RLES ET RESPONSABILITES DU DSI - PowerPoint PPT Presentation

1 / 72
About This Presentation
Title:

RLES ET RESPONSABILITES DU DSI

Description:

Recenser les fichiers de votre soci t et r aliser les d clarations n cessaires ... Acc s par badge, contr le biom trique, archivage, recenser vos obligations ... – PowerPoint PPT presentation

Number of Views:413
Avg rating:3.0/5.0
Slides: 73
Provided by: dent83
Category:

less

Transcript and Presenter's Notes

Title: RLES ET RESPONSABILITES DU DSI


1
RÔLES ET RESPONSABILITES DU DSI
19 juin 2007
Fichiers, droit dauteur, contrats, délégation
pénale, protection du savoir-faire de
lentreprise, prévention des risques
Anne Cousin Avocat au Barreau de
Paris anne.cousin_at_dentonwildesapte.com
119177.01
2
Programme
  • Matinée
  • La responsabilité pénale
  • Maîtriser les cas dans lesquels lentreprise est
    responsable dune utilisation frauduleuse ou
    illicite des moyens informatique
  • Protéger votre savoir-faire et patrimoine
    intellectuel par des dispositions adaptées dans
    vos contrats
  • Après-midi
  • Recenser les fichiers de votre société et
    réaliser les déclarations nécessaires auprès de
    la CNIL
  • Accès par badge, contrôle biométrique, archivage,
    recenser vos obligations
  • E-mails et fichiers personnels ou professionnels
    quels sont les pouvoirs de lentreprise?
  • La nouvelle procédure de sanction devant la CNIL

3
THEME N1LA RESPONSABILITEPENALE
4
La responsabilité pénale
  • Atteinte à lordre public
  • Peine damende ou privative de liberté
  • Responsabilité de la personne morale et/ou dune
    personne physique

5
La responsabilité pénale
  •  Nul nest responsable que de son propre fait 
    (article L 121-1 du Code pénal)
  • Moyen de défense la délégation de responsabilités

6
Licéité de la délégation
  • Lécrit nest pas obligatoire mais
  • Lacceptation du délégataire ne doit pas être
    ambiguë
  • La date de la délégation doit être certaine
  • Lautorité, les moyens et la compétence du
    délégataire doivent être effectifs et vérifiables

7
La délégation pénale
  • Distinction
  • Le chef dentreprise cest la personne qui
    détient la plénitude des pouvoirs de direction
    sur le personnel
  • Précision dans les SA (article L 225-51-1 du Code
    de commerce)  La direction générale de
    lentreprise est assumée, sous sa responsabilité,
    soit par le président du conseil
    dadministration, soit par une autre personne
    physique nommée par le conseil dadministration
    et portant le titre de directeur général 
  • Le délégataire cest la personne qui détient,
    dans un domaine déterminé, et sur délégation du
    chef dentreprise, un partie de ces mêmes pouvoirs

8
Responsabilité du gérant de fait
  • Les juges
  • Identifient le véritable chef dentreprise
  • Ne sen tiennent pas aux apparences
  • Reconnaissent une direction de fait
  • Écartent largument de labsence de délégation de
    pouvoir
  • Exemples
  • Condamnation dun chef de chantier pour blessures
    involontaire en labsence de délégation de
    pouvoirs, dès lors que les gérants de droit de
    lentreprise navaient quune rôle administratif
    tandis que le prévenu assurait le suivi des
    chantiers et prenait toutes les décisions
    relatives à la conduite des travaux, notamment
    celles relatives à la sécurité (Crim 23/11/2004)
  • Responsabilité cumulative du gérant de droit et
    du gérant de fait(Crim 12/09/2000)

9
La délégation pénale
  • Délégation inopérante
  • Dévolue à plusieurs personnes dans un même
    domaine de compétence
  • Délégation purement formelle ou fausse
  • Immixtion du chef dentreprise dans les pouvoirs
    délégués

10
La subdélégation
  • La subdélégation nest possible que dans le
    respect des conditions de validité de la
    délégation
  • Exemple (Cass. crim 8 février 1983)
  • Un PDG sollicitait sa relaxe dans une affaire où
    des dispositifs de sécurité nont pas été
    installés au motif quil avait confié au DG une
    délégation permettant à celui-ci dopérer à son
    tour délégation à tout subordonné compétent
  • Décision de la Cour de cassation aucune règle de
    droit ninterdisant la subdélégation, le DG est
    responsable de ne pas confié les pouvoirs quil
    tenait du PDG à un préposé compétent

11
THEME N2MÂITRISER LES CAS DANS LESQUELS
LENTREPRISE EST RESPONSABLE DUNE UTILISATION
FRAUDULEUSE DES MOYENS INFORMATIQUES MIS A LA
DISPOSITION DES SALARIES
12
Lentreprise fournisseur daccès
  • CA Paris 4 février 2005
  •  En sa qualité non contestée de prestataire
    technique au sens de larticle 43-7 de la loi du
    1er août 2000, la société BNP PARIBAS est tenue
    de détenir et de conserver les données de nature
    à permettre lidentification de toute personne
    ayant contribué à la création dun contenu des
    services dont elle est prestataire et de
    communiquer ces données sur réquisitions 

