pas aux apparences
- Reconnaissent une direction de fait
- Écartent largument de labsence de délégation de
pouvoir - Exemples
- Condamnation dun chef de chantier pour blessures
involontaire en labsence de délégation de
pouvoirs, dès lors que les gérants de droit de
lentreprise navaient quune rôle administratif
tandis que le prévenu assurait le suivi des
chantiers et prenait toutes les décisions
relatives à la conduite des travaux, notamment
celles relatives à la sécurité (Crim 23/11/2004) - Responsabilité cumulative du gérant de droit et
du gérant de fait(Crim 12/09/2000)
9La délégation pénale
- Délégation inopérante
- Dévolue à plusieurs personnes dans un même
domaine de compétence - Délégation purement formelle ou fausse
- Immixtion du chef dentreprise dans les pouvoirs
délégués
10La subdélégation
- La subdélégation nest possible que dans le
respect des conditions de validité de la
délégation - Exemple (Cass. crim 8 février 1983)
- Un PDG sollicitait sa relaxe dans une affaire où
des dispositifs de sécurité nont pas été
installés au motif quil avait confié au DG une
délégation permettant à celui-ci dopérer à son
tour délégation à tout subordonné compétent - Décision de la Cour de cassation aucune règle de
droit ninterdisant la subdélégation, le DG est
responsable de ne pas confié les pouvoirs quil
tenait du PDG à un préposé compétent
11THEME N2MÂITRISER LES CAS DANS LESQUELS
LENTREPRISE EST RESPONSABLE DUNE UTILISATION
FRAUDULEUSE DES MOYENS INFORMATIQUES MIS A LA
DISPOSITION DES SALARIES
12Lentreprise fournisseur daccès
- CA Paris 4 février 2005
-  En sa qualité non contestée de prestataire
technique au sens de larticle 43-7 de la loi du
1er août 2000, la société BNP PARIBAS est tenue
de détenir et de conserver les données de nature
à permettre lidentification de toute personne
ayant contribué à la création dun contenu des
services dont elle est prestataire et de
communiquer ces données sur réquisitionsÂ
13Lentreprise prestataire technique
- Les prestataires techniques (Article 6 de la Loi
pour la confiance dans léconomie numérique du 21
juin 2004) - les fournisseurs daccès et éditeurs de services
de communication au public en ligne, - les hébergeurs
- Responsabilité civile ou pénale des hébergeurs
si - ils ont connaissance de lexistence du contenu
illicite - Ils nagissent pas promptement pour le supprimer
ou en rendre laccès impossible - Responsabilité civile et pénale liée à lactivité
de stockage automatique, intermédiaire et
temporaire si - modification du contenu, non respect des règles
daccès, entrave à lutilisation normale, non
suspension de laccès malgré la demande
14Obligations et responsabilités de lentreprise
prestataire technique
- Pas dobligation
- De surveiller les informations transmises ou
stockées - De rechercher la présence de contenus illicites
- Obligation
- De détenir et de conserver les données permettant
didentifier tout contributeur de contenus et de
les communiquer à lautorité judiciaire - De concourir à la lutte contre lapologie de
certains crimes, lincitation à la haine raciale
et la pornographie infantile, lincitation à la
violence ainsi quà toute les formes datteintes
à la dignité humaine (article 40 Loi sur la
prévention de la délinquance du 5 mai 2007) - Dagir promptement pour avertir les autorités de
lexistence des contenus ou comportements
relevant de lincitation à la violence ou
atteinte à la dignité humaine, aux contenus
pornographiques, violents, attentatoires à la
dignité humaines susceptibles dêtres vus par des
mineurs (Loi sur la prévention de la délinquance) - De mettre en place un dispositif permettant de
signaler les sites de jeux dargent en ligne
identifiés comme répréhensibles par les autorités
compétentes et dinformer les abonnées des
risques encourus par eux du fait dactes de jeux
réalisés en violation de la loi depuis la France
(Loi sur la prévention de la délinquance)
15Lentreprise éditeur de service de communication
au public en ligne
- Désignation du directeur de la publication
- Obligation sous peine de sanctions pénales
- Informations notamment sur la raison sociale, le
siège sociale - Informations sur les hébergeurs du site de
lentreprise - Responsabilité du fait du contenu du site
(diffamation, injure, respect de la vie privée,
contrefaçon de marque et droit dauteur
