L'actualité juridique des DSI

Actualité Cyberdroit

En partenariat avec Maître Christiane Feral-Schuhl et le Cabinet Feral-Schuhl / Sainte-Marie

Retrouvez toute l'information juridique du DSI sur Cyberdroit.fr

Cyberdroit.fr >
Publicité
Publicité
Publicité

La tribune à la une

Les dernières actualités Cyberdroit

Dispositif biométrique et suivi du temps de travail

Par une délibération du 5 mars 2015, la CNIL a refusé d'accorder à une banque l'autorisation de mettre en oeuvre un traitement automatisé de données personnelles reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle a constaté qu'aucune circonstance exceptionnelle n'était démontrée, que le dispositif "ne résult[ait] pas de la mise en oeuvre de mesures de sécurité telles qu'identifiées par une analyse de risques", et que le traitement envisagé ne relevait donc pas d'une finalité de sécurité justifiant un recours impératif à la biométrie. Elle a en outre relevé "l'impossibilité pour les personnes concernées de recourir à un dispositif alternatif" et a donc considéré que le recours exclusif à un tel dispositif n'apparaissait "ni adapté ni proportionné à la finalité poursuivie".

Pour lire la délibération de la CNIL

Suspension par le Conseil d'Etat de la mise en oeuvre du fichier "STADE"  

Par une ordonnance du 13 mai 2015, le Conseil d'Etat a suspendu provisoirement la mise en oeuvre d'un traitement automatisé de données à caractère personnel dénommé fichier "STADE", autorisé par un arrêté ministériel du 15 avril 2015 et ayant pour objectif de prévenir les troubles à l'ordre public lors de manifestations sportives. En l'espèce, plusieurs associations de défense des intérêts des supporters avaient saisi le juge des référés du Conseil d'Etat d'un référé-suspension, affirmant que ce traitement de données à caractère personnel ne respectait pas les exigences de la Loi Informatique et Libertés en ne définissant pas avec une précision suffisante les personnes concernées et les catégories de données pouvant être enregistrées. Estimant qu'il existait un doute sérieux quant à la légalité de l'arrêté, les juges ont suspendu sa mise en oeuvre jusqu'à ce qu'ils se prononcent sur la demande d'annulation dont ils ont été saisis.

Pour lire l'ordonnance du Conseil d'Etat

Illicéité de la preuve par géolocalisation en l'absence d'information du salarié

Dans un arrêt du 6 mai 2015, la Cour d'appel de Montpellier a confirmé la requalification d'un licenciement pour faute grave en licenciement pour cause réelle et sérieuse d'un employé, auquel il était notamment reproché de ne pas exécuter totalement son temps de travail hebdomadaire. À cette occasion, la Cour a relevé que la preuve par le système de géolocalisation des véhicules de la société ne pouvait pas être retenue en raison de son illicéité, puisqu'elle ne figurait pas parmi les finalités communiquées à l'employé, et ce même si la déclaration à la CNIL conforme à la norme NS 51 englobait la finalité accessoire du suivi du temps du travail lorsque celui-ci ne pouvait pas être réalisé par d'autres moyens. Elle a cependant admis les autres preuves apportées pour confirmer le licenciement.

Arrêt non encore publié

Exceptions au principe "silence vaut acceptation" en matière de propriété intellectuelle

Un décret du 7 mai 2015, faisant suite à la loi du 12 novembre 2013 sur la simplification des relations entre l'administration et les citoyens, prévoit que le silence gardé pendant un certain délai par l'INPI sur les demandes d'enregistrement et de renouvellement de marque, de dessin ou modèle, de requête en renonciation, en limitation ou en déchéance de brevet vaut décision de rejet. Le décret porte ainsi exception au principe selon lequel le "silence vaut acceptation".

Pour lire le décret sur Legifrance

Collecte d'adresses IP non constitutive d'un traitement de données à caractère personnel

Après avoir constaté la connexion sur son réseau informatique d'ordinateurs extérieurs à l'entreprise, une société a collecté des adresses IPg aux fins d'obtenir des FAI les coordonnées correspondantes de leurs abonnés. Les adresses IPg ont été localisées au sein d'une société concurrente, laquelle a contesté cette collecte, considérant qu'elle constituait un traitement de données à caractère personnel soumis à déclaration préalable auprès de la CNIL. Par un arrêt du 28 avril 2015, la Cour d'appel de Rennes a cependant considéré que "le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d'adresses IPg [...], sans qu'aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel".