13
Lentreprise prestataire technique
  • Les prestataires techniques (Article 6 de la Loi
    pour la confiance dans léconomie numérique du 21
    juin 2004)
  • les fournisseurs daccès et éditeurs de services
    de communication au public en ligne,
  • les hébergeurs
  • Responsabilité civile ou pénale des hébergeurs
    si
  • ils ont connaissance de lexistence du contenu
    illicite
  • Ils nagissent pas promptement pour le supprimer
    ou en rendre laccès impossible
  • Responsabilité civile et pénale liée à lactivité
    de stockage automatique, intermédiaire et
    temporaire si
  • modification du contenu, non respect des règles
    daccès, entrave à lutilisation normale, non
    suspension de laccès malgré la demande

14
Obligations et responsabilités de lentreprise
prestataire technique
  • Pas dobligation
  • De surveiller les informations transmises ou
    stockées
  • De rechercher la présence de contenus illicites
  • Obligation
  • De détenir et de conserver les données permettant
    didentifier tout contributeur de contenus et de
    les communiquer à lautorité judiciaire
  • De concourir à la lutte contre lapologie de
    certains crimes, lincitation à la haine raciale
    et la pornographie infantile, lincitation à la
    violence ainsi quà toute les formes datteintes
    à la dignité humaine (article 40 Loi sur la
    prévention de la délinquance du 5 mai 2007)
  • Dagir promptement pour avertir les autorités de
    lexistence des contenus ou comportements
    relevant de lincitation à la violence ou
    atteinte à la dignité humaine, aux contenus
    pornographiques, violents, attentatoires à la
    dignité humaines susceptibles dêtres vus par des
    mineurs (Loi sur la prévention de la délinquance)
  • De mettre en place un dispositif permettant de
    signaler les sites de jeux dargent en ligne
    identifiés comme répréhensibles par les autorités
    compétentes et dinformer les abonnées des
    risques encourus par eux du fait dactes de jeux
    réalisés en violation de la loi depuis la France
    (Loi sur la prévention de la délinquance)

15
Lentreprise éditeur de service de communication
au public en ligne
  • Désignation du directeur de la publication
  • Obligation sous peine de sanctions pénales
  • Informations notamment sur la raison sociale, le
    siège sociale
  • Informations sur les hébergeurs du site de
    lentreprise
  • Responsabilité du fait du contenu du site
    (diffamation, injure, respect de la vie privée,
    contrefaçon de marque et droit dauteur
    notamment)
  • Loi Informatique et Libertés information des
    internautes sur leurs droits

16
La responsabilité du commettant du fait des
préposés
  • Article 1384 alinéa 5 du Code civil
  • Arrêt  Lucent Technologies  de la Cour dappel
    dAix-en-Provence du 13 mars 2006
  • Création dun site internet dénigrant et
    contrefaisant par un salarié à son domicile qui a
    ensuite procédé à la diffusion de contenus
    illicites à partir de son lieu de travail
  • Lemployeur est jugé avoir engagé sa
    responsabilité du fait de la contrefaçon de
    marque et de droit dauteur commise par son
    salarié

17
Les blogs de salariés
  • Affaire Nissan, TGI Paris 16 octobre 2006
  • La société Nissan a poursuivi une ancienne
    salarié qui relatait sur son blog son retour de
    congé de maternité au sein de lentreprise.
  • Le tribunal a retenu la bonne foi de lancienne
    salariée concernant laspect personnel de ses
    récits mais la condamnée à retirer les passages
    diffamatoires et injurieux de son blog et à des
    dommages et intérêts pour diffamation et injures

18
THEME N3PROTEGER VOTRE SAVROIR-FAIRE ET LE
PARTRIMOINE INTELLECTUEL DE LENTREPRISE PAR DES
DISPOSITIONS ADAPTEES DE VOS CONTRATS ET LE
RECOURS A DES ORGANISMES TIERS
19
Les modes de protections du savoir-faire et du
patrimoine intellectuelle de lentreprise
  • La protection par le droit dauteur, les brevets,
    le droit des producteurs de bases de données
  • La protection contractuelle linsertion dans vos
    contrats de clauses adaptées

20
La titularité des droits dune uvre de lesprit
  • Création collective
  • uvre créée sur linitiative dune personne
    physique ou morale qui lédite, la publie et la
    divulgue sous sa direction et son nom. La
    contribution personnelle des divers auteurs se
    fond dans lensemble sans quil soit possible
    dattribuer à chacun deux un droit distinct sur
    lensemble réalisé (article L 113-2 alinéa 3 CPI)
  • Création de commande
  • Lauteur est seul titulaire des droits
  • Création indépendante
  • Le créateur est seul titulaire des droits
    (article L 111-1 du CPI)
  • uvre de collaboration en cas de pluralité de
    créateurs indépendants intervenants sur la
    création de logiciel (article L 113-2 alinéa 1er
    CPI)
  • La qualité dauteur appartient sauf preuve
    contraire à celui ou à ceux sous le nom de qui
    luvre a été divulguée (article L 113-1 CPI)
  • uvre de salarié cas particulier du logiciel
  • Article L 113-9 du CPI dévolution des droits
    patrimoniaux sur le logiciel et sa documentation
    à lemployeur si le logiciel a été créé dans
    lexercice des fonctions de lemployé ou daprès
    les instructions de lemployeur.
  • Les droits moraux ne sont pas dévolus à
    lemployeur

