RLES ET RESPONSABILITES DU DSI

1
RÔLES ET RESPONSABILITES DU DSI
19 juin 2007
Fichiers, droit dauteur, contrats, délégation
pénale, protection du savoir-faire de
lentreprise, prévention des risques
Anne Cousin Avocat au Barreau de
Paris anne.cousin_at_dentonwildesapte.com
119177.01
2
Programme

• Matinée
• La responsabilité pénale
• Maîtriser les cas dans lesquels lentreprise est
  responsable dune utilisation frauduleuse ou
  illicite des moyens informatique
• Protéger votre savoir-faire et patrimoine
  intellectuel par des dispositions adaptées dans
  vos contrats
• Après-midi
• Recenser les fichiers de votre société et
  réaliser les déclarations nécessaires auprès de
  la CNIL
• Accès par badge, contrôle biométrique, archivage,
  recenser vos obligations
• E-mails et fichiers personnels ou professionnels
  quels sont les pouvoirs de lentreprise?
• La nouvelle procédure de sanction devant la CNIL

3
THEME N1LA RESPONSABILITEPENALE
4
La responsabilité pénale

• Atteinte à lordre public
• Peine damende ou privative de liberté
• Responsabilité de la personne morale et/ou dune
  personne physique

5
La responsabilité pénale

•  Nul nest responsable que de son propre fait 
  (article L 121-1 du Code pénal)
• Moyen de défense la délégation de responsabilités

6
Licéité de la délégation

• Lécrit nest pas obligatoire mais
• Lacceptation du délégataire ne doit pas être
  ambiguë
• La date de la délégation doit être certaine
• Lautorité, les moyens et la compétence du
  délégataire doivent être effectifs et vérifiables

7
La délégation pénale

• Distinction
• Le chef dentreprise cest la personne qui
  détient la plénitude des pouvoirs de direction
  sur le personnel
• Précision dans les SA (article L 225-51-1 du Code
  de commerce)  La direction générale de
  lentreprise est assumée, sous sa responsabilité,
  soit par le président du conseil
  dadministration, soit par une autre personne
  physique nommée par le conseil dadministration
  et portant le titre de directeur général 
• Le délégataire cest la personne qui détient,
  dans un domaine déterminé, et sur délégation du
  chef dentreprise, un partie de ces mêmes pouvoirs

8
Responsabilité du gérant de fait

• Les juges
• Identifient le véritable chef dentreprise
• Ne sen tiennent pas aux apparences
• Reconnaissent une direction de fait
• Écartent largument de labsence de délégation de
  pouvoir
• Exemples
• Condamnation dun chef de chantier pour blessures
  involontaire en labsence de délégation de
  pouvoirs, dès lors que les gérants de droit de
  lentreprise navaient quune rôle administratif
  tandis que le prévenu assurait le suivi des
  chantiers et prenait toutes les décisions
  relatives à la conduite des travaux, notamment
  celles relatives à la sécurité (Crim 23/11/2004)
• Responsabilité cumulative du gérant de droit et
  du gérant de fait(Crim 12/09/2000)

9
La délégation pénale

• Délégation inopérante
• Dévolue à plusieurs personnes dans un même
  domaine de compétence
• Délégation purement formelle ou fausse
• Immixtion du chef dentreprise dans les pouvoirs
  délégués

10
La subdélégation

• La subdélégation nest possible que dans le
  respect des conditions de validité de la
  délégation
• Exemple (Cass. crim 8 février 1983)
• Un PDG sollicitait sa relaxe dans une affaire où
  des dispositifs de sécurité nont pas été
  installés au motif quil avait confié au DG une
  délégation permettant à celui-ci dopérer à son
  tour délégation à tout subordonné compétent
• Décision de la Cour de cassation aucune règle de
  droit ninterdisant la subdélégation, le DG est
  responsable de ne pas confié les pouvoirs quil
  tenait du PDG à un préposé compétent

11
THEME N2MÂITRISER LES CAS DANS LESQUELS
LENTREPRISE EST RESPONSABLE DUNE UTILISATION
FRAUDULEUSE DES MOYENS INFORMATIQUES MIS A LA
DISPOSITION DES SALARIES
12
Lentreprise fournisseur daccès

• CA Paris 4 février 2005
•  En sa qualité non contestée de prestataire
  technique au sens de larticle 43-7 de la loi du
  1er août 2000, la société BNP PARIBAS est tenue
  de détenir et de conserver les données de nature
  à permettre lidentification de toute personne
  ayant contribué à la création dun contenu des
  services dont elle est prestataire et de
  communiquer ces données sur réquisitions 

13
Lentreprise prestataire technique

• Les prestataires techniques (Article 6 de la Loi
  pour la confiance dans léconomie numérique du 21
  juin 2004)
• les fournisseurs daccès et éditeurs de services
  de communication au public en ligne,
• les hébergeurs
• Responsabilité civile ou pénale des hébergeurs
  si
• ils ont connaissance de lexistence du contenu
  illicite
• Ils nagissent pas promptement pour le supprimer
  ou en rendre laccès impossible
• Responsabilité civile et pénale liée à lactivité
  de stockage automatique, intermédiaire et
  temporaire si
• modification du contenu, non respect des règles
  daccès, entrave à lutilisation normale, non
  suspension de laccès malgré la demande