notamment) - Loi Informatique et Libertés information des
internautes sur leurs droits
16La responsabilité du commettant du fait des
préposés
- Article 1384 alinéa 5 du Code civil
- Arrêt  Lucent Technologies de la Cour dappel
dAix-en-Provence du 13 mars 2006 - Création dun site internet dénigrant et
contrefaisant par un salarié à son domicile qui a
ensuite procédé à la diffusion de contenus
illicites à partir de son lieu de travail - Lemployeur est jugé avoir engagé sa
responsabilité du fait de la contrefaçon de
marque et de droit dauteur commise par son
salarié
17Les blogs de salariés
- Affaire Nissan, TGI Paris 16 octobre 2006
- La société Nissan a poursuivi une ancienne
salarié qui relatait sur son blog son retour de
congé de maternité au sein de lentreprise. - Le tribunal a retenu la bonne foi de lancienne
salariée concernant laspect personnel de ses
récits mais la condamnée à retirer les passages
diffamatoires et injurieux de son blog et à des
dommages et intérêts pour diffamation et injures
18THEME N3PROTEGER VOTRE SAVROIR-FAIRE ET LE
PARTRIMOINE INTELLECTUEL DE LENTREPRISE PAR DES
DISPOSITIONS ADAPTEES DE VOS CONTRATS ET LE
RECOURS A DES ORGANISMES TIERS
19Les modes de protections du savoir-faire et du
patrimoine intellectuelle de lentreprise
- La protection par le droit dauteur, les brevets,
le droit des producteurs de bases de données - La protection contractuelle linsertion dans vos
contrats de clauses adaptées
20La titularité des droits dune uvre de lesprit
- Création collective
- uvre créée sur linitiative dune personne
physique ou morale qui lédite, la publie et la
divulgue sous sa direction et son nom. La
contribution personnelle des divers auteurs se
fond dans lensemble sans quil soit possible
dattribuer à chacun deux un droit distinct sur
lensemble réalisé (article L 113-2 alinéa 3 CPI) - Création de commande
- Lauteur est seul titulaire des droits
- Création indépendante
- Le créateur est seul titulaire des droits
(article L 111-1 du CPI) - uvre de collaboration en cas de pluralité de
créateurs indépendants intervenants sur la
création de logiciel (article L 113-2 alinéa 1er
CPI) - La qualité dauteur appartient sauf preuve
contraire à celui ou à ceux sous le nom de qui
luvre a été divulguée (article L 113-1 CPI) - uvre de salarié cas particulier du logiciel
- Article L 113-9 du CPI dévolution des droits
patrimoniaux sur le logiciel et sa documentation
à lemployeur si le logiciel a été créé dans
lexercice des fonctions de lemployé ou daprès
les instructions de lemployeur. - Les droits moraux ne sont pas dévolus Ã
lemployeur
21La preuve des droits
- Recours a un huissier de justice
- Qui apposera des scellés sur une enveloppe
contenant luvre (manuscrit, dessins,
modèles, logiciel etc.) et établira un PV de
scellés - Lenveloppe Soleau de lINPI
- Enveloppe percée au laser et conservée à lINPI
pour une période de 5 ans renouvelable une fois - Ne peut contenir de corps durs et de plus de 5
millimètres dépaisseurs - Le dépôt à la SGDL
- Dépôt sous forme papier ou numérique
- Durée 4 ans renouvelable une fois pour 4 ans
sinon envoi du dépôt à lauteur ou destruction - PERMET DOBTENIR LA PREUVE DE LA DATE DE CREATION
ET DE SON CONTENU
22La preuve des droits sur les logiciels
- Recours à un huissier, à lenveloppe Soleau de
lINPI et au dépôt auprès de la SGDL - Autres modes de preuve
- Inscription sur le répertoire de lAgence pour la
Protection des Programmes - Dépôt légal à la Bibliothèque Nationale de France
(Loi du 20 juin 1992) - Référencement en ligne avec le système IDDN
(InterDeposit Digital Number) sur le site
www.iddn.org. Obtention dun certificat
authentifié en ligne
23La protection par le droit dauteur
- Droit moral
- Droit de divulgation
- Droit de repentir et respect de luvre
- Droit au nom
- Droits patrimoniaux
- Droit de représentation
- Droit de reproduction
- Durée de la protection 70 ans après la mort de
lauteur
24La protection par le droit dauteur spécificités
du logiciel
- Droit moral (article L 121-7 CPI) lauteur du
logiciel ne peut - Sopposer à la modification du logiciel par le
cessionnaire des droits lorsquelle nest
préjudiciable ni à son honneur ni à sa réputation - Exercer son droit de repentir ou de retrait
- Droits patrimoniaux (articles L 122-6)
- Lauteur du logiciel peut effectuer et autoriser