21
La preuve des droits
  • Recours a un huissier de justice
  • Qui apposera des scellés sur une enveloppe
    contenant luvre (manuscrit, dessins,
    modèles, logiciel etc.) et établira un PV de
    scellés
  • Lenveloppe Soleau de lINPI
  • Enveloppe percée au laser et conservée à lINPI
    pour une période de 5 ans renouvelable une fois
  • Ne peut contenir de corps durs et de plus de 5
    millimètres dépaisseurs
  • Le dépôt à la SGDL
  • Dépôt sous forme papier ou numérique
  • Durée 4 ans renouvelable une fois pour 4 ans
    sinon envoi du dépôt à lauteur ou destruction
  • PERMET DOBTENIR LA PREUVE DE LA DATE DE CREATION
    ET DE SON CONTENU

22
La preuve des droits sur les logiciels
  • Recours à un huissier, à lenveloppe Soleau de
    lINPI et au dépôt auprès de la SGDL
  • Autres modes de preuve
  • Inscription sur le répertoire de lAgence pour la
    Protection des Programmes
  • Dépôt légal à la Bibliothèque Nationale de France
    (Loi du 20 juin 1992)
  • Référencement en ligne avec le système IDDN
    (InterDeposit Digital Number) sur le site
    www.iddn.org. Obtention dun certificat
    authentifié en ligne

23
La protection par le droit dauteur
  • Droit moral
  • Droit de divulgation
  • Droit de repentir et respect de luvre
  • Droit au nom
  • Droits patrimoniaux
  • Droit de représentation
  • Droit de reproduction
  • Durée de la protection 70 ans après la mort de
    lauteur

24
La protection par le droit dauteur spécificités
du logiciel
  • Droit moral (article L 121-7 CPI) lauteur du
    logiciel ne peut
  • Sopposer à la modification du logiciel par le
    cessionnaire des droits lorsquelle nest
    préjudiciable ni à son honneur ni à sa réputation
  • Exercer son droit de repentir ou de retrait
  • Droits patrimoniaux (articles L 122-6)
  • Lauteur du logiciel peut effectuer et autoriser
  • La reproduction permanente ou provisoire dun
    logiciel en tout ou partie par tout moyen et sous
    toute forme
  • La traduction, adaptation, arrangement ou tout
    autre modification
  • La mise sur le marché à titre onéreux ou gratuit,
    y compris la location, du ou des exemplaires dun
    logiciel par tout procédé épuisement du droit

25
Les limites aux droits de lauteur du logiciel
(article L 122-6-1 du CPI)
  • La personne ayant le droit dutiliser le logiciel
    peut sans laccord de lauteur
  • Reproduire, traduire, arranger, adapter le
    logiciel pour permettre son utilisation
    conformément à sa destination, y compris pour
    corriger des erreurs
  • Faire une copie de sauvegarde lorsque celle-ci
    est nécessaire pour préserver lutilisation du
    logiciel
  • Étudier ou tester le fonctionnement de ce
    logiciel afin de déterminer les idées et
    principes qui sont à la base de nimporte quel
    élément du logiciel lorsquelle effectue toute
    opération de chargement, daffichage,
    dexécution, de transmission ou de stockage du
    logiciel quelle est en droit deffectuer

26
La protection par le brevet dinvention
  • Article L 611-10 du CPI
  • 1) Sont brevetable les inventions nouvelles
    impliquant une activité inventive et susceptibles
    dapplication industrielle
  • 2) Ne sont pas considérées comme des inventions
  • Les découvertes ainsi que les théories
    scientifiques et les méthodes mathématiques, les
    créations esthétiques, les plans, principes et
    méthodes dans lexercice dactivité
    intellectuelles, en matière de jeu ou dans le
    domaine économiques ainsi que les programmes
    dordinateurs, les présentations dinformations
  • 3) Les dispositions du 2 nexcluent pas la
    brevetabilité des éléments énumérés aux dites
    dispositions que dans la mesure où la demande de
    brevet ou le brevet ne concerne que lun de es
    éléments considéré en tan que tel.
  • Dépôt auprès de lINPI
  • Durée de la protection 20 ans

27
La brevetabilité des logiciels
  • Principe en France de lexclusion de la
    brevetabilité des logiciels en tant que tels.
    Toutefois les machines ou systèmes exécutant des
    opérations au moyen dun logiciel sont
    brevetables
  • OEB a accordé 30 000 brevets portant sur des
    inventions mettant en uvre des logiciels
  • Les logiciels sont brevetables sous réserve de
    remplir les conditions générales pour la
    brevetabilité la nouveauté, lactivité inventive
    et lapplication industrielle
  • Décision Microsoft 23 février 2006 il ressort de
    la motivation de la chambre de recours technique
    que dès quun programme dordinateur est exécuté
    sur un ordinateur, il nest plus considéré comme
    un programme dordinateur mais comme une
     méthode ou une invention mise en uvre par
    ordinateur  et peut donc être brevetable .
  • Application par la France de critères plus
    restrictifs que lOEB

28
Le droit des producteurs de bases de données
  • On entend par base de données un recueil
    duvres, de données ou dautres éléments
    indépendants, disposés de manière systématique ou
    méthodique, et individuellement accessibles par
    des moyens électroniques ou par toute autre
    moyens (article L112-3 al 2 CPI)
  • Le producteur dune base de données est celui qui
    prend linitiative et le risque des
    investissements correspondants (articles L 341-1
    CPI)

29
Le droit des producteurs de bases de données
  • Le producteur dune base bénéficie dune
    protection du contenu de sa base dans le mesure
    où il atteste dun investissement financier,
    matériel ou humain substantiel
  • Il peut interdire
  • Lextraction de la totalité ou dune partie
    qualitativement ou quantitativement substantielle
    du contenu de sa base (affaire cadremploi/ keljob
    TGI Paris 5 septembre 2001)
  • La réutilisation par la mise à disposition du
    public de la totalité ou dune partie
    qualitativement ou quantitativement substantielle
    du contenu dune base de données

30
La protection par linsertion de dispositions
adaptées dans les contrats
  • Le droit de la propriété intellectuelle ne permet
    pas une protection optimum du savoir-faire et du
    patrimoine intellectuel de lentreprise
  • Exemple ne protège pas les idées et concepts qui
    par principe sont de libre parcours, le
    savoir-faire
  • Linsertion dans les contrats de dispositions
    relatives à la confidentialité,à la propriété, à
    la cession de droits permet dy pallier
  • Article 1134 du Code civil  Les conventions
    légalement formées tiennent lieu de loi à ceux
    qui les ont faites .

