Conformité avec la législation sur la protection des données
Décisions
Agent contractuel affecté au « service des contrôles – affaires économiques » au sein de la direction de la protection des droits et des sanctions de la Commission nationale de l'informatique et des libertés (CNIL) et ayant exercé en qualité « d'auditeur des systèmes d'information ». Agent ayant le projet de rejoindre une entreprise en qualité de responsable de la conformité à la législation sur la protection des données. […]
[…] Enfin, la formation restreinte rappelle que X était conscient de certains des manquements relevés par le rapport de sanction, et qu'il n'a pourtant pas engagé les moyens nécessaires à une mise en conformité à la législation à la protection des données à caractère personnel. […]
[…] 67. Enfin, la formation restreinte rappelle que les ministères étaient conscients de certains des manquements relevés par le rapport de sanction et qu'ils n'ont pourtant engagé les moyens nécessaires à une mise en conformité à la législation à la protection des données à caractère personnel que très tardivement, le contrôle de la délégation de la CNIL ayant débuté en août 2020. A cet égard, les contraintes budgétaires pesant sur les ministères ne peuvent constituer une justification.
[…] En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits. […] Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe ArcelorMittal, agissant en qualité de responsable de traitement, […]
[…] le Gouvernement à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à la réécriture de l'ensemble de la loi du 6 janvier 1978 « afin d'apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu'à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité » avec le droit de l'Union européenne ainsi que les mesures pour « mettre en cohérence avec ces changements l'ensemble de la législation applicable à la protection des données […]
[…] En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/EC du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits. […] Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Johnson Controls, agissant en qualité de responsable de traitement, […]
[…] Les données traitées étant issues de bases composant le SNDS, l'ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l'espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le respect du référentiel de sécurité applicable au SNDS. […] sauf en cas de recueil du consentement conformément aux dispositions du Règlement général sur la protection des données, du régime de formalités préalables prévu par les dispositions de la sous-section 1 de la section 3 du chapitre III du titre 2 de la loi informatique et libertés (déclaration de conformité au référentiel entrepôt de données de santé ou dépôt d'une demande d'autorisation). […]
[…] la CNIL est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, […] la CNIL veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, […] recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables. […]
[…] Point de non-conformité à la méthodologie de référence concernée […] Prenant en considération la décision d'adéquation adoptée par la Commission européenne le 10 juillet 2023, les modifications apportées par les États-Unis à leur législation nationale permettent d'assurer un niveau de protection adéquat des données à caractère personnel vers les organisations situées aux États-Unis lorsqu'ils font la démarche de respecter ce nouveau cadre de protection des données ( data privacy framework , ci-après DPF ).
[…] En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits. […] Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Capgemini, agissant en qualité de responsable de traitement, […]
pendant 7 jours
Commentaires
Quatre traitements de données ont été déployés pour la gestion et le suivi des vaccinations contre la COVID-19 : les fichiers SI-DEP et Contact COVID, auxquels s'ajoutent le déploiement de l'application mobile TousAntiCovid et plus récemment la mise en œuvre du système d'information Vaccin COVID La CNIL constate que des modifications ont été apportées aux dispositifs mis en place dans le cadre de la crise sanitaire pour les mettre en conformité avec la législation sur la protection des données personnelles. […] respectueux des données personnelles. […] Elle a toutefois constaté de nouvelles pratiques contraires au RGPD et s'est rapprochée des organismes en question afin qu'ils se mettent en conformité dans les meilleurs délais ; […]
Lire la suite…Formation RGPD réservée aux avocats Chers confrères, J'ai le plaisir de vous convier à participer à un webinaire qui vous est dédié : « Maitriser les enjeux du RGPD, pour mettre en place une conformité à la législation de protection des données personnelles au sein de votre cabinet et accompagner vos clients ». […]
Lire la suite…Pour le scrutin du 9 juin 2024, le plan d'action de la CNIL se concentre avant tout sur la conformité à la législation sur la protection des données des pratiques de prospection téléphonique, la réutilisation des fichiers à des fins de propagande électorale, l'information des personnes concernées et la sécurité des données collectées par les entreprises proposant des services innovants de ciblage des électeurs à destination des candidats. […] La CNIL porte également une attention particulière : au rôle de l'intelligence artificielle sur les stratégies de communication politique ; […]
Lire la suite…La clarification du cadre juridique L'application du Règlement Général sur la Protection des Données (RGPD) à l'intelligence artificielle a été un sujet d'interrogations majeures, surtout avec l'émergence des systèmes d'intelligence artificielle génératifs. […] Ces recommandations visent à accompagner les acteurs de l'écosystème de l'IA dans leur mise en conformité avec la législation sur la protection des données, offrant des réponses concrètes aux enjeux juridiques et techniques. […] Les points principaux abordés incluent ; la détermination du régime juridique applicable; la définition des finalités, […]
Lire la suite…De janvier 2022 à février 2024, la dame A fut agent contractuel affecté au service des contrôles – affaires économiques au sein de la direction de la protection des droits et des sanctions de la Commission nationale de l'informatique et des libertés. […] Le 30 juin 2022, elle a signé le procès-verbal de contrôle. […] Le 16 février 2024, elle a informé son autorité hiérarchique de son projet de rejoindre, en qualité de responsable de la conformité à la législation sur la protection des données, la société TikTok France. […]
