LE RGPD entré en vigueur en 2018  est un règlement européen qui vise à harmoniser la protection des données à caractère personnel dans toutes  l'Union européenne

Il s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d'activité et sa taille.

Le règlement général sur la protection des données - RGPD

Des grandes étapes pour protéger les données personnelles de votre entreprise aux conseils aux personnes en passant à la réalisation de vos démarches, tout y indiqué !!

Outils de la CNIL pour les professionnels

Médiathèque de la CNIL

Pour exemple elle a contrôlé plusieurs PM dans la France au sujet de vidéo surveillance que des gens tel DGS , Directeur de cabinet ect ect visionné sans aucune autorisation les bandes vidéos . Résultat condamnation de toutes ses personnes et sanctions pour les membres de la vidéo surveillance pour faute grave .

Dans son rapport "La publicité ciblée en ligne", la CNIL s'est penchée sur la question de la publicité ciblée sur Internet et ses conséquences au regard de la protection des données à caractère personnel.
(08/04/2009)

Le rapport de la Commission Nationale de l'Informatique et des Libertés (CNIL) a un double mérite, celui de permettre une prise de conscience par les internautes de phénomènes dont ils n'envisagent souvent pas l'ampleur, mais également celui de préciser certaines notions clefs de la Loi informatique et libertés.

Dans le cadre de son rapport, la CNIL part du constat suivant : la publicité en ligne finance de nombreux sites Internet fournissant des services gratuits aux internautes et constitue, ainsi, pour lesdits sites, un enjeu économique majeur.

La publicité en ligne étant le principal mode de financement des sites Internet, son caractère incontournable est tel que, afin de s'assurer de son efficacité, les différents acteurs ont été amenés à mettre en place des publicités de plus en plus ciblées.

Pas à pas, la CNIL dresse dans son rapport un panorama des types de publicités en ligne existantes (publicité personnalisée "classique", publicité contextuelle, publicité comportementale) et des différentes technologies permettant l'amélioration de la pertinence et de l'efficacité de la publicité au regard du public de chaque site internet.

La CNIL illustre son propos par des exemples pratiques des systèmes de publicité en ligne utilisés sur des sites internet connus, d'Amazon à Phorm, en passant par Google, Facebook et Linked-in.

Derrière le paysage dessiné par la CNIL dans son rapport, se profile le risque suivant pour l'internaute : l'atteinte à la protection de ses données personnelles.

Dans la section IV de son rapport, la CNIL s'interroge sur l'applicabilité de la Loi informatique et libertés aux traitements mis en oeuvre dans le cadre de la réalisation de publicité ciblée en ligne, ainsi que sur les modalités de son application.

La CNIL, s'appuyant sur les avis rendus par le Groupe de l'article 29, entreprend de démontrer en quoi les informations permettant de constituer un profil en vue des publicités en ligne, rentrent dans la définition de données à caractère personnel. La CNIL rappelle ainsi que la notion de donnée à caractère personnel doit être interprétée de manière large. Elle reprend la définition donnée par la directive 95/46/CE du 24 octobre 1995, selon laquelle une donnée personnelle est "toute information, concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale".

En précisant les différentes notions composant cette définition et notamment celle de "personne physique identifiée ou identifiable", la CNIL aboutit à considérer que "les données qui sont dans les profils comme l'âge, le sexe ou la localisation sont des données à caractère personnel".

L'applicabilité de la loi informatique et libertés aux traitements permettant le profilage des internautes dans le cadre de la publicité en ligne implique à la charge du responsable du traitement un certain nombre d'obligations parmi lesquelles, l'obligation de déclaration et surtout l'obligation d'information de la personne dont les données sont collectées.

En effet, les systèmes de publicité ciblée en ligne reposent pour l'essentiel sur l'utilisation de cookies, qui permettent aux fournisseurs de service de communications électroniques de collecter des données à caractère personnel, sans que les personnes concernées n'en aient véritablement conscience.

C'est cette absence de réelle conscience chez l'internaute de la collecte ses données personnelles par les sites internet visités qui soulève une difficulté majeure au regard de la protection des données à caractère personnel.

D'une part, les personnes concernées ne sont pas informées de la collecte et du traitement ultérieur de leurs données personnelles et, d'autre part, elles ne sont pas consultées préalablement pour donner leur consentement à cette collecte.

La CNIL préconise sur ce point "qu'une information claire et complète devrait être prévue dans tous les cas de figure afin d'assurer une parfaite transparence sur l'utilisation de ce type de dispositif".