31
Clauses de confidentialité
  • Permettent de se protéger contre lutilisation
    par le client dinformations qui lui ont été
    présentés au cours de lexécution du contrat ou
    même au stade des pourparlers ou des
    connaissances quil a pu acquérir
  • Ces clauses précisent
  • Ce qui est soumis au secret, à la confidentialité
  • Par exemple les informations, les documents,
    procédés, savoir-faire, logiciels, technologies,
    secrets de fabrique, inventions, prototypes et
    outils, toutes informations relatives au contrôle
    de qualité et au marketing, les informations
    commerciales, stratégiques et financières des
    parties
  • Ce qui ne constitue pas une information
    confidentielle
  • Par exemple les informations légalement détenues
    par une partie avant leur divulgation par
    lautre, les informations qui ne résultent ni
    directement ni indirectement de lutilisation de
    tout ou partie des informations confidentielles,
    les informations valablement obtenues auprès dun
    tiers autorisé à transférer ou à divulguer
    lesdites informations.
  • La durée de lobligation de confidentialité
  • Par exemple  Lobligation de confidentialité ne
    séteindra que trois ans à compter de
    lexpiration ou de la résiliation du présent
    contrat pour quelque raison que ce soit . 
  • Les conséquences en cas de violation de la clause
    de confidentialité

32
Clauses de communication de savoir-faire
  • Intégrer
  • Des dispositions relatives à la confidentialité
  • Interdiction pour le bénéficiaire deffectuer des
    copies des documents confidentiels
  • Engagement du bénéficiaire à limiter la diffusion
    du savoir- faire aux seuls membres de son
    personnel dont les fonctions nécessitent quil y
    aient accès ou pour lusage mentionné au contrat
  • Obligation de restituer au titulaire du
    savoir-faire, à lexpiration du contrat, tous les
    documents qui lui ont été transmis
  • Prévoir la sanction de la violation de la clause
    relative à la communication du savoir-faire
    réparation financière, résiliation du contrat

33
La protection en interne du savoir-faire
  • Question du salarié appelé à connaître et/ou
    utiliser le savoir-faire en question
  • Intégrer une clause de confidentialité dans son
    contrat de travail
  • Obligation de ne pas divulguer à quiconque toute
    information soumise à la confidentialité et
    relative à lactivité de lentreprise
  • Obligation plus stricte nautorisant le salarié à
    échanger des informations sur le travail qui lui
    est confié quà certains membres du personnel
    expressément désignés dans la clause
  • Prévoir les sanctions de la violation de la
    clause
  • Intégrer une clause de non concurrence
    interdisant au salarié de travailler chez un
    concurrent pendant une durée de un à trois ans
    par exemple moyennant une indemnité compensatrice

34
Les clauses de propriété
  • Déterminer avec précision dans les clauses de
    propriété lequel de chaque cocontractant est
    titulaire de droits de propriété intellectuelle
    notamment sur
  • les logiciels
  • les marques
  • les contenus sites web
  • les brevets dinvention
  • les dessins et modèles,
  • Les bases de données,
  • Les informations et documents

35
Clause de cession de droits
  • Cession des droits dauteur
  • À titre gratuit ou onéreux
  • Du droit de représentation et/ou de reproduction
  • Article L 131-3 CPI
  • Chacun des droits cédés doit faire lobjet dune
    mention distincte dans lacte de cession
  • Le domaine dexploitation des droits cédés doit
    être délimité quant à son étendue, sa
    destination, quant au lieu de lexploitation et
    quant à la durée
  • Cession de droit sur les brevets, dessins et
    modèles, logiciels, bases de données etc

36
Clauses de sous-traitance
  • Intégrer dans les contrats avec les
    sous-traitant
  • Une clause de confidentialité afin de protéger
    votre savoir-faire
  • Une clause de cession de droit si lexécution du
    contrat de sous-traitance rend nécessaire la
    cession de certains droits de propriété
  • Une clause de propriété

37
THEME N4RECENSER LES FICHIERS DE VOTRE SOCIETE
ET REALISER LES DECLARATIONS NECESSAIRES AUPRES
DE LA CNIL
38
Définitions
  • Fichier de données à caractère personnel tout
    ensemble structuré et stable de données à
    caractère personnel accessibles selon des
    critères
  • Donnée à caractère personnel toute information
    relative à une personne physique identifiée ou
    qui peut être identifiée, directement ou
    indirectement, par référence à un numéro
    didentification ou à un ou plusieurs éléments
    qui lui sont propres
  • Traitement de données à caractère personnel
    toute opération ou ensemble dopérations portant
    sur de telles données, quel que soit le procédé
    utilisé et notamment la collecte,
    lenregistrement, lorganisation, la
    conservation, ladaptation ou la modification,
    lextraction, la consultation, lutilisation, la
    communication par transmission, diffusion ou
    toute autre forme de mise à disposition, le
    rapprochement ou linterconnexion , ainsi que le
    verrouillage, leffacement ou la destruction