14
Obligations et responsabilités de lentreprise
prestataire technique

• Pas dobligation
• De surveiller les informations transmises ou
  stockées
• De rechercher la présence de contenus illicites
• Obligation
• De détenir et de conserver les données permettant
  didentifier tout contributeur de contenus et de
  les communiquer à lautorité judiciaire
• De concourir à la lutte contre lapologie de
  certains crimes, lincitation à la haine raciale
  et la pornographie infantile, lincitation à la
  violence ainsi quà toute les formes datteintes
  à la dignité humaine (article 40 Loi sur la
  prévention de la délinquance du 5 mai 2007)
• Dagir promptement pour avertir les autorités de
  lexistence des contenus ou comportements
  relevant de lincitation à la violence ou
  atteinte à la dignité humaine, aux contenus
  pornographiques, violents, attentatoires à la
  dignité humaines susceptibles dêtres vus par des
  mineurs (Loi sur la prévention de la délinquance)
• De mettre en place un dispositif permettant de
  signaler les sites de jeux dargent en ligne
  identifiés comme répréhensibles par les autorités
  compétentes et dinformer les abonnées des
  risques encourus par eux du fait dactes de jeux
  réalisés en violation de la loi depuis la France
  (Loi sur la prévention de la délinquance)

15
Lentreprise éditeur de service de communication
au public en ligne

• Désignation du directeur de la publication
• Obligation sous peine de sanctions pénales
• Informations notamment sur la raison sociale, le
  siège sociale
• Informations sur les hébergeurs du site de
  lentreprise
• Responsabilité du fait du contenu du site
  (diffamation, injure, respect de la vie privée,
  contrefaçon de marque et droit dauteur
  notamment)
• Loi Informatique et Libertés information des
  internautes sur leurs droits

16
La responsabilité du commettant du fait des
préposés

• Article 1384 alinéa 5 du Code civil
• Arrêt  Lucent Technologies  de la Cour dappel
  dAix-en-Provence du 13 mars 2006
• Création dun site internet dénigrant et
  contrefaisant par un salarié à son domicile qui a
  ensuite procédé à la diffusion de contenus
  illicites à partir de son lieu de travail
• Lemployeur est jugé avoir engagé sa
  responsabilité du fait de la contrefaçon de
  marque et de droit dauteur commise par son
  salarié

17
Les blogs de salariés

• Affaire Nissan, TGI Paris 16 octobre 2006
• La société Nissan a poursuivi une ancienne
  salarié qui relatait sur son blog son retour de
  congé de maternité au sein de lentreprise.
• Le tribunal a retenu la bonne foi de lancienne
  salariée concernant laspect personnel de ses
  récits mais la condamnée à retirer les passages
  diffamatoires et injurieux de son blog et à des
  dommages et intérêts pour diffamation et injures

18
THEME N3PROTEGER VOTRE SAVROIR-FAIRE ET LE
PARTRIMOINE INTELLECTUEL DE LENTREPRISE PAR DES
DISPOSITIONS ADAPTEES DE VOS CONTRATS ET LE
RECOURS A DES ORGANISMES TIERS
19
Les modes de protections du savoir-faire et du
patrimoine intellectuelle de lentreprise

• La protection par le droit dauteur, les brevets,
  le droit des producteurs de bases de données
• La protection contractuelle linsertion dans vos
  contrats de clauses adaptées

20
La titularité des droits dune uvre de lesprit

• Création collective
• uvre créée sur linitiative dune personne
  physique ou morale qui lédite, la publie et la
  divulgue sous sa direction et son nom. La
  contribution personnelle des divers auteurs se
  fond dans lensemble sans quil soit possible
  dattribuer à chacun deux un droit distinct sur
  lensemble réalisé (article L 113-2 alinéa 3 CPI)
• Création de commande
• Lauteur est seul titulaire des droits
• Création indépendante
• Le créateur est seul titulaire des droits
  (article L 111-1 du CPI)
• uvre de collaboration en cas de pluralité de
  créateurs indépendants intervenants sur la
  création de logiciel (article L 113-2 alinéa 1er
  CPI)
• La qualité dauteur appartient sauf preuve
  contraire à celui ou à ceux sous le nom de qui
  luvre a été divulguée (article L 113-1 CPI)
• uvre de salarié cas particulier du logiciel
• Article L 113-9 du CPI dévolution des droits
  patrimoniaux sur le logiciel et sa documentation
  à lemployeur si le logiciel a été créé dans
  lexercice des fonctions de lemployé ou daprès
  les instructions de lemployeur.
• Les droits moraux ne sont pas dévolus à
  lemployeur

21
La preuve des droits

• Recours a un huissier de justice
• Qui apposera des scellés sur une enveloppe
  contenant luvre (manuscrit, dessins,
  modèles, logiciel etc.) et établira un PV de
  scellés
• Lenveloppe Soleau de lINPI
• Enveloppe percée au laser et conservée à lINPI
  pour une période de 5 ans renouvelable une fois
• Ne peut contenir de corps durs et de plus de 5
  millimètres dépaisseurs
• Le dépôt à la SGDL
• Dépôt sous forme papier ou numérique
• Durée 4 ans renouvelable une fois pour 4 ans
  sinon envoi du dépôt à lauteur ou destruction
• PERMET DOBTENIR LA PREUVE DE LA DATE DE CREATION
  ET DE SON CONTENU