Il reste, et le rapport de la CNIL n'en fait aucun cas, que, dans certains cas, compte tenu notamment des limites à l'application territoriale de la Loi informatique et libertés, la protection dont bénéficie l'internaute risque d'être inopérante.

Par Grégoire Goussu et Claudia Oudey, Avocats à la Cour, équipe IP-IT, Cabinet Proskauer Rose LLP.

Lire le rapport de la CNIL :

http://www.cnil.fr/fileadmin/documents/ … ort_VD.pdf

Source site CNIL

La CNIL (...) ferait mieux de réagir à ce fichage systématique de la population, qui prend une nouvelle étape délirante avec la carte d'identité biométrique.
Les citoyens ont plus à craindre ce travers que la recherche de débiteurs sous couvert d'appels téléphoniques scénarisés...

Il semble, à la lecture de l'avis reproduit ci-dessous, que la CNIL ait précédé votre inquiétude, que je partage, au sujet de l'usage croissant de la biométrie dans les documents d'identité. Reconnaissons donc qu'elle travaille souvent très bien.

C'est ainsi que les fondations de la première base de données biométriques, destinée à rassembler la majeure partie de la population française, auront été posées contre l'avis de la CNIL. Son président l'a rappelé le 16 mai 2008, lors de la présentation de son rapport annuel. Un décret, publié le 4 mai, instaure en effet la prochaine génération de passeports, dont la nouveauté est de reposer sur un fichier centralisé. Le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports est modifié.
Ce fichier regroupera les informations contenues dans tous les nouveaux passeports (huit empreintes digitales et l'image faciale numérisée du porteur, ainsi que, à terme, celles concernant les titulaires de la future carte nationale d'identité).
La CNIL avait rendu, le 11 décembre 2007, un avis défavorable au dispositif.

La commission a aussi déploré l'usage de la voie réglementaire. "Nous pensons que l'importance de l'enjeu aurait justifié un passage devant le législateur, mais nous n'avons pas été entendus", avait expliqué M. Türk. La CNIL a également jugé disproportionné la création d'un fichier central et le prélèvement de huit empreintes. Ces caractéristiques vont au-delà des dispositions de la réglementation européenne, qui réclame le prélèvement de deux empreintes digitales seulement.

AVIS DE LA CNIL SUR LE PASSEPORT BIOMETRIQUE

Saisie à l'automne 2007 par le ministère de l'intérieur, la Commission a émis un avis sur le projet de décret instituant le passeport biométrique par une délibération du 11 décembre 2007.

Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques

La Commission nationale de l'informatique et des libertés
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, le 27 septembre d'un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;
Vu le règlement du Conseil européen n°2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Vu l'avis 3/2005 du groupe de l'article 29 en date du 30 décembre 2005 sur l'application du règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu la délibération n°99-23 du 8 avril 1999 portant avis sur le projet d'arrêté concernant la création par le ministère de l'intérieur d'un traitement automatisé d'informations nominatives relatif à la délivrance des passeports ;
Vu la délibération n°2005-279 du 22 novembre 2005 portant avis sur le projet de décret instituant le passeport électronique et sur les modifications apportées au traitement « DELPHINE » permettant l'établissement, la délivrance et la gestion des passeports ;
Vu la délibération n°2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme ;

Après avoir entendu Mme Michèle TABAROT, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Emet l'avis suivant :

Le projet de décret soumis pour avis de la Commission est notamment destiné à mettre en œuvre le règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres.
A cet égard, il vise à mettre la France en capacité d'émettre, avant le 28 juin 2009, des passeports dotés d'un composant électronique contenant non seulement l'image numérisée du visage de son titulaire mais aussi celle de deux de ses empreintes digitales, conformément aux prescriptions de l'article 6 du règlement précité.
Si le décret n° 2005-1726 du 30 décembre 2005 a permis la réalisation de la première étape prévue aux termes du règlement européen, en permettant la délivrance de passeports dotés d'un composant électronique intégrant l'image numérisée du visage du titulaire, le présent projet de décret entend donc poursuivre le processus d'adaptation du droit interne à cette norme européenne, en intégrant dans le même composant l'image numérisée de deux de ses empreintes digitales.
Le projet de décret prévoit également l'enregistrement de données biométriques se rapportant aux demandeurs (images numérisées de la photographie et des empreintes digitales) dans le système de traitement automatisé de données à caractère personnel relatif au passeport, dénommé "DELPHINE", cependant qu'il envisage parallèlement la conservation de données relatives à leur filiation ainsi que des pièces justificatives fournies à l'appui de la demande de passeport, sous un format numérisé.
En outre, le projet de décret apporte un certain nombre de modifications affectant les conditions d'accès aux données à caractère personnel contenues dans le système de traitement "DELPHINE" en même temps qu'il lui confère une finalité nouvelle, à savoir l'élaboration de statistiques.
Enfin, il détermine le régime juridique applicable au passeport temporaire.