39
Identifier les fichiers à déclarer
  • Principe
  • Tous les traitements ou fichiers automatisés de
    données à caractère personnel font lobjet dune
    déclaration à la CNIL
  • Exceptions
  • Les dispenses de déclaration
  • Les déclarations simplifiées
  • Les traitements soumis à lautorisation préalable
    de la CNIL

40
Les dispenses de déclarations
  • Sont dispensés de déclaration les traitements
  • mis en uvre par les comités dentreprises ou
    détablissements, ou les délégués du personnel
    pour la gestion de leurs activités sociales et
    culturelles
  • ayant pour finalité la tenue, lutilisation et la
    communication des listes dinitiés
    (banque-finance)
  • relatifs à la gestion des membres et donateurs
    des associations à but non lucratif régies par la
    loi du 1er juillet 1901
  • constitués à des fins dinformation ou de
    communication externe
  • mis en uvre par les collectivités territoriales
    et les services du représentant de lÉtat dans
    le cadre de la dématérialisation du contrôle de
    légalité
  • les sites web diffusant ou collectant des données
    à caractères personnel mis en uvre par des
    particuliers dans le cadre dune activité
    exclusivement personnelle
  • relatifs à la gestion des fichiers de
    fournisseurs comportant des personnes physiques
  • mis en uvre par les organismes publics dans le
    cadre de la dématérialisation des marchés publics
  • de gestion des rémunérations mis en uvre par les
    personnes morales de droit privé autres que
    celles gérant un service public
  • de comptabilité générale

41
Les déclarations simplifiées
  • La CNIL a établi des normes simplifiées
  • Exemples
  • traitements automatisés de données à caractère
    personnel mis en uvre dans le cadre de
    lutilisation de services de téléphonie mobile
    sur les lieux de travail
  • traitements automatisés de données à caractère
    personnel mis en uvre par les organismes publics
    ou privés destinés à géolocaliser les véhicules
    utilisés par leurs employés
  • gestion de fichiers de clients et de prospects de
    tous organismes sauf les établissements
    bancaires, assurance, professionnels de santé et
    de léducation
  • Lorsque le traitement mis en uvre correspond en
    tout point à lune des normes établies par le
    CNIL simple déclaration de conformité

42
Les autorisations
  • Sont soumis à lautorisation préalable de la CNIL
    les traitements
  • concernant des données sensibles (origines
    raciales, ethniques, opinions politiques)
  • de données biométriques, génétiques
  • des infractions, condamnations ou mesures de
    sûretés
  • le NIR (numéro de sécurité sociale)
  • relatifs aux interconnexions de fichiers
  • comportant des appréciations sur les difficultés
    sociales des personnes
  • Sont soumis à lautorisation par décret ou arrêté
    après avis motivé de la CNIL les traitements
    publics concernant
  • la sûreté, la défense ou la sécurité publique
  • la prévention, la recherche, la constatation ou
    la poursuite des infractions pénales ou
    lexécution des condamnations pénales ou des
    mesures de sûretés
  • le NIR ou la consultation du RNIPP (registre
    nationale didentification des personnes
    physiques)
  • des données biométriques
  • le recensement de la population

43
Le correspondant informatique et libertés
  • La désignation dun correspondant Informatique et
    libertés permet dêtre exonéré de tout ou partie
    des formalités préalables auprès de la CNIL leur
    incombant
  • Seuls les traitements soumis à autorisation ou
    avis préalable de la CNIL devront être déclarés
  • Les autres traitements devront être référencés
    dans une liste tenue par le correspondant
    localement

44
Le correspondant informatique et libertés
  • Qui est-il?
  • Un salarié ou une personne extérieure à
    lentreprise
  • Personne disposant des qualifications requises
    pour exercer ses fonctions
  • Autonomie daction
  • Comment est-il désigné?
  • Le responsable des traitements de données
    personnelles doit informer par LRAR les instances
    représentatives du personnel de sa décision de
    désigner un correspondant et de leur transmettre
    son identité
  • Notification à la CNIL de la désignation par
    lenvoi dun formulaire spécifique par LRAR à la
    CNIL
  • Prise deffet de sa désignation un mois après
    réception de la notification par la CNIL
  • Quels sont ses fonctions?
  • Tenir une liste des traitements de données à
    caractère personnel
  • Veiller au respect des dispositions de la Loi
    Informatique et Libertés
  • Informer les personnes sur leurs droits (accès
    etc), alerter la CNIL en cas de manquement du
    responsable du traitement à ses obligations,
    rendre compte de son action

45
Les modalités de déclaration
  • La déclaration
  • Doit être faite par le responsable du traitement
    ou du fichier,
  • Préalablement à la mise en uvre du fichier ou du
    traitement
  • Par télédéclaration ou envoi ou dépôt dun
    dossier papier à la CNIL qui délivrera un
    récépissé permettant de mettre en uvre le
    traitement ou le fichier
  • Toute modification du traitement ou du fichier
    doit être signalée à la CNIL