- La reproduction permanente ou provisoire dun
logiciel en tout ou partie par tout moyen et sous
toute forme - La traduction, adaptation, arrangement ou tout
autre modification - La mise sur le marché à titre onéreux ou gratuit,
y compris la location, du ou des exemplaires dun
logiciel par tout procédé épuisement du droit
25Les limites aux droits de lauteur du logiciel
(article L 122-6-1 du CPI)
- La personne ayant le droit dutiliser le logiciel
peut sans laccord de lauteur - Reproduire, traduire, arranger, adapter le
logiciel pour permettre son utilisation
conformément à sa destination, y compris pour
corriger des erreurs - Faire une copie de sauvegarde lorsque celle-ci
est nécessaire pour préserver lutilisation du
logiciel - Étudier ou tester le fonctionnement de ce
logiciel afin de déterminer les idées et
principes qui sont à la base de nimporte quel
élément du logiciel lorsquelle effectue toute
opération de chargement, daffichage,
dexécution, de transmission ou de stockage du
logiciel quelle est en droit deffectuer
26La protection par le brevet dinvention
- Article L 611-10 du CPI
- 1) Sont brevetable les inventions nouvelles
impliquant une activité inventive et susceptibles
dapplication industrielle - 2) Ne sont pas considérées comme des inventions
- Les découvertes ainsi que les théories
scientifiques et les méthodes mathématiques, les
créations esthétiques, les plans, principes et
méthodes dans lexercice dactivité
intellectuelles, en matière de jeu ou dans le
domaine économiques ainsi que les programmes
dordinateurs, les présentations dinformations - 3) Les dispositions du 2 nexcluent pas la
brevetabilité des éléments énumérés aux dites
dispositions que dans la mesure où la demande de
brevet ou le brevet ne concerne que lun de es
éléments considéré en tan que tel. - Dépôt auprès de lINPI
- Durée de la protection 20 ans
27La brevetabilité des logiciels
- Principe en France de lexclusion de la
brevetabilité des logiciels en tant que tels.
Toutefois les machines ou systèmes exécutant des
opérations au moyen dun logiciel sont
brevetables - OEB a accordé 30 000 brevets portant sur des
inventions mettant en uvre des logiciels - Les logiciels sont brevetables sous réserve de
remplir les conditions générales pour la
brevetabilité la nouveauté, lactivité inventive
et lapplication industrielle - Décision Microsoft 23 février 2006 il ressort de
la motivation de la chambre de recours technique
que dès quun programme dordinateur est exécuté
sur un ordinateur, il nest plus considéré comme
un programme dordinateur mais comme une
 méthode ou une invention mise en uvre par
ordinateur et peut donc être brevetable . - Application par la France de critères plus
restrictifs que lOEB
28Le droit des producteurs de bases de données
- On entend par base de données un recueil
duvres, de données ou dautres éléments
indépendants, disposés de manière systématique ou
méthodique, et individuellement accessibles par
des moyens électroniques ou par toute autre
moyens (article L112-3 al 2 CPI) - Le producteur dune base de données est celui qui
prend linitiative et le risque des
investissements correspondants (articles L 341-1
CPI)
29Le droit des producteurs de bases de données
- Le producteur dune base bénéficie dune
protection du contenu de sa base dans le mesure
où il atteste dun investissement financier,
matériel ou humain substantiel - Il peut interdire
- Lextraction de la totalité ou dune partie
qualitativement ou quantitativement substantielle
du contenu de sa base (affaire cadremploi/ keljob
TGI Paris 5 septembre 2001) - La réutilisation par la mise à disposition du
public de la totalité ou dune partie
qualitativement ou quantitativement substantielle
du contenu dune base de données
30La protection par linsertion de dispositions
adaptées dans les contrats
- Le droit de la propriété intellectuelle ne permet
pas une protection optimum du savoir-faire et du
patrimoine intellectuel de lentreprise - Exemple ne protège pas les idées et concepts qui
par principe sont de libre parcours, le
savoir-faire - Linsertion dans les contrats de dispositions
relatives à la confidentialité,à la propriété, Ã
la cession de droits permet dy pallier - Article 1134 du Code civil  Les conventions
légalement formées tiennent lieu de loi à ceux
qui les ont faites .