22
La preuve des droits sur les logiciels

• Recours à un huissier, à lenveloppe Soleau de
  lINPI et au dépôt auprès de la SGDL
• Autres modes de preuve
• Inscription sur le répertoire de lAgence pour la
  Protection des Programmes
• Dépôt légal à la Bibliothèque Nationale de France
  (Loi du 20 juin 1992)
• Référencement en ligne avec le système IDDN
  (InterDeposit Digital Number) sur le site
  www.iddn.org. Obtention dun certificat
  authentifié en ligne

23
La protection par le droit dauteur

• Droit moral
• Droit de divulgation
• Droit de repentir et respect de luvre
• Droit au nom
• Droits patrimoniaux
• Droit de représentation
• Droit de reproduction
• Durée de la protection 70 ans après la mort de
  lauteur

24
La protection par le droit dauteur spécificités
du logiciel

• Droit moral (article L 121-7 CPI) lauteur du
  logiciel ne peut
• Sopposer à la modification du logiciel par le
  cessionnaire des droits lorsquelle nest
  préjudiciable ni à son honneur ni à sa réputation
• Exercer son droit de repentir ou de retrait
• Droits patrimoniaux (articles L 122-6)
• Lauteur du logiciel peut effectuer et autoriser
• La reproduction permanente ou provisoire dun
  logiciel en tout ou partie par tout moyen et sous
  toute forme
• La traduction, adaptation, arrangement ou tout
  autre modification
• La mise sur le marché à titre onéreux ou gratuit,
  y compris la location, du ou des exemplaires dun
  logiciel par tout procédé épuisement du droit

25
Les limites aux droits de lauteur du logiciel
(article L 122-6-1 du CPI)

• La personne ayant le droit dutiliser le logiciel
  peut sans laccord de lauteur
• Reproduire, traduire, arranger, adapter le
  logiciel pour permettre son utilisation
  conformément à sa destination, y compris pour
  corriger des erreurs
• Faire une copie de sauvegarde lorsque celle-ci
  est nécessaire pour préserver lutilisation du
  logiciel
• Étudier ou tester le fonctionnement de ce
  logiciel afin de déterminer les idées et
  principes qui sont à la base de nimporte quel
  élément du logiciel lorsquelle effectue toute
  opération de chargement, daffichage,
  dexécution, de transmission ou de stockage du
  logiciel quelle est en droit deffectuer

26
La protection par le brevet dinvention

• Article L 611-10 du CPI
• 1) Sont brevetable les inventions nouvelles
  impliquant une activité inventive et susceptibles
  dapplication industrielle
• 2) Ne sont pas considérées comme des inventions
• Les découvertes ainsi que les théories
  scientifiques et les méthodes mathématiques, les
  créations esthétiques, les plans, principes et
  méthodes dans lexercice dactivité
  intellectuelles, en matière de jeu ou dans le
  domaine économiques ainsi que les programmes
  dordinateurs, les présentations dinformations
• 3) Les dispositions du 2 nexcluent pas la
  brevetabilité des éléments énumérés aux dites
  dispositions que dans la mesure où la demande de
  brevet ou le brevet ne concerne que lun de es
  éléments considéré en tan que tel.
• Dépôt auprès de lINPI
• Durée de la protection 20 ans

27
La brevetabilité des logiciels

• Principe en France de lexclusion de la
  brevetabilité des logiciels en tant que tels.
  Toutefois les machines ou systèmes exécutant des
  opérations au moyen dun logiciel sont
  brevetables
• OEB a accordé 30 000 brevets portant sur des
  inventions mettant en uvre des logiciels
• Les logiciels sont brevetables sous réserve de
  remplir les conditions générales pour la
  brevetabilité la nouveauté, lactivité inventive
  et lapplication industrielle
• Décision Microsoft 23 février 2006 il ressort de
  la motivation de la chambre de recours technique
  que dès quun programme dordinateur est exécuté
  sur un ordinateur, il nest plus considéré comme
  un programme dordinateur mais comme une
   méthode ou une invention mise en uvre par
  ordinateur  et peut donc être brevetable .
• Application par la France de critères plus
  restrictifs que lOEB

28
Le droit des producteurs de bases de données

• On entend par base de données un recueil
  duvres, de données ou dautres éléments
  indépendants, disposés de manière systématique ou
  méthodique, et individuellement accessibles par
  des moyens électroniques ou par toute autre
  moyens (article L112-3 al 2 CPI)
• Le producteur dune base de données est celui qui
  prend linitiative et le risque des
  investissements correspondants (articles L 341-1
  CPI)

29
Le droit des producteurs de bases de données

• Le producteur dune base bénéficie dune
  protection du contenu de sa base dans le mesure
  où il atteste dun investissement financier,
  matériel ou humain substantiel
• Il peut interdire
• Lextraction de la totalité ou dune partie
  qualitativement ou quantitativement substantielle
  du contenu de sa base (affaire cadremploi/ keljob
  TGI Paris 5 septembre 2001)
• La réutilisation par la mise à disposition du
  public de la totalité ou dune partie
  qualitativement ou quantitativement substantielle
  du contenu dune base de données

30
La protection par linsertion de dispositions
adaptées dans les contrats

• Le droit de la propriété intellectuelle ne permet
  pas une protection optimum du savoir-faire et du
  patrimoine intellectuel de lentreprise
• Exemple ne protège pas les idées et concepts qui
  par principe sont de libre parcours, le
  savoir-faire
• Linsertion dans les contrats de dispositions
  relatives à la confidentialité,à la propriété, à
  la cession de droits permet dy pallier
• Article 1134 du Code civil  Les conventions
  légalement formées tiennent lieu de loi à ceux
  qui les ont faites .

