Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Recommandations sur la mise en œuvre du plan de continuité de l’activité

La Cnil rappelle que dans le cadre de la mise en place de plans de continuité de l’activité en cas d’épidémie grippale de grande ampleur, les entreprises pourront être amenées à collecter des informations personnelles sur leurs salariés. Dans un communiqué du 11 août 2009, elle précise que les salariés doivent être informés de la finalité d’un tel traitement et du destinataire des informations. Des mesures doivent également être prises pour assurer la confidentialité des données. Le communiqué sur le site de la Cnil

Publication d’un rapport sénatorial relatif à l’utilisation des données des dossiers passagers

La Commission des affaires étrangères du Sénat a présenté, le 13 mai 2009, un rapport contenant une proposition de résolution en faveur d’un traitement automatisé européen des données personnelles des passagers. Cette proposition entend concilier la sécurité et le respect effectif de la vie privée et de la protection des données à caractère personnel. Ainsi, plusieurs précautions à mettre en œuvre sont mentionnées dans ce rapport notamment sur la durée de conservation des données et sur la finalité du traitement qui devra se limiter à la recherche et la répression des infractions les plus graves. Ce texte fait suite à la proposition-cadre de la Commission européenne de novembre 2007 ayant pour but d’harmoniser les dispositions des États membres sur l’utilisation des données des dossiers passagers (Passenger Name Record – PNR). Le rapport sur le site du Sénat

Publication d’un rapport sénatorial relatif à l’utilisation des données des dossiers passagers

La Commission des affaires étrangères du Sénat a présenté, le 13 mai 2009, un rapport contenant une proposition de résolution en faveur d’un traitement automatisé européen des données personnelles des passagers. Cette proposition entend concilier la sécurité et le respect effectif de la vie privée et de la protection des données à caractère personnel. Ainsi, plusieurs précautions à mettre en œuvre sont mentionnées dans ce rapport notamment sur la durée de conservation des données et sur la finalité du traitement qui devra se limiter à la recherche et la répression des infractions les plus graves. Ce texte fait suite à la proposition-cadre de la Commission européenne de novembre 2007 ayant pour but d’harmoniser les dispositions des États membres sur l’utilisation des données des dossiers passagers (Passenger Name Record – PNR). Le rapport sur le site du Sénat

Données des passagers de transport aérien

À la suite des accords passés entre l’Union européenne et les États-Unis concernant le transfert de données à caractère personnel concernant les passagers de transport aérien, le Sénat a examiné, le 5 mars 2009, la proposition de décision-cadre de la Commission européenne relative à l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives. Ce texte précise notamment les finalités d’un tel système (lutte contre le terrorisme et les infractions graves référencées dans une liste de 32 infractions), les données utilisées, les destinataires des données, la durée de conservation des données et le régime de protection. Les vols intracommunautaires ne sont pas concernés par ce texte. La proposition de résolution européenne sur le site du Sénat

Contrôle du STIC par la Cnil

Le 20 janvier 2009, la Cnil a rendu un rapport de contrôle sur le système de traitement des infractions constatées (STIC) créé par un décret du 5 juillet 2001. Après plus d’un an d’enquête, la Cnil conclut à une gestion insuffisamment rigoureuse et à la présence d’inexactitudes dans le fichier tenu par la police. Suite à ce constat, la Cnil émet 11 propositions pour un meilleur contrôle et pour renforcer la sécurité de l’utilisation du STIC. Un nouveau contrôle du STIC devrait être effectué par la Cnil avant le 31 décembre 2011. Le rapport sur le site de la Cnil (lien inactif)

Remise du rapport BAUER sur les fichiers de police et de gendarmerie

Le rapport BAUER sur les fichiers de police et de gendarmerie a été remis au Ministre de l’Intérieur le 11 décembre 2008. Rédigé par le groupe de contrôle des fichiers de police et de gendarmerie, ce rapport inclut 26 recommandations dont le fichage de suspects selon dix types (méditerranéen et caucasien, asiatique, africain/antillais, etc.). Le rapport insiste également sur une nécessaire amélioration des conditions d’encadrement des fichiers classés « secret défense » et des garanties relatives au fichage des mineurs. La Ministre de l’Intérieur se réserve un mois pour indiquer les propositions du rapport qu’elle entend mettre en œuvre. Le rapport sur le site du Ministère de l'Intérieur