46
Traitements de données à caractère personnel et
contrats
  • Traitement des données par un sous- traitant
    (article 35 de la loi de 1978)
  • Le sous-traitant doit présenter des garanties
    suffisantes pour assurer la mise en uvre des
    mesures de sécurité et de confidentialité ( doit
    pouvoir empêcher que les données traitées soient
    endommagées, déformées ou que des tiers non
    autorisés y aient accès)
  • Le contrat liant le sous-traitant au responsable
    du traitement doit
  • Indiquer lensemble des obligations incombant au
    sous-traitant en matière de protection de la
    sécurité et de la confidentialité des données
  • Prévoir que le sous-traitant ne pourra agir que
    sur instruction préalable du responsable du
    traitement

47
Traitements de données à caractère personnel et
contrats
  • Le contrat de cession ou de location de données
  • Respect du droit des personnes concernées par la
    cession droit à linformation, droit
    dopposition et droit daccès et de rectification
  • La cession doit être mentionnée dans la
    déclaration ou la demande dautorisation à la
    CNIL
  • Obligation du cessionnaire
  • doit respecter la finalité initiale du traitement
    des données à caractère personnel objet du
    contrat
  • sengage à respecter la législation applicable en
    matière de traitement de données à caractère
    personnel

48
Le transfert à létranger (hors CE) de données à
caractère personnel
  • Principe le transfert est possible si le pays
    destinataire assure un niveau de protection
    suffisant de la vie privée et des libertés et
    droits fondamentaux des personnes à légard du
    traitement des données concernées
  • Évaluation du niveau de protection assurée par un
    État en fonction
  • des dispositions en vigueur dans cet État
  • des mesures de sécurité qui y sont appliquées
  • des caractéristiques propres du traitement (ses
    fins, sa durée, la nature, lorigine et la
    destination des données traitées)
  • Le transfert de données vers un pays étranger
    hors CE doit être précisé dans les déclarations
    de traitements réalisés auprès de la CNIL

49
Le transfert à létranger (hors CE) de données à
caractère personnel Exceptions
  • Le transfert de données vers un pays nassurant
    pas un niveau de protection suffisante est
    possible si
  • la personne concernée y a consenti
  • ou
  • le transfert est nécessaire à
  • la sauvegarde de la vie de la personne, de
    lintérêt public, ou
  • au respect dobligations permettant dassurer la
    constatation, lexercice ou la défense dun droit
    en justice, ou
  • la consultation, dans des conditions régulières,
    dun registre public qui, en vertu de
    dispositions législatives ou réglementaires, est
    destiné à linformation du public et est ouvert à
    la consultation de celui-ci ou de toute personne
    justifiant dun intérêt légitime, ou
  • lexécution dun contrat entre le responsable du
    traitement et lintéressé, ou de mesures
    pré-contractuelles prises à la demande de
    celui-ci, ou
  • conclusion ou exécution dun contrat conclu ou à
    conclure, dans lintérêt de la personne
    concernée, entre le responsable du traitement et
    un tiers.

50
Le transfert à létranger (hors CE) de données à
caractère personnel
  • Insérer des clauses  Informatiques et libertés 
    relatives au transfert de données dans vos
    contrats avec vos sous-traitants étrangers
  • Ces clauses doivent prévoir
  • Le droit applicable
  • Les détails du transfert des données
  • Les obligations de lexportateur et de
    limportateur de données
  • Les règles de responsabilité applicables
  • La coopération avec les autorités de contrôle
  • Les obligations de limportateur de données en
    cas de résiliation du contrat

51
THEME N5ACCES PAR BADGE, CONTRÔLE BIOMETRIQUE,
ARCHIVAGERECENSER TOUTES VOS OBLIGATIONS LEGALES
52
Accès par badge
  • Obligation de déclaration si lentreprise met en
    place un système automatisé des données
    recueillies (heures dentrée et de sortie)
    lorsque les salariés sont identifiables
  • Droits des salariés sur les données nominatives
    traitées
  • Droit à linformation
  • Droit dopposition
  • Droit daccès
  • Droit de rectification

53
Accès par badge
  • Conséquence du défaut de déclaration
  • Cass. soc 6 avril 2004 une société avait mis en
    uvre un système de badge qui était géré par des
    moyens automatisés et permettant didentifier les
    salariés à leur entrée et à leur sortie des
    locaux de lentreprise sans procéder à une
    déclaration auprès de la CNIL.
  • Un salarié ayant refusé à 19 reprises dutiliser
    son badge a été licencié.
  • La Cour de cassation a jugé que faute de
    déclaration à la CNIL, son refus de déférer à une
    exigence de son employeur impliquant la mise en
    uvre du traitement ne peut lui être reproché et
    que le licenciement était ainsi sans cause réelle
    et sérieuse

54
Larchivage électronique
  • Recommandation de la CNIL du 23/10/2005 qui
    sapplique aux
  • archives courantes par exemple les données
    concernant un client dans le cadre de lexécution
    dun contrat
  • archives intermédiaires données conservées à
    titre dexemple pour les besoins dun contentieux
  • Recommandationaccès limité à un service
    spécifique et mise en place dun mode de gestion
    des droits daccès
  • archives définitives données ayant un intérêt
    historique, scientifique ou statistique
    justifiant quelles ne fassent pas lobjet dune
    destruction
  • recommandation conservation sur un support
    indépendant, accès ponctuel et motivé auprès dun
    service seul habilité à consulter ce type
    darchives
  • utilisation de procédés danonymisation
    particulièrement pour les données sensibles

