décembre 2019

CNIL – Publication du référentiel sur le dispositif d’alertes professionnelles

2019-12-11T00:33:19+00:0011 décembre 2019|Actualités|

La CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, par délibération n°2019-139 du 18 juillet 2019, publiée ce 10 décembre 2019.

Ce référentiel couvre deux types de dispositifs : les dispositifs d’alerte encadrés par la loi (signalement d’un crime ou délit, violation grave et manifeste de la loi ou du règlement, menace ou préjudices graves pour l’intérêt général…) et les dispositifs d’alertes éthiques mis en œuvre volontairement par un organisme en vue d’interdire des comportements considérés comme incompatibles avec sa charte éthique ou son règlement intérieur.

Pour mémoire, depuis le 1er janvier 2018, les personnes morales publiques et privées d’au moins 50 agents ou salariés ont obligation de mettre en place des procédures de recueil des signalements émis par les lanceurs d’alerte. (Flash Info Juin 2017)

Ce type de traitement de données a été identifié par la CNIL sur la liste des traitements pour lesquels une analyse d’impact est requise. Ce référentiel constitue une aide pour la réalisation de cette analyse d’impact.

Button Text

octobre 2019

CNIL – Liste des traitements ne requérant pas d’analyse d’impact

2019-11-29T23:18:06+00:0022 octobre 2019|Actualités|

Le Règlement Général de la Protection des Données (« RGPD ») permet aux autorités de contrôle d’établir et de publier une liste de traitements de données pour lesquels une analyse d’impact n’est pas requise.

La CNIL vient d’adopter cette liste de traitements par délibération n°2019-118 du 12 septembre 2019, parue au Journal officiel de ce jour.

Sont dispensés d’analyse d’impact mais restent soumis à l’ensemble des autres obligations en application du RGPD et de la Loi Informatique et Liberté, notamment

  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage,
  • les traitements de gestion de la relation fournisseurs,
  • les traitements destinés à la gestion des activités des Comités d’entreprises et d’établissement,
  • les traitements mis en oeuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles,
  • les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale.
Button Text

juillet 2019

Flash Info – CNIL – Publication des lignes directrices sur les cookies et du référentiel sur les vigilances

2019-07-29T00:41:00+00:0019 juillet 2019|Actualités|

Deux délibérations attendues de la CNIL sont parues au Journal officiel du 18 juillet 2019.

La délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux opérations de lecture et d’écriture dans le terminal d’un utilisateur (notamment cookies et autres traceurs) abroge la recommandation relative aux cookies et autres traceurs du 5 décembre 2013.
Ces lignes directrices tiennent compte de la directive 2002/58/CE modifiée « vie privé et communications électroniques » (ou « ePrivacy ») ainsi que des lignes directrices du comité européen de la protection des données sur le consentement. Elles s’appliquent à toutes opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement et ce quels que soient les système d’exploitation, les logiciels applicatifs (navigateurs) ou les terminaux utilisés.
Les traceurs nécessitant le recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas manifesté sa volonté de manière libre, spécifique, éclairé et univoque par une déclaration ou un acte positif clair. Les responsables de traitement devront démontrer que le consentement de l’utilisateur a été valablement recueilli. Il est précisé si les responsable de traitement ne collectent pas eux-mêmes le consentement des personnes que la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie ne satisfait pas à l’obligation.

La délibération n°2019-057 du 9 mai 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de gestion des vigilances sanitaires apporte des précisions notamment sur les durées de conservation des données qui pourraient aller jusqu’à 70 ans à compter de la date de retrait du marché du médicament, du dispositif ou du produit et ce, en l’absence de durée légale ou règlementaire et sur le recours à un hébergeur de données de santé agréé ou certifié en cas de recours à un prestataire extérieur.

Button Text
Button Text