31
Clauses de confidentialité

• Permettent de se protéger contre lutilisation
  par le client dinformations qui lui ont été
  présentés au cours de lexécution du contrat ou
  même au stade des pourparlers ou des
  connaissances quil a pu acquérir
• Ces clauses précisent
• Ce qui est soumis au secret, à la confidentialité
• Par exemple les informations, les documents,
  procédés, savoir-faire, logiciels, technologies,
  secrets de fabrique, inventions, prototypes et
  outils, toutes informations relatives au contrôle
  de qualité et au marketing, les informations
  commerciales, stratégiques et financières des
  parties
• Ce qui ne constitue pas une information
  confidentielle
• Par exemple les informations légalement détenues
  par une partie avant leur divulgation par
  lautre, les informations qui ne résultent ni
  directement ni indirectement de lutilisation de
  tout ou partie des informations confidentielles,
  les informations valablement obtenues auprès dun
  tiers autorisé à transférer ou à divulguer
  lesdites informations.
• La durée de lobligation de confidentialité
• Par exemple  Lobligation de confidentialité ne
  séteindra que trois ans à compter de
  lexpiration ou de la résiliation du présent
  contrat pour quelque raison que ce soit . 
• Les conséquences en cas de violation de la clause
  de confidentialité

32
Clauses de communication de savoir-faire

• Intégrer
• Des dispositions relatives à la confidentialité
• Interdiction pour le bénéficiaire deffectuer des
  copies des documents confidentiels
• Engagement du bénéficiaire à limiter la diffusion
  du savoir- faire aux seuls membres de son
  personnel dont les fonctions nécessitent quil y
  aient accès ou pour lusage mentionné au contrat
• Obligation de restituer au titulaire du
  savoir-faire, à lexpiration du contrat, tous les
  documents qui lui ont été transmis
• Prévoir la sanction de la violation de la clause
  relative à la communication du savoir-faire
  réparation financière, résiliation du contrat

33
La protection en interne du savoir-faire

• Question du salarié appelé à connaître et/ou
  utiliser le savoir-faire en question
• Intégrer une clause de confidentialité dans son
  contrat de travail
• Obligation de ne pas divulguer à quiconque toute
  information soumise à la confidentialité et
  relative à lactivité de lentreprise
• Obligation plus stricte nautorisant le salarié à
  échanger des informations sur le travail qui lui
  est confié quà certains membres du personnel
  expressément désignés dans la clause
• Prévoir les sanctions de la violation de la
  clause
• Intégrer une clause de non concurrence
  interdisant au salarié de travailler chez un
  concurrent pendant une durée de un à trois ans
  par exemple moyennant une indemnité compensatrice

34
Les clauses de propriété

• Déterminer avec précision dans les clauses de
  propriété lequel de chaque cocontractant est
  titulaire de droits de propriété intellectuelle
  notamment sur
• les logiciels
• les marques
• les contenus sites web
• les brevets dinvention
• les dessins et modèles,
• Les bases de données,
• Les informations et documents

35
Clause de cession de droits

• Cession des droits dauteur
• À titre gratuit ou onéreux
• Du droit de représentation et/ou de reproduction
• Article L 131-3 CPI
• Chacun des droits cédés doit faire lobjet dune
  mention distincte dans lacte de cession
• Le domaine dexploitation des droits cédés doit
  être délimité quant à son étendue, sa
  destination, quant au lieu de lexploitation et
  quant à la durée
• Cession de droit sur les brevets, dessins et
  modèles, logiciels, bases de données etc

36
Clauses de sous-traitance

• Intégrer dans les contrats avec les
  sous-traitant
• Une clause de confidentialité afin de protéger
  votre savoir-faire
• Une clause de cession de droit si lexécution du
  contrat de sous-traitance rend nécessaire la
  cession de certains droits de propriété
• Une clause de propriété

37
THEME N4RECENSER LES FICHIERS DE VOTRE SOCIETE
ET REALISER LES DECLARATIONS NECESSAIRES AUPRES
DE LA CNIL
38
Définitions

• Fichier de données à caractère personnel tout
  ensemble structuré et stable de données à
  caractère personnel accessibles selon des
  critères
• Donnée à caractère personnel toute information
  relative à une personne physique identifiée ou
  qui peut être identifiée, directement ou
  indirectement, par référence à un numéro
  didentification ou à un ou plusieurs éléments
  qui lui sont propres
• Traitement de données à caractère personnel
  toute opération ou ensemble dopérations portant
  sur de telles données, quel que soit le procédé
  utilisé et notamment la collecte,
  lenregistrement, lorganisation, la
  conservation, ladaptation ou la modification,
  lextraction, la consultation, lutilisation, la
  communication par transmission, diffusion ou
  toute autre forme de mise à disposition, le
  rapprochement ou linterconnexion , ainsi que le
  verrouillage, leffacement ou la destruction