55
Larchivage électronique
  • La finalité du traitement le détournement de
    finalité est puni de cinq ans demprisonnement et
    de 300 000 damende
  • Le droit à loubli les données ne peuvent être
    conservées que pendant une durée raisonnable
    cest à dire proportionnée à la finalité du
    traitement. La durée de conservation doit être
    déclarée à la CNIL
  • La confidentialité des données la communication
    de données archivées à des personnes non
    autorisées est punie de 5 ans demprisonnement et
    de 300 000 damende, et de 3 ans et 100 000
    si la divulgation résulte dune imprudence
  • Mise en uvre de mesures techniques et
    dorganisation appropriées contre la diffusion ou
    laccès non autorisés ou contre toute forme de
    traitement illicite des données archivées

56
Les contrôles biométriques sur les lieux de
travail
  • Données biométriques
  • Particularités physiques empreintes digitales,
    iris de lil, contour de la main
  • ADN, sang, odeurs
  • Certains éléments comportementaux signature,
    démarche
  • La CNIL définit les systèmes biométriques comme
    les applications permettant lidentification
    automatique ou léligibilité dune personne à se
    voir reconnaître des droits ou services
    (notamment laccès) basés sur la reconnaissance
    de particularités physiques,de traces ou
    déléments comportementaux

57
Les contrôles biométriques
  • Distinction
  • Systèmes biométriques à traces/ sans traces la
    distinction repose sur la possibilité (à trace)
    ou non (sans trace) de récupérer la donnée
    biométriques à linsu de la personne.
  • Cas des empreintes digitales (à trace)
  • seul un impératif de sécurité incontestable peut
    justifier la constitution de telles bases dans la
    mesure ou ces données laissent des traces et
    peuvent être utilisées à des fins étrangères à
    leur finalité première
  • La mise en uvre dun contrôle daccès par un
    système reposant sur le traitement de tout autre
    donnée biométrique ne laissant pas de traces ne
    posent pas problèmes au regard de la loi
     informatique et libertés 

58
Les systèmes de contrôle daccès biométriques
  • Avis favorable de la CNIL
  • Gestion des contrôles daccès des agents de la
    Banque de France par empreintes digitales
  • Contrôle daccès par la reconnaissance
    dempreintes digitales de certains personnels de
    léducation nationale pour certains locaux de la
    cité académique de Lille
  • Vérification de lidentité des détenus en
    établissement par la reconnaissance de la
    morphologie de la main
  • Mise en uvre par létablissement public
    Aéroports de Paris dun contrôle daccès
    biométrique par empreintes digitales aux zones
    réservées de sûreté des aéroports dOrly et
    Roissy
  • Avis défavorable de la CNIL
  • Gestion de laccès à la cantine scolaire dun
    collège reposant sur la reconnaissance
    automatique des empreintes des personnes
    concernées et constitution dune base de données
  • Gestion des horaires de travail des personnels
    communaux dune mairie par un dispositif de
    reconnaissance des empreintes digitales
  • Gestion du temps de travail des personnels du
    centre hospitalier de Hyères par un dispositif de
    reconnaissance de lempreinte digitale

59
THEME N6E-MAILS ET FICHIERS PERSONNELS OU
PROFESSIONNELS QUEL POUVOIR DE CONTRÔLE POUR
LENTREPRISE?
60
E-mails et fichiers personnels ou professionnels
  • Les fichiers informatiques détenus par un salarié
    sur son lieu de travail sont présumés être
    professionnels sauf à être identifiés comme
    personnels
  • Arrêt de la Cour de cassation du 18 octobre 2006
  •  Les dossiers et fichiers créés par un salarié
    grâce à l'outil informatique mis à sa disposition
    par son employeur pour l'exécution de son travail
    sont présumés, sauf si le salarié les identifie
    comme étant personnels, avoir un caractère
    professionnel de sorte que l'employeur peut y
    avoir accès hors sa présence 

61
E-mails et fichiers personnels ou professionnels
  • Les courriers électroniques et le secret des
    correspondances
  • Le salarié a le droit sur son lieu et pendant son
    temps de travail au respect de sa vie privée et
    de sa correspondance arrêt NIKON de la Cour de
    cassation du 2 octobre 2001
  • Lemployeur ne peut prendre connaissance des
    courriers électroniques personnels de ses
    salariés
  • Proposition de loi du 13 juin 2006 visant à
    définir le courrier électronique professionnel
    qui nest pas défini dans la LCEN

62
E-mails et fichiers personnels ou professionnels
  • En cas de difficultés telles que des soupçons
    dinfraction pénale
  • Lautorisation judiciaire de faire pratiquer une
    copie peut être demandée
  • Délit pénal de violation de la correspondance
    privée article 226-15 du Code pénal
  • Faut-il établir une distinction avec les fichiers
    personnels ?
  • Arrêt de la Cour de cassation du 17 mai 2005
    Cathnet-Science
  • L'employeur ne peut ouvrir les fichiers
    identifiés par le salarié comme personnels
    contenus sur le disque dur de lordinateur mis à
    sa disposition quen présence du salarié dûment
    appelé sauf en cas de risque ou évènement
    particulier

63
Lutilisation dinternet par les salariés
  • Lentreprise peut mettre en place un dispositif
    de limitation du volume et de la taille des
    courriers électroniques échangés dans un but de
    contrôle dencombrement du réseau et de sécurité

64
Le contrôle des connexions internet par
lemployeur
  • Lemployeur peut fixer les conditions
    dutilisation dinternet
  • Mise en place dun dispositif de filtrage des
    sites non autorisés
  • Interdiction de télécharger certains logiciels,
    de participer à des forums de discussion ou chat
  • Article L 432-2-1 du Code du travail
  • Le comité d'entreprise est informé et consulté,
    préalablement à la décision de mise en oeuvre
    dans l'entreprise, sur les moyens ou les
    techniques permettant un contrôle de l'activité
    des salariés.

