Lignes directrices sur les Techniques d’anonymisation | Groupe de l’article 29

Lignes directrices sur les Techniques d’anonymisation | Groupe de l’article 29.

Au regard de la directive 95/46/CE, l’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification. Ce faisant, les responsables du traitement des données doivent tenir compte de plusieurs éléments, en prenant en considération l’ensemble des moyens «susceptibles d’être raisonnablement mis en œuvre» à des fins d’identification (soit par le responsable du traitement, soit par un tiers).

L’anonymisation constitue un traitement ultérieur des données à caractère personnel; à ce titre, elle doit satisfaire à l’exigence de compatibilité au regard des motifs juridiques et des circonstances du traitement ultérieur. De plus, si les données anonymisées sortent du champ d’application de la législation sur la protection des données, les personnes concernées peuvent néanmoins avoir droit à une protection au titre d’autres dispositions (comme celles qui protègent la confidentialité des communications).

Les principales techniques d’anonymisation, à savoir la randomisation et la généralisation, sont décrites dans le présent avis. Il y est notamment question d’ajout de bruit, de permutation, de confidentialité différentielle, d’agrégation, de k-anonymat, de l-diversité et de t-proximité. Les principes, les points forts et les points faibles de ces techniques sont expliqués, de même que les erreurs courantes et les échecs qui se rapportent à l’utilisation de chaque technique.

 




Lignes directrices sur le consentement au sens du règlement 2016/679 | RGDP

Lignes directrices sur le consentement au sens du règlement 2016/679. Ces lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement 2016/679, également connu sous le nom de règlement général sur la protection des données («RGPD»).

Le concept de consentement tel qu’utilisé jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable.

Les lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.

 




Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 | RGDP

Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 (RGDP). Les lignes directrices du groupe de travail «Article 29» (G29) fournissent une orientation pratique ainsi qu’une aide à l’interprétation concernant la nouvelle obligation de transparence applicable au traitement des données à caractère personnel au titre du règlement général sur la protection des données1 (ci-après le «RGPD»).

La transparence est une obligation globale au sens du RGPD qui s’applique à trois domaines centraux: 1) la communication aux personnes concernées d’informations relatives au traitement équitable de leurs données; 2) la façon dont les responsables du traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD; et 3) la façon dont les responsables du traitement facilitent l’exercice par les personnes concernées de leurs droits.

Dans la mesure où le respect de la transparence à l’égard du traitement des données est requis par la directive (UE) 2016/6803, ces lignes directrices s’appliquent également à l’interprétation de ce principe. À l’instar de toutes les lignes directrices du G29, les présentes lignes directrices ont vocation à être généralement applicables et pertinentes pour les responsables du traitement, quelles que soient les caractéristiques sectorielles, d’entreprise ou réglementaires spécifiques à un responsable du traitement en particulier. À ce titre, ces lignes directrices ne peuvent pas prendre en compte les nuances et nombreuses variables pouvant apparaître dans le contexte des obligations de transparence d’un secteur, d’une entreprise ou d’un domaine réglementé spécifique. Néanmoins, elles visent, d’une part, à permettre aux responsables du traitement de comprendre, à un degré élevé, l’interprétation par le G29 de ce que les obligations de transparence impliquent dans la pratique et, d’autre part, à indiquer l’approche que les responsables du traitement devraient, selon le G29, adopter en matière de transparence tout en intégrant les notions d’équité et de responsabilité dans leurs mesures de transparence.

 




Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD)

Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679.

L’article 35 du RGPD a introduit la notion d’analyse d’impact relative à la protection des données (AIPD3 ), Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel4 , en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24) 5 . Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.




Lignes directrices relatives au droit à la portabilité des données

Lignes directrices relatives au droit à la portabilité des données.  L’article 20 du règlement général sur la protection des données crée un nouveau droit à la portabilité des données, qui est étroitement lié au droit d’accès aux données, tout en différant de celui-ci à de nombreux égards. Il confère aux personnes concernées le droit de recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement. Ce nouveau droit a pour objectif de responsabiliser les personnes concernées et de leur permettre de contrôler davantage les données à caractère personnel les concernant.