39
Identifier les fichiers à déclarer

• Principe
• Tous les traitements ou fichiers automatisés de
  données à caractère personnel font lobjet dune
  déclaration à la CNIL
• Exceptions
• Les dispenses de déclaration
• Les déclarations simplifiées
• Les traitements soumis à lautorisation préalable
  de la CNIL

40
Les dispenses de déclarations

• Sont dispensés de déclaration les traitements
• mis en uvre par les comités dentreprises ou
  détablissements, ou les délégués du personnel
  pour la gestion de leurs activités sociales et
  culturelles
• ayant pour finalité la tenue, lutilisation et la
  communication des listes dinitiés
  (banque-finance)
• relatifs à la gestion des membres et donateurs
  des associations à but non lucratif régies par la
  loi du 1er juillet 1901
• constitués à des fins dinformation ou de
  communication externe
• mis en uvre par les collectivités territoriales
  et les services du représentant de lÉtat dans
  le cadre de la dématérialisation du contrôle de
  légalité
• les sites web diffusant ou collectant des données
  à caractères personnel mis en uvre par des
  particuliers dans le cadre dune activité
  exclusivement personnelle
• relatifs à la gestion des fichiers de
  fournisseurs comportant des personnes physiques
• mis en uvre par les organismes publics dans le
  cadre de la dématérialisation des marchés publics
• de gestion des rémunérations mis en uvre par les
  personnes morales de droit privé autres que
  celles gérant un service public
• de comptabilité générale

41
Les déclarations simplifiées

• La CNIL a établi des normes simplifiées
• Exemples
• traitements automatisés de données à caractère
  personnel mis en uvre dans le cadre de
  lutilisation de services de téléphonie mobile
  sur les lieux de travail
• traitements automatisés de données à caractère
  personnel mis en uvre par les organismes publics
  ou privés destinés à géolocaliser les véhicules
  utilisés par leurs employés
• gestion de fichiers de clients et de prospects de
  tous organismes sauf les établissements
  bancaires, assurance, professionnels de santé et
  de léducation
• Lorsque le traitement mis en uvre correspond en
  tout point à lune des normes établies par le
  CNIL simple déclaration de conformité

42
Les autorisations

• Sont soumis à lautorisation préalable de la CNIL
  les traitements
• concernant des données sensibles (origines
  raciales, ethniques, opinions politiques)
• de données biométriques, génétiques
• des infractions, condamnations ou mesures de
  sûretés
• le NIR (numéro de sécurité sociale)
• relatifs aux interconnexions de fichiers
• comportant des appréciations sur les difficultés
  sociales des personnes
• Sont soumis à lautorisation par décret ou arrêté
  après avis motivé de la CNIL les traitements
  publics concernant
• la sûreté, la défense ou la sécurité publique
• la prévention, la recherche, la constatation ou
  la poursuite des infractions pénales ou
  lexécution des condamnations pénales ou des
  mesures de sûretés
• le NIR ou la consultation du RNIPP (registre
  nationale didentification des personnes
  physiques)
• des données biométriques
• le recensement de la population

43
Le correspondant informatique et libertés

• La désignation dun correspondant Informatique et
  libertés permet dêtre exonéré de tout ou partie
  des formalités préalables auprès de la CNIL leur
  incombant
• Seuls les traitements soumis à autorisation ou
  avis préalable de la CNIL devront être déclarés
• Les autres traitements devront être référencés
  dans une liste tenue par le correspondant
  localement

44
Le correspondant informatique et libertés

• Qui est-il?
• Un salarié ou une personne extérieure à
  lentreprise
• Personne disposant des qualifications requises
  pour exercer ses fonctions
• Autonomie daction
• Comment est-il désigné?
• Le responsable des traitements de données
  personnelles doit informer par LRAR les instances
  représentatives du personnel de sa décision de
  désigner un correspondant et de leur transmettre
  son identité
• Notification à la CNIL de la désignation par
  lenvoi dun formulaire spécifique par LRAR à la
  CNIL
• Prise deffet de sa désignation un mois après
  réception de la notification par la CNIL
• Quels sont ses fonctions?
• Tenir une liste des traitements de données à
  caractère personnel
• Veiller au respect des dispositions de la Loi
  Informatique et Libertés
• Informer les personnes sur leurs droits (accès
  etc), alerter la CNIL en cas de manquement du
  responsable du traitement à ses obligations,
  rendre compte de son action

45
Les modalités de déclaration

• La déclaration
• Doit être faite par le responsable du traitement
  ou du fichier,
• Préalablement à la mise en uvre du fichier ou du
  traitement
• Par télédéclaration ou envoi ou dépôt dun
  dossier papier à la CNIL qui délivrera un
  récépissé permettant de mettre en uvre le
  traitement ou le fichier
• Toute modification du traitement ou du fichier
  doit être signalée à la CNIL

46
Traitements de données à caractère personnel et
contrats

• Traitement des données par un sous- traitant
  (article 35 de la loi de 1978)
• Le sous-traitant doit présenter des garanties
  suffisantes pour assurer la mise en uvre des
  mesures de sécurité et de confidentialité ( doit
  pouvoir empêcher que les données traitées soient
  endommagées, déformées ou que des tiers non
  autorisés y aient accès)
• Le contrat liant le sous-traitant au responsable
  du traitement doit
• Indiquer lensemble des obligations incombant au
  sous-traitant en matière de protection de la
  sécurité et de la confidentialité des données
• Prévoir que le sous-traitant ne pourra agir que
  sur instruction préalable du responsable du
  traitement