Sur l'enregistrement des données biométriques dans le composant électronique intégré au passeport

La Commission observe que la collecte de l'image numérisée du visage du demandeur ainsi que celle de deux de ses empreintes digitales est rendue nécessaire par les dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004, dans la mesure où il fait obligation aux Etats membres de délivrer, au plus tard le 28 juin 2009, des passeports dotés de composants électronique comportant les éléments biométriques précités.
A cet égard, la Commission tient à rappeler qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif.

Sur la conservation de données biométriques en base centrale

Le projet de décret soumis pour avis à l'examen de la Commission prévoit le recueil de l'image numérisée du visage du demandeur et des empreintes digitales de huit doigts ainsi que leur conservation dans le système de traitement "DELPHINE", qui pourrait ainsi constituer la première base centralisée de données biométriques à finalité administrative portant sur des ressortissants français.
Cette base serait en réalité segmentée en trois bases de données distinctes, contenant respectivement les données d'état civil, les données photographiques et les empreintes digitales. Il est prévu de mettre en œuvre des mécanismes de "double-hachage", pour garantir qu'une donnée biométrique, qu'il s'agisse d'une donné photographique ou d'une empreinte digitale ne puisse être consultée sans avoir préalablement accédé à l'enregistrement de la donnée d'état civil s'y rapportant. Le système central de traitement serait hébergé, exploité et supervisé par les services d'exploitation du ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, sur deux sites sécurisés. Il est également prévu des dispositifs de journalisation des accès, afin d'assurer la traçabilité et l'imputabilité des opérations effectuées sur le système.
A titre liminaire, la Commission observe que le recueil de huit empreintes digitales, d'une part, et la conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire, d'autre part, ne résultent pas des prescriptions dudit règlement européen.
En outre, la Commission tient à rappeler que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient.
Or, la Commission observe que le traitement mis en œuvre conserve les mêmes finalités que celles énoncées aux termes de l'article 18 du décret du 30 décembre 2005 – faciliter les procédures d'établissement, de délivrance, de renouvellement, de remplacement et de retrait des passeports ainsi que prévenir, détecter et réprimer leur falsification et leur contrefaçon.
A cet égard, la Commission considère que, si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle.
En outre, au regard des éléments dont elle dispose et dans la mesure où le dispositif envisagé se limite à rendre possible l'accès ponctuel des autorités judiciaires aux données biométriques, en exécution de réquisitions ou de commissions rogatoires, la Commission estime que ledit dispositif ne paraît pas constituer, en l'état, un outil décisif de lutte contre la fraude documentaire de nature à lever les préventions exprimées jusqu'alors par la Commission à l'endroit de la constitution de bases centralisées de données biométriques.
En effet, la Commission observe qu'aucune mesure particulière n'est prévue, parallèlement à la conservation de données biométriques, pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes et relève, en particulier, que même si une étude est en cours, le dispositif envisagé ne prévoit pas de procédures de télé-transmission des données d'état civil entre les administrations concernées, procédures qui sont pourtant susceptibles de garantir la fiabilité desdites données.
De même, la réalisation d'une application de gestion électronique des documents, destinée à faciliter les conditions de délivrance ou de renouvellement d'un passeport, n'est pas non plus de nature à justifier la conservation de données biométriques.
Par conséquent, même si le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales s'engage à préciser aux termes du projet de décret qu'il ne sera pas possible de procéder à une recherche en identification à partir de l'image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l'image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée.
La Commission considère enfin que l'ampleur de la réforme qui se dessine et l'importance des questions qu'elle peut soulever justifieraient que, comme elle l'a rappelé à plusieurs reprises, le Parlement en soit saisi sous forme d'un projet de loi, qui lui serait préalablement soumis pour avis.