31Clauses de confidentialité
- Permettent de se protéger contre lutilisation
par le client dinformations qui lui ont été
présentés au cours de lexécution du contrat ou
même au stade des pourparlers ou des
connaissances quil a pu acquérir - Ces clauses précisent
- Ce qui est soumis au secret, à la confidentialité
- Par exemple les informations, les documents,
procédés, savoir-faire, logiciels, technologies,
secrets de fabrique, inventions, prototypes et
outils, toutes informations relatives au contrôle
de qualité et au marketing, les informations
commerciales, stratégiques et financières des
parties - Ce qui ne constitue pas une information
confidentielle - Par exemple les informations légalement détenues
par une partie avant leur divulgation par
lautre, les informations qui ne résultent ni
directement ni indirectement de lutilisation de
tout ou partie des informations confidentielles,
les informations valablement obtenues auprès dun
tiers autorisé à transférer ou à divulguer
lesdites informations. - La durée de lobligation de confidentialité
- Par exemple  Lobligation de confidentialité ne
séteindra que trois ans à compter de
lexpiration ou de la résiliation du présent
contrat pour quelque raison que ce soit . - Les conséquences en cas de violation de la clause
de confidentialité
32Clauses de communication de savoir-faire
- Intégrer
- Des dispositions relatives à la confidentialité
- Interdiction pour le bénéficiaire deffectuer des
copies des documents confidentiels - Engagement du bénéficiaire à limiter la diffusion
du savoir- faire aux seuls membres de son
personnel dont les fonctions nécessitent quil y
aient accès ou pour lusage mentionné au contrat - Obligation de restituer au titulaire du
savoir-faire, Ã lexpiration du contrat, tous les
documents qui lui ont été transmis - Prévoir la sanction de la violation de la clause
relative à la communication du savoir-faire
réparation financière, résiliation du contrat
33La protection en interne du savoir-faire
- Question du salarié appelé à connaître et/ou
utiliser le savoir-faire en question - Intégrer une clause de confidentialité dans son
contrat de travail - Obligation de ne pas divulguer à quiconque toute
information soumise à la confidentialité et
relative à lactivité de lentreprise - Obligation plus stricte nautorisant le salarié Ã
échanger des informations sur le travail qui lui
est confié quà certains membres du personnel
expressément désignés dans la clause - Prévoir les sanctions de la violation de la
clause - Intégrer une clause de non concurrence
interdisant au salarié de travailler chez un
concurrent pendant une durée de un à trois ans
par exemple moyennant une indemnité compensatrice
34Les clauses de propriété
- Déterminer avec précision dans les clauses de
propriété lequel de chaque cocontractant est
titulaire de droits de propriété intellectuelle
notamment sur - les logiciels
- les marques
- les contenus sites web
- les brevets dinvention
- les dessins et modèles,
- Les bases de données,
- Les informations et documents
35Clause de cession de droits
- Cession des droits dauteur
- À titre gratuit ou onéreux
- Du droit de représentation et/ou de reproduction
- Article L 131-3 CPI
- Chacun des droits cédés doit faire lobjet dune
mention distincte dans lacte de cession - Le domaine dexploitation des droits cédés doit
être délimité quant à son étendue, sa
destination, quant au lieu de lexploitation et
quant à la durée - Cession de droit sur les brevets, dessins et
modèles, logiciels, bases de données etc
36Clauses de sous-traitance
- Intégrer dans les contrats avec les
sous-traitant - Une clause de confidentialité afin de protéger
votre savoir-faire - Une clause de cession de droit si lexécution du
contrat de sous-traitance rend nécessaire la
cession de certains droits de propriété - Une clause de propriété
37THEME N4RECENSER LES FICHIERS DE VOTRE SOCIETE
ET REALISER LES DECLARATIONS NECESSAIRES AUPRES
DE LA CNIL
38Définitions
- Fichier de données à caractère personnel tout
ensemble structuré et stable de données Ã
caractère personnel accessibles selon des
critères - Donnée à caractère personnel toute information
relative à une personne physique identifiée ou
qui peut être identifiée, directement ou
indirectement, par référence à un numéro
didentification ou à un ou plusieurs éléments
qui lui sont propres - Traitement de données à caractère personnel
toute opération ou ensemble dopérations portant
sur de telles données, quel que soit le procédé
utilisé et notamment la collecte,
lenregistrement, lorganisation, la
conservation, ladaptation ou la modification,
lextraction, la consultation, lutilisation, la
communication par transmission, diffusion ou
toute autre forme de mise à disposition, le
rapprochement ou linterconnexion , ainsi que le
verrouillage, leffacement ou la destruction
39Identifier les fichiers à déclarer
- Principe
- Tous les traitements ou fichiers automatisés de
données à caractère personnel font lobjet dune
déclaration à la CNIL - Exceptions
- Les dispenses de déclaration
- Les déclarations simplifiées
- Les traitements soumis à lautorisation préalable
de la CNIL
40Les dispenses de déclarations