Arrêt non encore publié

Recommandation sur le traitement des données à caractère personnel dans le cadre de l'emploi

Le 1er avril 2015, le Conseil de l'Europe a adressé une recommandation énonçant les principes à suivre en matière de traitement des données à caractère personnel des employés et des candidats à un emploi dans les secteurs public et privé. La recommandation précise que les employeurs devraient veiller à éviter toute atteinte injustifiée et déraisonnable au droit au respect de la vie privée des employés sur leur lieu de travail. Elle prévoit ensuite des garanties pour assurer la protection des données et apporte des orientations relatives à leur collecte, à leur enregistrement ainsi qu'à leur communication par l'employeur. Enfin, elle énonce que les employés devraient avoir un droit d'accès, un droit de rectification et un droit d'opposition en cas d'inexactitude et/ou de violation du droit interne ou des principes énoncés dans la recommandation.

Pour lire la recommandation du Conseil de l'Europe

Droit exclusif des organismes de radiodiffusion et transmission de rencontres sportives en direct  

Une chaîne de télévision payante suédoise, transmettant des rencontres sportives en direct sur son site internet, reprochait à un particulier d'avoir inséré sur un site des liens permettant aux internautes l'accès en direct aux dites rencontres, sans pour autant s'acquitter de la somme d'argent exigée par l'exploitant du premier site. Dans un arrêt du 26 mars 2015, la CJUE, saisie d'une question préjudicielle, a considéré que la directive 2001/29, sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information, n'affectait pas la faculté des Etats membres "d'accorder aux organismes de radiodiffusion, le droit exclusif d'autoriser ou d'interdire les actes de communication au public de leurs émissions à condition qu'une telle protection ne porte pas atteinte à celle du droit d'auteur".

Pour lire l'arrêt de la CJUE

Prospection par SMS : sanction pour défaut de consentement et d'information

Par un arrêt du 23 mars 2015, le Conseil d'Etat a rejeté une requête en annulation d'une délibération par laquelle la CNIL avait prononcé à l'encontre d'une société d'expertise immobilière une sanction pécuniaire de 20 000 euros pour avoir procédé à une prospection commerciale par SMSg "sans avoir préalablement recueilli l'accord explicite des prospects au moment de la collecte de leur numéro de téléphone ni respecté leur droit à l'information, non plus que leur droit d'opposition résultant de la loi". Le Conseil d'Etat a entériné la sanction prononcée par la CNIL, qu'il a en outre jugée proportionnée.

Pour lire l'arrêt sur Légifrance

Hébergement de données de santé et défaut d'agrément

Par un arrêt du 9 avril 2015, la Cour d'appel de Lyon a statué sur la licéité de la cause d'un contrat d'hébergement conclu entre une société de santé à domicile et un prestataire informatique. La cliente invoquait la nullité du contrat pour illicéité de la cause, soutenant que le prestataire informatique ne disposait pas de l'agrément imposé par le Code de la santé publique pour l'hébergement de données de santé. La Cour d'appel a confirmé le jugement qui avait débouté la cliente, au motif qu'elle avait "dûment accepté le contrat offert par [le prestataire], qui ne précisait en rien la nature des données à stocker", de telle sorte que celui-ci "n'entendait pas fournir un espace de stockage destiné à recueillir des informations médicales à caractère personnel" et que la cliente elle-même "n'entendait pas stocker ce genre de données sur un serveur ne possédant par l'agrément requis". Ainsi, elle a considéré qu'"aucune volonté illicite n'existait lors de la formation du contrat".

Arrêt non encore publié

Interdépendance contractuelle des opérations incluant une location financière

Dans un arrêt du 2 avril 2015, la Cour d'appel d'Aix en Provence a tranché un litige concernant une société qui avait conclu un contrat de fourniture de matériel de téléphonie avec abonnement mensuel, un contrat de maintenance et un contrat de location financière avec trois cocontractants différents. Les juges ont considéré qu'il s'agissait en l'espèce "d'une seule opération économique, avec trois contrats dont chacun se trouvait de fait lié aux deux autres" et que "l'équilibre et l'exécution des trois contrats supposaient que les deux autres coexistent", quelles que soient les clauses de prétendue autonomie de chacun de ces contrats. Le prestataire de maintenance n'ayant pas exécuté ses obligations, la Cour a admis la résolution de ce contrat et a, par conséquent, considéré que les contrats d'abonnement et de location financière étaient caducs.

Arrêt non encore publié

Abonnez-vous à la newsletter CIO

Recevez notre newsletter tous les lundis et jeudis

UTILISATION DES COOKIES

En poursuivant votre navigation sur ce site,
vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

Pour en savoir plus, consultez notre politique relative à la vie privée.

La question du moment
Disposez-vous d’un intranet collaboratif ?