CNIL | RGDP

Types de déclarations CNIL Les obligations déclaratives en matière de traitements de données personnelles peuvent être classées en cinq catégories : i) les traitements bénéficiant d’une norme simplifiée (simple déclaration CNIL), ii) les traitements interdits, iii) les traitements de l’Etat et des services publics (déclaration et procédure spécifique), iv) les traitements normaux (procédure de déclaration…

Demander son ADN Disposer de son portrait ADN (génétique) sous forme de tableau ou photographie peut être tentant. Après avoir renvoyé un prélèvement effectué avec le kit fourni par l’éditeur d’un site Internet, l’ADN est extrait, le profil est colorisé puis imprimé sur les supports sélectionnés par l’internaute. Toutefois, le droit ne permet pas à…

Accès à des données personnelles Il arrive que des employés aient accès à des bases de données nominatives dans le cadre de l’exécution de leurs missions (base de données clients des voyagistes, fichiers des abonnés de téléphonie …). Conformément à la loi n° 78-17 du 6 janvier 1978 l’accès à ces données personnelles doit faire…

Il est acquis qu’en matière de respect de la législation sur les données personnelles par les entreprises, la CNIL dispose d’un pouvoir de contrôle sur place. Les membres de la CNIL et les agents habilités ont accès, de 6 heures à 21 heures aux lieux, locaux, enceintes, installations ou établissements servant à la mise en…

Modèle de clause autorisée Est légale et non abusive, la clause insérée à la convention de compte courant, qui permet à une banque, de partager les données personnelles de son client avec d’autres entités dès lors que le client a donné son autorisation préalable et qu’il a la faculté de retirer son autorisation à tout…

L’utilisation de chèques cadeaux ne doit pas être obligatoirement soumise à la fourniture de données personnelles par le client (ou prospect) à qui ils ont été offerts. Une société commercialisant des coffrets cadeaux a ainsi été sanctionnée par la CNIL à une amende de 50 000 euros, pour ne pas avoir permis à ses prospects…

Conformité avec la loi informatique et libertés Les juges administratifs ont validé, au regard de la loi informatique et libertés, la légalité du fichier “Prévention des atteintes à la sécurité publique » (PASP). Le fichier en cause a pour finalité « de recueillir, de conserver et d’analyser les informations qui concernent des personnes dont l’activité…

La question du régime de la réutilisation des données personnelles présentes dans les archives publiques est souvent posée. Par sa délibération du n° 2010-460 du 9 décembre 2010 la CNIL a posé les conditions de réutilisation de ces données nominatives. Le principe de la réutilisation commerciale des données publiques est acquis depuis l’ordonnance du 6…

Détournement de données personnelles Le détournement de données personnelles peut être lourdement sanctionné par les tribunaux. Dans ce contentieux, un fonctionnaire de police a été pour détournement de leur finalité d’informations nominatives, à six mois d’emprisonnement avec sursis, 3 000 euros d’amende et cinq ans d’interdiction professionnelle. La personne ayant bénéficié du détournement (pour développer…

Une nouvelle fiche du Guide juridique fait le point sur le Customer Relationship Management – CRM face aux données personnelles. Le CRM est la gestion optimisée de la relation client par la mise en place et l’exploitation de processus et d’outils logiciels dédiés. Le CRM est basé sur l’utilisation de bases de données nominatives et…

Obligation du prélèvement ADN L’article 706-56 du code de procédure pénale prévoit qu’un prélèvement ADN peut être imposé sur réquisition du procureur de la République en cas de crime ou de délit puni de dix ans d’emprisonnement. La personne condamnée qui refuse de se soumettre à ce prélèvement s’expose à une peine d’amende. Dans cette…

Vente d’un fichier client Vente d’un fichier client : un fichier client structuré et contenant les données nominatives des clients doit impérativement être déclaré à la CNIL (déclaration simplifiée). En cas de vente d’un fichier client non déclaré à la CNIL, que la vente intervienne à titre indépendante ou avec le fonds de commerce, l’acheteur…

Données personnelles et cartes bancaires Les cybermarchands (même si le plus souvent ces derniers ne gèrent pas directement leur solution de paiement), ont l’obligation de supprimer les données relatives aux cartes bancaires de leur serveur / base, une fois la transaction réalisée, c’est-à-dire dès son paiement effectif. Par exception, les données bancaires peuvent être conservées…

Pas de déclaration automatique Depuis l’année 2006, les sites internet n’ont plus à faire l’objet ipso facto, d’une déclaration à la CNIL. Selon la nature de son site internet, l’éditeur du service en ligne peut bénéficier d’une dispense de déclaration ou d’une norme de déclaration simplifiée. Les Blogs et sites des particuliers Les Blogs et…

Pas de déclaration CNIL automatique Les Sites internet des associations loi 1901 sont dispensés de déclaration CNIL à la condition de se conformer à la dispense n° 8 (Délibération CNIL n° 2010-229 du 10 juin 2010) et que l’association ou l’organisme à but non lucratif n’ait pas de caractère religieux, philosophique, politique ou syndical. Pour…

En matière de données personnelles, les sites de e-commerce sont soumis à plusieurs obligations légales mais bénéficient de la déclaration simplifiée CNIL NS 48. Données dont la collecte est autorisée Les sites de e-commerce sont autorisés à collecter et traiter les données suivantes : a) l’identité de l’acheteur : civilité, nom, prénoms, adresse, numéro de…

Principe de précaution Le cybermarchand doit prendre toutes les précautions utiles pour préserver la sécurité des données personnelles des acheteurs et, notamment, empêcher qu’elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès. Accès et authentification Les accès aux traitements de données doivent nécessiter une authentification des personnes accédant aux données,…