- Sont dispensés de déclaration les traitements
- mis en uvre par les comités dentreprises ou
détablissements, ou les délégués du personnel
pour la gestion de leurs activités sociales et
culturelles - ayant pour finalité la tenue, lutilisation et la
communication des listes dinitiés
(banque-finance) - relatifs à la gestion des membres et donateurs
des associations à but non lucratif régies par la
loi du 1er juillet 1901 - constitués à des fins dinformation ou de
communication externe - mis en uvre par les collectivités territoriales
et les services du représentant de lÉtat dans
le cadre de la dématérialisation du contrôle de
légalité - les sites web diffusant ou collectant des données
à caractères personnel mis en uvre par des
particuliers dans le cadre dune activité
exclusivement personnelle - relatifs à la gestion des fichiers de
fournisseurs comportant des personnes physiques - mis en uvre par les organismes publics dans le
cadre de la dématérialisation des marchés publics - de gestion des rémunérations mis en uvre par les
personnes morales de droit privé autres que
celles gérant un service public - de comptabilité générale
41Les déclarations simplifiées
- La CNIL a établi des normes simplifiées
- Exemples
- traitements automatisés de données à caractère
personnel mis en uvre dans le cadre de
lutilisation de services de téléphonie mobile
sur les lieux de travail - traitements automatisés de données à caractère
personnel mis en uvre par les organismes publics
ou privés destinés à géolocaliser les véhicules
utilisés par leurs employés - gestion de fichiers de clients et de prospects de
tous organismes sauf les établissements
bancaires, assurance, professionnels de santé et
de léducation - Lorsque le traitement mis en uvre correspond en
tout point à lune des normes établies par le
CNIL simple déclaration de conformité
42Les autorisations
- Sont soumis à lautorisation préalable de la CNIL
les traitements - concernant des données sensibles (origines
raciales, ethniques, opinions politiques) - de données biométriques, génétiques
- des infractions, condamnations ou mesures de
sûretés - le NIR (numéro de sécurité sociale)
- relatifs aux interconnexions de fichiers
- comportant des appréciations sur les difficultés
sociales des personnes - Sont soumis à lautorisation par décret ou arrêté
après avis motivé de la CNIL les traitements
publics concernant - la sûreté, la défense ou la sécurité publique
- la prévention, la recherche, la constatation ou
la poursuite des infractions pénales ou
lexécution des condamnations pénales ou des
mesures de sûretés - le NIR ou la consultation du RNIPP (registre
nationale didentification des personnes
physiques) - des données biométriques
- le recensement de la population
43Le correspondant informatique et libertés
- La désignation dun correspondant Informatique et
libertés permet dêtre exonéré de tout ou partie
des formalités préalables auprès de la CNIL leur
incombant - Seuls les traitements soumis à autorisation ou
avis préalable de la CNIL devront être déclarés - Les autres traitements devront être référencés
dans une liste tenue par le correspondant
localement
44Le correspondant informatique et libertés
- Qui est-il?
- Un salarié ou une personne extérieure Ã
lentreprise - Personne disposant des qualifications requises
pour exercer ses fonctions - Autonomie daction
- Comment est-il désigné?
- Le responsable des traitements de données
personnelles doit informer par LRAR les instances
représentatives du personnel de sa décision de
désigner un correspondant et de leur transmettre
son identité - Notification à la CNIL de la désignation par
lenvoi dun formulaire spécifique par LRAR à la
CNIL - Prise deffet de sa désignation un mois après
réception de la notification par la CNIL - Quels sont ses fonctions?
- Tenir une liste des traitements de données Ã
caractère personnel - Veiller au respect des dispositions de la Loi
Informatique et Libertés - Informer les personnes sur leurs droits (accès
etc), alerter la CNIL en cas de manquement du
responsable du traitement à ses obligations,
rendre compte de son action
45Les modalités de déclaration
- La déclaration
- Doit être faite par le responsable du traitement
ou du fichier, - Préalablement à la mise en uvre du fichier ou du
traitement - Par télédéclaration ou envoi ou dépôt dun
dossier papier à la CNIL qui délivrera un
récépissé permettant de mettre en uvre le
traitement ou le fichier - Toute modification du traitement ou du fichier
doit être signalée à la CNIL
46Traitements de données à caractère personnel et
contrats
- Traitement des données par un sous- traitant
(article 35 de la loi de 1978) - Le sous-traitant doit présenter des garanties
suffisantes pour assurer la mise en uvre des
mesures de sécurité et de confidentialité ( doit
pouvoir empêcher que les données traitées soient
endommagées, déformées ou que des tiers non
autorisés y aient accès) - Le contrat liant le sous-traitant au responsable
du traitement doit - Indiquer lensemble des obligations incombant au
sous-traitant en matière de protection de la
sécurité et de la confidentialité des données - Prévoir que le sous-traitant ne pourra agir que