Sur la conservation des pièces justificatives

Le projet de décret prévoit également la conservation dans le système de traitement "DELPHINE" de l'image numérisée des pièces justificatives déposées à l'appui de la demande de passeport, en particulier les documents justificatifs du domicile du demandeur.
Si elle est justifiée par les services du ministère de l'intérieur par le souci de la modernisation des procédures administratives, elle ne permettra pas nécessairement une amélioration des conditions de renouvellement du passeport à l'expiration de la durée de validité de ce dernier, compte tenu du caractère non pérenne des informations fournies à l'occasion de la première délivrance.
Aussi, la Commission se montre réservée quant à la pertinence d'une conservation de ces documents sous format numérisé.

Sur les destinataires et les modalités d'accès au système de traitement "DELPHINE"

La Commission prend acte de ce que les personnels chargés des missions de recherche et de contrôle de l'identité des personnes, de vérification de la validité et de l'authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes n'accèdent pas et n'accéderont pas aux données à caractère personnel enregistrées dans la base centrale mais seulement à celles contenues dans le composant électronique du passeport.
La Commission prend également acte de ce que les agents des services de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale chargés des missions de prévention et de répression des actes de terrorisme de même que les agents des services de renseignement du ministère de la défense chargés des missions de prévention des actes de terrorisme n'accéderont pas à l'ensemble des données enregistrées dans le système de traitement à l'exclusion de l'image numérisée des empreintes digitales.
Dans la mesure où la Commission observe que cette exclusion n'est justifiée qu'au regard de la spécificité attachée aux données biométriques, elle estime que le projet de décret devrait également faire mention de l'impossibilité pour les agents précités d'accéder à l'image numérisée du visage du titulaire.
La Commission prend enfin acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de préciser aux termes du projet de décret que les destinataires devraient faire l'objet d'une procédure de désignation individuelle et d'habilitation spéciale.

Sur le régime juridique du passeport temporaire

Conformément aux dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004, le projet de décret fixe le principe de la délivrance à titre exceptionnel d'un passeport temporaire, pour satisfaire aussi bien les demandeurs confrontés à une situation relevant de l'urgence, que les personnes ou les agents civils et militaires nécessitant d'être mis en possession d'un titre de voyage dépourvu de composant électronique.
Compte tenu de la spécificité attachée à ce passeport, la Commission estime que son processus de délivrance ne devrait pas obéir aux mêmes règles que celles en vigueur pour le passeport, le passeport de service ou le passeport de mission.
A cet égard, il convient de relever qu'il ne peut être délivré que dans des cas relevant de situations d'urgence ou se caractérisant par la recherche par son titulaire d'une relative discrétion, qu'il n'a pas vocation à être renouvelé et qu'il ne comporte pas de composant électronique et partant, ne contient pas de données biométriques.
Aussi, tout en prenant acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de ramener à six ans la durée de conservation des données collectées à l'occasion de la délivrance d'un passeport temporaire, la Commission considère qu'il paraît peu pertinent de procéder au recueil des empreintes digitales du demandeur, à leur conservation ainsi qu'à celle de l'image numérisée de son visage en base centrale.

Sur la situation des mineurs

Dès lors que le passeport est délivré sans condition d'âge, la procédure de délivrance applicable aux mineurs doit faire l'objet d'une attention toute particulière.
Dans ces conditions, la Commission tient à rappeler que l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat voire un amendement à la convention sur les droits de l'enfant et que pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants.

Sur les sécurités

Il est prévu que l'accès aux données stockées dans le composant électronique soit contrôlé en utilisant des mécanismes, qui en l'état actuel de la technique, paraissent de nature à garantir un niveau suffisant de protection du composant électronique. L'accès aux empreintes digitales n'est possible qu'après authentification mutuelle entre le lecteur et le composant. Le composant intègre également des dispositifs de protection contre la duplication et la falsification. D'autres dispositifs de protection électromagnétique du titre pourraient à terme être inclus dans le passeport. Néanmoins, ces dispositifs et leur éventuelle mise en œuvre sont actuellement en cours d'étude.
Par conséquent, la Commission souhaite être rendue destinataire des éléments relatifs aux mesures qui seront finalement retenues.

Sur l'information des personnes

L'article 25 du décret n° 2005-1726 du 30 décembre 2005 prévoit que la remise du passeport s'accompagne de la copie sur papier des données nominatives enregistrées dans le composant électronique.
Enfin, la Commission prend acte de ce qu'une notice d'information sur la nature des données à caractère personnel enregistrées dans le système de traitement central sera remise au demandeur du passeport.

Le président,  Alex Türk

Source : CNIL