47
Traitements de données à caractère personnel et
contrats

• Le contrat de cession ou de location de données
• Respect du droit des personnes concernées par la
  cession droit à linformation, droit
  dopposition et droit daccès et de rectification
• La cession doit être mentionnée dans la
  déclaration ou la demande dautorisation à la
  CNIL
• Obligation du cessionnaire
• doit respecter la finalité initiale du traitement
  des données à caractère personnel objet du
  contrat
• sengage à respecter la législation applicable en
  matière de traitement de données à caractère
  personnel

48
Le transfert à létranger (hors CE) de données à
caractère personnel

• Principe le transfert est possible si le pays
  destinataire assure un niveau de protection
  suffisant de la vie privée et des libertés et
  droits fondamentaux des personnes à légard du
  traitement des données concernées
• Évaluation du niveau de protection assurée par un
  État en fonction
• des dispositions en vigueur dans cet État
• des mesures de sécurité qui y sont appliquées
• des caractéristiques propres du traitement (ses
  fins, sa durée, la nature, lorigine et la
  destination des données traitées)
• Le transfert de données vers un pays étranger
  hors CE doit être précisé dans les déclarations
  de traitements réalisés auprès de la CNIL

49
Le transfert à létranger (hors CE) de données à
caractère personnel Exceptions

• Le transfert de données vers un pays nassurant
  pas un niveau de protection suffisante est
  possible si
• la personne concernée y a consenti
• ou
• le transfert est nécessaire à
• la sauvegarde de la vie de la personne, de
  lintérêt public, ou
• au respect dobligations permettant dassurer la
  constatation, lexercice ou la défense dun droit
  en justice, ou
• la consultation, dans des conditions régulières,
  dun registre public qui, en vertu de
  dispositions législatives ou réglementaires, est
  destiné à linformation du public et est ouvert à
  la consultation de celui-ci ou de toute personne
  justifiant dun intérêt légitime, ou
• lexécution dun contrat entre le responsable du
  traitement et lintéressé, ou de mesures
  pré-contractuelles prises à la demande de
  celui-ci, ou
• conclusion ou exécution dun contrat conclu ou à
  conclure, dans lintérêt de la personne
  concernée, entre le responsable du traitement et
  un tiers.

50
Le transfert à létranger (hors CE) de données à
caractère personnel

• Insérer des clauses  Informatiques et libertés 
  relatives au transfert de données dans vos
  contrats avec vos sous-traitants étrangers
• Ces clauses doivent prévoir
• Le droit applicable
• Les détails du transfert des données
• Les obligations de lexportateur et de
  limportateur de données
• Les règles de responsabilité applicables
• La coopération avec les autorités de contrôle
• Les obligations de limportateur de données en
  cas de résiliation du contrat

51
THEME N5ACCES PAR BADGE, CONTRÔLE BIOMETRIQUE,
ARCHIVAGERECENSER TOUTES VOS OBLIGATIONS LEGALES
52
Accès par badge

• Obligation de déclaration si lentreprise met en
  place un système automatisé des données
  recueillies (heures dentrée et de sortie)
  lorsque les salariés sont identifiables
• Droits des salariés sur les données nominatives
  traitées
• Droit à linformation
• Droit dopposition
• Droit daccès
• Droit de rectification

53
Accès par badge

• Conséquence du défaut de déclaration
• Cass. soc 6 avril 2004 une société avait mis en
  uvre un système de badge qui était géré par des
  moyens automatisés et permettant didentifier les
  salariés à leur entrée et à leur sortie des
  locaux de lentreprise sans procéder à une
  déclaration auprès de la CNIL.
• Un salarié ayant refusé à 19 reprises dutiliser
  son badge a été licencié.
• La Cour de cassation a jugé que faute de
  déclaration à la CNIL, son refus de déférer à une
  exigence de son employeur impliquant la mise en
  uvre du traitement ne peut lui être reproché et
  que le licenciement était ainsi sans cause réelle
  et sérieuse

54
Larchivage électronique

• Recommandation de la CNIL du 23/10/2005 qui
  sapplique aux
• archives courantes par exemple les données
  concernant un client dans le cadre de lexécution
  dun contrat
• archives intermédiaires données conservées à
  titre dexemple pour les besoins dun contentieux
• Recommandationaccès limité à un service
  spécifique et mise en place dun mode de gestion
  des droits daccès
• archives définitives données ayant un intérêt
  historique, scientifique ou statistique
  justifiant quelles ne fassent pas lobjet dune
  destruction
• recommandation conservation sur un support
  indépendant, accès ponctuel et motivé auprès dun
  service seul habilité à consulter ce type
  darchives
• utilisation de procédés danonymisation
  particulièrement pour les données sensibles