65
THEME N7LA NOUVELLE PROCEDURE DE SANCTION
DEVANT LA CNIL
66
Les sanctions pécuniaires (loi du 6 août 2004
modifiant la loi du 6 janvier 1978)
  • Si le responsable dun traitement ne donne pas de
    suite favorable à une mise en demeure de la CNIL
    de faire cesser un manquement cette dernière peut
    prononcer une sanction pécuniaire
  • proportionnée à la gravité du manquement et des
    avantages qui en sont tirés
  • la sanction ne peut excéder 150 000 euros lors du
    premier manquement et 300 000 euros en cas de
    réitération dans les 5 ans, ou 5 du chiffre
    daffaires HT du dernier exercice clos dans la
    limite de 300 000 euros
  • lorsque la CNIL a prononcé une sanction
    pécuniaire devenue définitive avant que le juge
    pénal ait statué définitivement sur les mêmes
    faits ou des faits connexes,celui-ci peut
    ordonner que la sanction pécuniaire simpute sur
    lamende quil prononce
  • exemples
  • Délibération de la CNIL du 28 juin 2006 prononcé
    dune sanction pécuniaire à lencontre du Crédit
    Lyonnais pour un montant total de 45 000 euros
  • Délibération de la CNIL du 14 décembre 2006
    prononcé dune sanction à lencontre de la
    société Tyco Healthcare France de 30 000 euros

67
Le pouvoir de sanction de la CNIL
  • Injonction de cesser le traitement ou retrait de
    lautorisation
  • Mise en demeure du responsable du traitement de
    faire cesser le manquement constaté dans un délai
    fixé par la CNIL
  • Avertissement à légard du responsable du
    traitement en cas de non respect des obligations
    prévues par la loi de 1978

68
Le pouvoir de sanction de la CNIL
  • En cas durgence et lorsque la mise en uvre
    porte atteinte à lidentité humaine, aux droits
    de lhomme, à la vie privée, aux libertés
    individuelles ou publiques, la CNIL peut, après
    une procédure contradictoire,décider
  • de linterruption de la mise en uvre du
    traitement (3 mois maximum)
  • du verrouillage de certaines données, hormis ceux
    mis en uvre par lÉtat ou pour son compte (3
    mois maximum)
  • dinformer le Premier ministre pour quil prenne,
    le cas échéant, les mesure permettant de faire
    cesser la violation constatée

69
Les sanctions prononcées par la CNIL procédure
  • Elles sont prononcées sur la base dun rapport
    dun membre de la CNIL désigné par son Président
  • Le rapport est notifié au responsable du
    traitement qui peut déposer des observations et
    se faire représenter ou assister
  • Le rapporteur peut présenter des observations
    orales mais ne prendra pas part à la délibération
  • La CNIL peut en cas de mauvaise foi du
    responsable du traitement ordonner linsertion de
    la sanction dans le presse ou sur tout support,
    les frais étant supportés par le responsable
  • Les décisions sont motivées et notifiées au
    responsable du traitement
  • Les décisions prononçant une sanction peuvent
    faire lobjet dun recours de pleine juridiction
    devant le Conseil dÉtat

70
La sanction des infractions aux dispositions de
la loi du 6 janvier 1978
  • Est puni le 5 ans demprisonnement et de 300 000
    euros damende le
  • Non respect des formalités préalables à la mise
    en uvre du traitement, dune injonction de
    traitement prononcée par la CNIL, dune norme
    simplifiée, du droit dopposition fondée sur un
    motif légitime, de la finalité du traitement
  • La collecte de données par un moyen frauduleux,
    illicite ou déloyal
  • Le traitement de données sensibles sans laccord
    exprès de lintéressé, à des fins de recherche
    dans le domaine de la santé sans information
    préalable ou malgré lopposition de lintéressé,
    concernant des infractions, des condamnations ou
    des mesures de sûreté hors les cas prévus par la
    loi
  • Articles 226-16 à 226-24 du Code Pénal

71
Les autres sanctions pénales
  • 1 an demprisonnement et 15 000 euros damende
  • Entrave à laction de la CNIL (article 51de la
    loi du 6 janvier 1978)
  • 750 euros damende pour chaque correspondance ou
    chaque appel (contravention de 4ème classe)
  • Utilisation dans des opérations de prospection
    directe, des données à caractère personnel
    contenues dans les listes dopposition (article
    R.10-1 al 1er du Code de postes et des
    communications électroniques)
  • Prospection directe dune personne physique par
    un automate dappel, télécopieur, ou courrier
    électronique sans son consentement préalable
    (article R.10-1 al 2 du PCE)
  • Prospection directe dune personne inscrite sur
    la liste dopposition SAFRAN (article R.10-2 du
    CPCE)

72
Mise en conformité des traitements avec la loi de
1978 modifiée
  • Rappel
  • Les responsables de traitements de données à
    caractère personnel dont la mise en uvre est
    intervenue avant la publication de la présente
    loi doivent au plus tard le 7 août 2007 avoir mis
    leurs traitements en conformité avec les
    dispositions de la loi du 6 janvier 1978 modifiée
    par la loi du 6 août 2004
Write a Comment
User Comments (0)
About PowerShow.com