sur instruction préalable du responsable du
traitement
47Traitements de données à caractère personnel et
contrats
- Le contrat de cession ou de location de données
- Respect du droit des personnes concernées par la
cession droit à linformation, droit
dopposition et droit daccès et de rectification - La cession doit être mentionnée dans la
déclaration ou la demande dautorisation à la
CNIL - Obligation du cessionnaire
- doit respecter la finalité initiale du traitement
des données à caractère personnel objet du
contrat - sengage à respecter la législation applicable en
matière de traitement de données à caractère
personnel
48Le transfert à létranger (hors CE) de données Ã
caractère personnel
- Principe le transfert est possible si le pays
destinataire assure un niveau de protection
suffisant de la vie privée et des libertés et
droits fondamentaux des personnes à légard du
traitement des données concernées - Évaluation du niveau de protection assurée par un
État en fonction - des dispositions en vigueur dans cet État
- des mesures de sécurité qui y sont appliquées
- des caractéristiques propres du traitement (ses
fins, sa durée, la nature, lorigine et la
destination des données traitées) - Le transfert de données vers un pays étranger
hors CE doit être précisé dans les déclarations
de traitements réalisés auprès de la CNIL
49Le transfert à létranger (hors CE) de données Ã
caractère personnel Exceptions
- Le transfert de données vers un pays nassurant
pas un niveau de protection suffisante est
possible si - la personne concernée y a consenti
- ou
- le transfert est nécessaire Ã
- la sauvegarde de la vie de la personne, de
lintérêt public, ou - au respect dobligations permettant dassurer la
constatation, lexercice ou la défense dun droit
en justice, ou - la consultation, dans des conditions régulières,
dun registre public qui, en vertu de
dispositions législatives ou réglementaires, est
destiné à linformation du public et est ouvert Ã
la consultation de celui-ci ou de toute personne
justifiant dun intérêt légitime, ou - lexécution dun contrat entre le responsable du
traitement et lintéressé, ou de mesures
pré-contractuelles prises à la demande de
celui-ci, ou - conclusion ou exécution dun contrat conclu ou Ã
conclure, dans lintérêt de la personne
concernée, entre le responsable du traitement et
un tiers.
50Le transfert à létranger (hors CE) de données Ã
caractère personnel
- Insérer des clauses  Informatiques et libertésÂ
relatives au transfert de données dans vos
contrats avec vos sous-traitants étrangers - Ces clauses doivent prévoir
- Le droit applicable
- Les détails du transfert des données
- Les obligations de lexportateur et de
limportateur de données - Les règles de responsabilité applicables
- La coopération avec les autorités de contrôle
- Les obligations de limportateur de données en
cas de résiliation du contrat
51THEME N5ACCES PAR BADGE, CONTRÔLE BIOMETRIQUE,
ARCHIVAGERECENSER TOUTES VOS OBLIGATIONS LEGALES
52Accès par badge
- Obligation de déclaration si lentreprise met en
place un système automatisé des données
recueillies (heures dentrée et de sortie)
lorsque les salariés sont identifiables - Droits des salariés sur les données nominatives
traitées - Droit à linformation
- Droit dopposition
- Droit daccès
- Droit de rectification
-
53Accès par badge
- Conséquence du défaut de déclaration
- Cass. soc 6 avril 2004 une société avait mis en
uvre un système de badge qui était géré par des
moyens automatisés et permettant didentifier les
salariés à leur entrée et à leur sortie des
locaux de lentreprise sans procéder à une
déclaration auprès de la CNIL. - Un salarié ayant refusé à 19 reprises dutiliser
son badge a été licencié. - La Cour de cassation a jugé que faute de
déclaration à la CNIL, son refus de déférer à une
exigence de son employeur impliquant la mise en
uvre du traitement ne peut lui être reproché et
que le licenciement était ainsi sans cause réelle
et sérieuse
54Larchivage électronique
- Recommandation de la CNIL du 23/10/2005 qui
sapplique aux - archives courantes par exemple les données
concernant un client dans le cadre de lexécution
dun contrat - archives intermédiaires données conservées Ã
titre dexemple pour les besoins dun contentieux - Recommandationaccès limité à un service
spécifique et mise en place dun mode de gestion
des droits daccès - archives définitives données ayant un intérêt
historique, scientifique ou statistique
justifiant quelles ne fassent pas lobjet dune
destruction - recommandation conservation sur un support
indépendant, accès ponctuel et motivé auprès dun
service seul habilité à consulter ce type
darchives - utilisation de procédés danonymisation
particulièrement pour les données sensibles
55Larchivage électronique
- La finalité du traitement le détournement de
finalité est puni de cinq ans demprisonnement et
de 300 000 damende - Le droit à loubli les données ne peuvent être
conservées que pendant une durée raisonnable
cest à dire proportionnée à la finalité du
traitement. La durée de conservation doit être
déclarée à la CNIL - La confidentialité des données la communication
de données archivées à des personnes non