55
Larchivage électronique

• La finalité du traitement le détournement de
  finalité est puni de cinq ans demprisonnement et
  de 300 000 damende
• Le droit à loubli les données ne peuvent être
  conservées que pendant une durée raisonnable
  cest à dire proportionnée à la finalité du
  traitement. La durée de conservation doit être
  déclarée à la CNIL
• La confidentialité des données la communication
  de données archivées à des personnes non
  autorisées est punie de 5 ans demprisonnement et
  de 300 000 damende, et de 3 ans et 100 000
  si la divulgation résulte dune imprudence
• Mise en uvre de mesures techniques et
  dorganisation appropriées contre la diffusion ou
  laccès non autorisés ou contre toute forme de
  traitement illicite des données archivées

56
Les contrôles biométriques sur les lieux de
travail

• Données biométriques
• Particularités physiques empreintes digitales,
  iris de lil, contour de la main
• ADN, sang, odeurs
• Certains éléments comportementaux signature,
  démarche
• La CNIL définit les systèmes biométriques comme
  les applications permettant lidentification
  automatique ou léligibilité dune personne à se
  voir reconnaître des droits ou services
  (notamment laccès) basés sur la reconnaissance
  de particularités physiques,de traces ou
  déléments comportementaux

57
Les contrôles biométriques

• Distinction
• Systèmes biométriques à traces/ sans traces la
  distinction repose sur la possibilité (à trace)
  ou non (sans trace) de récupérer la donnée
  biométriques à linsu de la personne.
• Cas des empreintes digitales (à trace)
• seul un impératif de sécurité incontestable peut
  justifier la constitution de telles bases dans la
  mesure ou ces données laissent des traces et
  peuvent être utilisées à des fins étrangères à
  leur finalité première
• La mise en uvre dun contrôle daccès par un
  système reposant sur le traitement de tout autre
  donnée biométrique ne laissant pas de traces ne
  posent pas problèmes au regard de la loi
   informatique et libertés 

58
Les systèmes de contrôle daccès biométriques

• Avis favorable de la CNIL
• Gestion des contrôles daccès des agents de la
  Banque de France par empreintes digitales
• Contrôle daccès par la reconnaissance
  dempreintes digitales de certains personnels de
  léducation nationale pour certains locaux de la
  cité académique de Lille
• Vérification de lidentité des détenus en
  établissement par la reconnaissance de la
  morphologie de la main
• Mise en uvre par létablissement public
  Aéroports de Paris dun contrôle daccès
  biométrique par empreintes digitales aux zones
  réservées de sûreté des aéroports dOrly et
  Roissy
• Avis défavorable de la CNIL
• Gestion de laccès à la cantine scolaire dun
  collège reposant sur la reconnaissance
  automatique des empreintes des personnes
  concernées et constitution dune base de données
• Gestion des horaires de travail des personnels
  communaux dune mairie par un dispositif de
  reconnaissance des empreintes digitales
• Gestion du temps de travail des personnels du
  centre hospitalier de Hyères par un dispositif de
  reconnaissance de lempreinte digitale

59
THEME N6E-MAILS ET FICHIERS PERSONNELS OU
PROFESSIONNELS QUEL POUVOIR DE CONTRÔLE POUR
LENTREPRISE?
60
E-mails et fichiers personnels ou professionnels

• Les fichiers informatiques détenus par un salarié
  sur son lieu de travail sont présumés être
  professionnels sauf à être identifiés comme
  personnels
• Arrêt de la Cour de cassation du 18 octobre 2006
•  Les dossiers et fichiers créés par un salarié
  grâce à l'outil informatique mis à sa disposition
  par son employeur pour l'exécution de son travail
  sont présumés, sauf si le salarié les identifie
  comme étant personnels, avoir un caractère
  professionnel de sorte que l'employeur peut y
  avoir accès hors sa présence 

61
E-mails et fichiers personnels ou professionnels

• Les courriers électroniques et le secret des
  correspondances
• Le salarié a le droit sur son lieu et pendant son
  temps de travail au respect de sa vie privée et
  de sa correspondance arrêt NIKON de la Cour de
  cassation du 2 octobre 2001
• Lemployeur ne peut prendre connaissance des
  courriers électroniques personnels de ses
  salariés
• Proposition de loi du 13 juin 2006 visant à
  définir le courrier électronique professionnel
  qui nest pas défini dans la LCEN

62
E-mails et fichiers personnels ou professionnels

• En cas de difficultés telles que des soupçons
  dinfraction pénale
• Lautorisation judiciaire de faire pratiquer une
  copie peut être demandée
• Délit pénal de violation de la correspondance
  privée article 226-15 du Code pénal
• Faut-il établir une distinction avec les fichiers
  personnels ?
• Arrêt de la Cour de cassation du 17 mai 2005
  Cathnet-Science
• L'employeur ne peut ouvrir les fichiers
  identifiés par le salarié comme personnels
  contenus sur le disque dur de lordinateur mis à
  sa disposition quen présence du salarié dûment
  appelé sauf en cas de risque ou évènement
  particulier

63
Lutilisation dinternet par les salariés

• Lentreprise peut mettre en place un dispositif
  de limitation du volume et de la taille des
  courriers électroniques échangés dans un but de
  contrôle dencombrement du réseau et de sécurité

64
Le contrôle des connexions internet par
lemployeur

• Lemployeur peut fixer les conditions
  dutilisation dinternet
• Mise en place dun dispositif de filtrage des
  sites non autorisés
• Interdiction de télécharger certains logiciels,
  de participer à des forums de discussion ou chat
• Article L 432-2-1 du Code du travail
• Le comité d'entreprise est informé et consulté,
  préalablement à la décision de mise en oeuvre
  dans l'entreprise, sur les moyens ou les
  techniques permettant un contrôle de l'activité
  des salariés.