Lire la suite…Mme A…, agent contractuel affecté, de janvier 2022 à février 2024, au « service des contrôles – affaires économiques » au sein de la direction de la protection des droits et des sanctions de la Commission nationale de l'informatique et des libertés (CNIL) et ayant exercé en qualité « d'auditrice des systèmes d'information », a informé, le 16 février 2024, son autorité hiérarchique de son projet de rejoindre, en qualité de responsable de la conformité à la législation sur la protection des données, la société TikTok France, dont le capital était détenu à 100 % par la société britannique « TikTok
Lire la suite…Cette décision, qui souligne que le risque de non-conformité aux obligations en matière de protection des données personnelles ne se limite pas à un contrôle de la CNIL et une sanction administrative, peut être mise en relation avec diverses décisions rendues en France comme en Allemagne. À titre d'illustration, […] dans une décision du 15 avril 2022, considéré que des manquements relatifs au Règlement général sur la protection des données constituent un avantage concurrentiel indu pour leur auteur. […] En 2018, la Cour d'appel de la région de Francfort avait prononcé la nullité d'un contrat de vente en raison d'une violation de la législation sur la protection des données. […]
Lire la suite…pendant 7 jours
Lois et règlements
- ···
- Partie législative
- Première partie : Protection générale de la santé
- Livre IV : Administration générale de la santé
- Titre VI : Mise à disposition des données de santé
- Chapitre Ier : Système national des données de santé
[…] 10° Les données recueillies par les services de protection maternelle et infantile dans le cadre de leurs missions définies à l'article L. 2111-1 du présent code ; […]
Article L341-2 du Code de la propriété intellectuelle
- ···
- Partie législative
- Première partie : La propriété littéraire et artistique
- Livre III : Dispositions générales relatives au droit d'auteur, aux droits voisins et droits des producteurs de bases de données
- Titre IV : Droits des producteurs de bases de données
- Chapitre Ier : Champ d'application
1° Les producteurs de bases de données, ressortissants d'un Etat membre de la Communauté européenne ou d'un Etat partie à l'accord sur l'Espace économique européen, ou qui ont dans un tel Etat leur résidence habituelle ;2° Les sociétés ou entreprises constituées en conformité avec la législation d'un Etat membre et ayant leur siège statutaire, […]
Article L251-1 du Code de la sécurité intérieure
- ···
- Partie législative
- LIVRE II : ORDRE ET SÉCURITÉ PUBLICS
- TITRE V : VIDÉOPROTECTION
- Chapitre Ier : Dispositions générales
Les systèmes de vidéoprotection remplissant les conditions fixées à l'article L. 251-2 sont des traitements de données à caractère personnel régis par le présent titre, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, […]
Article 66 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité. Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible
Article L1222-1 du Code de la santé publique
. 1223-3, en conformité avec les dispositions législatives et réglementaires relatives aux activités transfusionnelles ; 4° Dans le cadre du réseau d'hémovigilance, d'assurer la transmission des données relatives à la sécurité sanitaire des produits sanguins à l'Agence nationale de sécurité du médicament et des produits de santé et des données épidémiologiques à l' Agence nationale de santé publique ;
Article 112 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
4° La Commission européenne a adopté une décision d'adéquation en application de l'article 36 de la directive (UE) 2016/680 du 27 avril 2016 ou, en l'absence d'une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les
Article L1222-1 du Code de la santé publique
- ···
- Partie législative
- Première partie : Protection générale de la santé
- Livre II : Don et utilisation des éléments et produits du corps humain
- Titre II : Sang humain
- Chapitre II : Etablissement français du sang et centre de transfusion sanguine des armées
. 1222-12, en conformité avec les dispositions législatives et réglementaires relatives aux activités transfusionnelles ; 4° Dans le cadre du réseau d'hémovigilance, d'assurer la transmission des données relatives à la sécurité sanitaire des produits sanguins à l'Agence nationale de sécurité du médicament et des produits de santé et des données épidémiologiques à l'Agence nationale de santé publique ;
Article L1461-3 du Code de la santé publique
- ···
- Partie législative
- Première partie : Protection générale de la santé
- Livre IV : Administration générale de la santé
- Titre VI : Mise à disposition des données de santé
- Chapitre Ier : Système national des données de santé
impossible toute utilisation des données pour l'une des finalités mentionnées au V de l'article L. 1461-1 ; […] Les responsables des laboratoires de recherche et des bureaux d'études présentent à la Commission nationale de l'informatique et des libertés un engagement de conformité à un référentiel incluant les critères de confidentialité, d'expertise et d'indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même commission.
Article L1244-6 du Code de la santé publique
- ···
- Partie législative
- Première partie : Protection générale de la santé
- Livre II : Don et utilisation des éléments et produits du corps humain
- Titre IV : Tissus, cellules, produits du corps humain et leurs dérivés
- Chapitre IV : Don et utilisation de gamètes
Un médecin peut accéder aux informations médicales non identifiantes, en cas de nécessité médicale, au bénéfice d'une personne conçue à partir de gamètes issus d'un don ou au bénéfice d'un donneur de gamètes.
Article 47 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.
- Cour d'appel d'Orléans, Premier président, 27 mars 2024, n° 24/00012
- KB EXPRESS (PARIS 15, 821649696)
- BAO (LIMOGES, 901136846)
Le juge des référés ne peut suspendre une décision déterminant le nombre d'emplois d'enseignant par école dans un département en se fondant, pour une école donnée, sur le seul nombre d'élèves par classe auquel cette décision aboutit. CE, 13 juin 2025, Ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche c/ Commune de Lenoncourt, n°498922, B. Elections. […] A…, n° 488100, B et d'un agent de la CNIL qui avait participé, même très brièvement et sans pouvoir de décision, au contrôle d'une entreprise dont il envisageait de devenir responsable de la conformité à la législation sur la protection des données CE, 16 juin 2025, Mme A…, n° 496007, B. Procédure.
Lire la suite…