autorisées est punie de 5 ans demprisonnement et
de 300 000 damende, et de 3 ans et 100 000
si la divulgation résulte dune imprudence - Mise en uvre de mesures techniques et
dorganisation appropriées contre la diffusion ou
laccès non autorisés ou contre toute forme de
traitement illicite des données archivées
56Les contrôles biométriques sur les lieux de
travail
- Données biométriques
- Particularités physiques empreintes digitales,
iris de lil, contour de la main - ADN, sang, odeurs
- Certains éléments comportementaux signature,
démarche - La CNIL définit les systèmes biométriques comme
les applications permettant lidentification
automatique ou léligibilité dune personne à se
voir reconnaître des droits ou services
(notamment laccès) basés sur la reconnaissance
de particularités physiques,de traces ou
déléments comportementaux
57Les contrôles biométriques
- Distinction
- Systèmes biométriques à traces/ sans traces la
distinction repose sur la possibilité (à trace)
ou non (sans trace) de récupérer la donnée
biométriques à linsu de la personne. - Cas des empreintes digitales (à trace)
- seul un impératif de sécurité incontestable peut
justifier la constitution de telles bases dans la
mesure ou ces données laissent des traces et
peuvent être utilisées à des fins étrangères Ã
leur finalité première - La mise en uvre dun contrôle daccès par un
système reposant sur le traitement de tout autre
donnée biométrique ne laissant pas de traces ne
posent pas problèmes au regard de la loi
 informatique et libertésÂ
58Les systèmes de contrôle daccès biométriques
- Avis favorable de la CNIL
- Gestion des contrôles daccès des agents de la
Banque de France par empreintes digitales - Contrôle daccès par la reconnaissance
dempreintes digitales de certains personnels de
léducation nationale pour certains locaux de la
cité académique de Lille - Vérification de lidentité des détenus en
établissement par la reconnaissance de la
morphologie de la main - Mise en uvre par létablissement public
Aéroports de Paris dun contrôle daccès
biométrique par empreintes digitales aux zones
réservées de sûreté des aéroports dOrly et
Roissy - Avis défavorable de la CNIL
- Gestion de laccès à la cantine scolaire dun
collège reposant sur la reconnaissance
automatique des empreintes des personnes
concernées et constitution dune base de données - Gestion des horaires de travail des personnels
communaux dune mairie par un dispositif de
reconnaissance des empreintes digitales - Gestion du temps de travail des personnels du
centre hospitalier de Hyères par un dispositif de
reconnaissance de lempreinte digitale
59THEME N6E-MAILS ET FICHIERS PERSONNELS OU
PROFESSIONNELS QUEL POUVOIR DE CONTRÔLE POUR
LENTREPRISE?
60E-mails et fichiers personnels ou professionnels
- Les fichiers informatiques détenus par un salarié
sur son lieu de travail sont présumés être
professionnels sauf à être identifiés comme
personnels - Arrêt de la Cour de cassation du 18 octobre 2006
-  Les dossiers et fichiers créés par un salarié
grâce à l'outil informatique mis à sa disposition
par son employeur pour l'exécution de son travail
sont présumés, sauf si le salarié les identifie
comme étant personnels, avoir un caractère
professionnel de sorte que l'employeur peut y
avoir accès hors sa présenceÂ
61E-mails et fichiers personnels ou professionnels
- Les courriers électroniques et le secret des
correspondances - Le salarié a le droit sur son lieu et pendant son
temps de travail au respect de sa vie privée et
de sa correspondance arrêt NIKON de la Cour de
cassation du 2 octobre 2001 - Lemployeur ne peut prendre connaissance des
courriers électroniques personnels de ses
salariés - Proposition de loi du 13 juin 2006 visant Ã
définir le courrier électronique professionnel
qui nest pas défini dans la LCEN
62E-mails et fichiers personnels ou professionnels
- En cas de difficultés telles que des soupçons
dinfraction pénale - Lautorisation judiciaire de faire pratiquer une
copie peut être demandée - Délit pénal de violation de la correspondance
privée article 226-15 du Code pénal - Faut-il établir une distinction avec les fichiers
personnels ? - Arrêt de la Cour de cassation du 17 mai 2005
Cathnet-Science - L'employeur ne peut ouvrir les fichiers
identifiés par le salarié comme personnels
contenus sur le disque dur de lordinateur mis Ã
sa disposition quen présence du salarié dûment
appelé sauf en cas de risque ou évènement
particulier
63Lutilisation dinternet par les salariés
- Lentreprise peut mettre en place un dispositif
de limitation du volume et de la taille des
courriers électroniques échangés dans un but de
contrôle dencombrement du réseau et de sécurité
64Le contrôle des connexions internet par
lemployeur
- Lemployeur peut fixer les conditions
dutilisation dinternet - Mise en place dun dispositif de filtrage des
sites non autorisés - Interdiction de télécharger certains logiciels,
de participer à des forums de discussion ou chat - Article L 432-2-1 du Code du travail
- Le comité d'entreprise est informé et consulté,
préalablement à la décision de mise en oeuvre
dans l'entreprise, sur les moyens ou les
techniques permettant un contrôle de l'activité
des salariés.