65
THEME N7LA NOUVELLE PROCEDURE DE SANCTION
DEVANT LA CNIL
66
Les sanctions pécuniaires (loi du 6 août 2004
modifiant la loi du 6 janvier 1978)

• Si le responsable dun traitement ne donne pas de
  suite favorable à une mise en demeure de la CNIL
  de faire cesser un manquement cette dernière peut
  prononcer une sanction pécuniaire
• proportionnée à la gravité du manquement et des
  avantages qui en sont tirés
• la sanction ne peut excéder 150 000 euros lors du
  premier manquement et 300 000 euros en cas de
  réitération dans les 5 ans, ou 5 du chiffre
  daffaires HT du dernier exercice clos dans la
  limite de 300 000 euros
• lorsque la CNIL a prononcé une sanction
  pécuniaire devenue définitive avant que le juge
  pénal ait statué définitivement sur les mêmes
  faits ou des faits connexes,celui-ci peut
  ordonner que la sanction pécuniaire simpute sur
  lamende quil prononce
• exemples
• Délibération de la CNIL du 28 juin 2006 prononcé
  dune sanction pécuniaire à lencontre du Crédit
  Lyonnais pour un montant total de 45 000 euros
• Délibération de la CNIL du 14 décembre 2006
  prononcé dune sanction à lencontre de la
  société Tyco Healthcare France de 30 000 euros

67
Le pouvoir de sanction de la CNIL

• Injonction de cesser le traitement ou retrait de
  lautorisation
• Mise en demeure du responsable du traitement de
  faire cesser le manquement constaté dans un délai
  fixé par la CNIL
• Avertissement à légard du responsable du
  traitement en cas de non respect des obligations
  prévues par la loi de 1978

68
Le pouvoir de sanction de la CNIL

• En cas durgence et lorsque la mise en uvre
  porte atteinte à lidentité humaine, aux droits
  de lhomme, à la vie privée, aux libertés
  individuelles ou publiques, la CNIL peut, après
  une procédure contradictoire,décider
• de linterruption de la mise en uvre du
  traitement (3 mois maximum)
• du verrouillage de certaines données, hormis ceux
  mis en uvre par lÉtat ou pour son compte (3
  mois maximum)
• dinformer le Premier ministre pour quil prenne,
  le cas échéant, les mesure permettant de faire
  cesser la violation constatée

69
Les sanctions prononcées par la CNIL procédure

• Elles sont prononcées sur la base dun rapport
  dun membre de la CNIL désigné par son Président
• Le rapport est notifié au responsable du
  traitement qui peut déposer des observations et
  se faire représenter ou assister
• Le rapporteur peut présenter des observations
  orales mais ne prendra pas part à la délibération
• La CNIL peut en cas de mauvaise foi du
  responsable du traitement ordonner linsertion de
  la sanction dans le presse ou sur tout support,
  les frais étant supportés par le responsable
• Les décisions sont motivées et notifiées au
  responsable du traitement
• Les décisions prononçant une sanction peuvent
  faire lobjet dun recours de pleine juridiction
  devant le Conseil dÉtat

70
La sanction des infractions aux dispositions de
la loi du 6 janvier 1978

• Est puni le 5 ans demprisonnement et de 300 000
  euros damende le
• Non respect des formalités préalables à la mise
  en uvre du traitement, dune injonction de
  traitement prononcée par la CNIL, dune norme
  simplifiée, du droit dopposition fondée sur un
  motif légitime, de la finalité du traitement
• La collecte de données par un moyen frauduleux,
  illicite ou déloyal
• Le traitement de données sensibles sans laccord
  exprès de lintéressé, à des fins de recherche
  dans le domaine de la santé sans information
  préalable ou malgré lopposition de lintéressé,
  concernant des infractions, des condamnations ou
  des mesures de sûreté hors les cas prévus par la
  loi
• Articles 226-16 à 226-24 du Code Pénal

71
Les autres sanctions pénales

• 1 an demprisonnement et 15 000 euros damende
• Entrave à laction de la CNIL (article 51de la
  loi du 6 janvier 1978)
• 750 euros damende pour chaque correspondance ou
  chaque appel (contravention de 4ème classe)
• Utilisation dans des opérations de prospection
  directe, des données à caractère personnel
  contenues dans les listes dopposition (article
  R.10-1 al 1er du Code de postes et des
  communications électroniques)
• Prospection directe dune personne physique par
  un automate dappel, télécopieur, ou courrier
  électronique sans son consentement préalable
  (article R.10-1 al 2 du PCE)
• Prospection directe dune personne inscrite sur
  la liste dopposition SAFRAN (article R.10-2 du
  CPCE)

72
Mise en conformité des traitements avec la loi de
1978 modifiée

• Rappel
• Les responsables de traitements de données à
  caractère personnel dont la mise en uvre est
  intervenue avant la publication de la présente
  loi doivent au plus tard le 7 août 2007 avoir mis
  leurs traitements en conformité avec les
  dispositions de la loi du 6 janvier 1978 modifiée
  par la loi du 6 août 2004