65THEME N7LA NOUVELLE PROCEDURE DE SANCTION
DEVANT LA CNIL
66Les sanctions pécuniaires (loi du 6 août 2004
modifiant la loi du 6 janvier 1978)
- Si le responsable dun traitement ne donne pas de
suite favorable à une mise en demeure de la CNIL
de faire cesser un manquement cette dernière peut
prononcer une sanction pécuniaire - proportionnée à la gravité du manquement et des
avantages qui en sont tirés - la sanction ne peut excéder 150 000 euros lors du
premier manquement et 300 000 euros en cas de
réitération dans les 5 ans, ou 5 du chiffre
daffaires HT du dernier exercice clos dans la
limite de 300 000 euros - lorsque la CNIL a prononcé une sanction
pécuniaire devenue définitive avant que le juge
pénal ait statué définitivement sur les mêmes
faits ou des faits connexes,celui-ci peut
ordonner que la sanction pécuniaire simpute sur
lamende quil prononce - exemples
- Délibération de la CNIL du 28 juin 2006 prononcé
dune sanction pécuniaire à lencontre du Crédit
Lyonnais pour un montant total de 45 000 euros - Délibération de la CNIL du 14 décembre 2006
prononcé dune sanction à lencontre de la
société Tyco Healthcare France de 30 000 euros
67Le pouvoir de sanction de la CNIL
- Injonction de cesser le traitement ou retrait de
lautorisation - Mise en demeure du responsable du traitement de
faire cesser le manquement constaté dans un délai
fixé par la CNIL - Avertissement à légard du responsable du
traitement en cas de non respect des obligations
prévues par la loi de 1978
68Le pouvoir de sanction de la CNIL
- En cas durgence et lorsque la mise en uvre
porte atteinte à lidentité humaine, aux droits
de lhomme, à la vie privée, aux libertés
individuelles ou publiques, la CNIL peut, après
une procédure contradictoire,décider - de linterruption de la mise en uvre du
traitement (3 mois maximum) - du verrouillage de certaines données, hormis ceux
mis en uvre par lÉtat ou pour son compte (3
mois maximum) - dinformer le Premier ministre pour quil prenne,
le cas échéant, les mesure permettant de faire
cesser la violation constatée
69Les sanctions prononcées par la CNIL procédure
- Elles sont prononcées sur la base dun rapport
dun membre de la CNIL désigné par son Président - Le rapport est notifié au responsable du
traitement qui peut déposer des observations et
se faire représenter ou assister - Le rapporteur peut présenter des observations
orales mais ne prendra pas part à la délibération - La CNIL peut en cas de mauvaise foi du
responsable du traitement ordonner linsertion de
la sanction dans le presse ou sur tout support,
les frais étant supportés par le responsable - Les décisions sont motivées et notifiées au
responsable du traitement - Les décisions prononçant une sanction peuvent
faire lobjet dun recours de pleine juridiction
devant le Conseil dÉtat
70La sanction des infractions aux dispositions de
la loi du 6 janvier 1978
- Est puni le 5 ans demprisonnement et de 300 000
euros damende le - Non respect des formalités préalables à la mise
en uvre du traitement, dune injonction de
traitement prononcée par la CNIL, dune norme
simplifiée, du droit dopposition fondée sur un
motif légitime, de la finalité du traitement - La collecte de données par un moyen frauduleux,
illicite ou déloyal - Le traitement de données sensibles sans laccord
exprès de lintéressé, à des fins de recherche
dans le domaine de la santé sans information
préalable ou malgré lopposition de lintéressé,
concernant des infractions, des condamnations ou
des mesures de sûreté hors les cas prévus par la
loi - Articles 226-16 à 226-24 du Code Pénal
71Les autres sanctions pénales
- 1 an demprisonnement et 15 000 euros damende
- Entrave à laction de la CNIL (article 51de la
loi du 6 janvier 1978) - 750 euros damende pour chaque correspondance ou
chaque appel (contravention de 4ème classe) - Utilisation dans des opérations de prospection
directe, des données à caractère personnel
contenues dans les listes dopposition (article
R.10-1 al 1er du Code de postes et des
communications électroniques) - Prospection directe dune personne physique par
un automate dappel, télécopieur, ou courrier
électronique sans son consentement préalable
(article R.10-1 al 2 du PCE) - Prospection directe dune personne inscrite sur
la liste dopposition SAFRAN (article R.10-2 du
CPCE)
72Mise en conformité des traitements avec la loi de
1978 modifiée
- Rappel
- Les responsables de traitements de données Ã
caractère personnel dont la mise en uvre est
intervenue avant la publication de la présente
loi doivent au plus tard le 7 août 2007 avoir mis
leurs traitements en conformité avec les
dispositions de la loi du 6 janvier 1978 modifiée
par la loi du 6 août 2004