Dans la mesure où il permet la transmission directe des données à caractère personnel d’un responsable du traitement à un autre, le droit à la portabilité des données constitue également un instrument important qui facilitera la libre circulation des données à caractère personnel dans l’Union et qui stimulera la concurrence entre les responsables du traitement. Il facilitera le passage d’un prestataire de services à un autre et encouragera dès lors la mise au point de nouveaux services dans le contexte de la stratégie pour un marché unique numérique.

 




Lignes directrices concernant les délégués à la protection des données (DPD)

Lignes directrices concernant les délégués à la protection des données (DPD). Les délégués à la protection des données (DPD) sont au cœur du   cadre juridique pour de nombreux organismes, pour faciliter la conformité avec les dispositions du RGPD. En vertu du RGPD, certains responsables du traitement et sous-traitants ont l’obligation de désigner un DPD2 . Cette obligation s’applique à l’ensemble des autorités et organismes publics (indépendamment de la nature des données qu’ils traitent), ainsi qu’à d’autres organismes dont les activités de base consistent en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel. Même lorsque le RGPD n’exige pas spécifiquement la désignation d’un DPD, les organismes peuvent parfois juger utile d’en désigner un sur une base volontaire. Le groupe de travail «Article 29» sur la protection des données («G29») encourage ces efforts déployés sur une base volontaire.




Ligne directrice sur l’Autorité Chef de file | RGDP / Données personnelles

Ligne directrice sur l’Autorité Chef de file (RGDP / Données personnelles). Les lignes directrices endossées par le Comité Européen de la Protection des Données (CEPD) clarifient et illustrent d’exemples concrets le nouveau cadre juridique issu du règlement européen sur la protection des données.

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit: – un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou – un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres. Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.




Promesse de vente immobilière

Modèle complet de Promesse de vente immobilière actualisé selon les dernières dispositions légales (40 pages). Les parties, et le cas échéant leurs représentants, déclarent que rien ne peut limiter leur capacité pour l’exécution des engagements qu’elles prennent et elles déclarent notamment :

– Que leur état-civil et leurs qualités indiqués aux présentes sont exacts ;

– Qu’elles ne sont concernées :

Par aucune des mesures de protection légale des incapables sauf, le cas échéant, ce qui peut être spécifié aux présentes pour le cas où l’une d’entre elles ferait l’objet d’une telle mesure ;

Par aucune des dispositions du Code de la consommation sur le règlement des situations de surendettement.

Par aucun mandat de protection future ayant pris effet.

– Qu’elles ne sont concernées, en ce qui concerne les personnes morales :

Par aucune demande en nullité ou dissolution.

– Qu’elles ne sont pas en sauvegarde, en redressement judiciaire ou en liquidation judiciaire ; vérification en a été faite en interrogeant bodacc.fr, comme en atteste le document ci-après annexé ;

Le PROMETTANT a été informé qu’en cas de dissimulation d’une telle procédure, le délit pénal de banqueroute, qui réprime le fait d’avoir détourné ou dissimulé tout ou partie de l’actif d’une procédure collective (C. com., art. L. 654-2), serait constitué et les parties ont été informées que si une liquidation judiciaire était dissimulée par le PROMETTANT devenu VENDEUR, la vente pourrait être déclarée inopposable à la procédure collective.

Le BENEFICIAIRE déclare ne pas être, soit à titre personnel, soit en tant qu’associé ou mandataire social d’une société civile immobilière ou en nom collectif, soumis à l’une des peines d’interdiction d’acquérir un bien immobilier visées par l’article L551-1 du Code de la construction et de l’habitation  et notamment peine prévue à l’article 225-19 5 bis du Code pénal.

En cas de déclaration fausse ou inexacte, la présente promesse serait nulle et non avenue aux torts exclusifs du BENEFICIAIRE. En conséquence, l’indemnité d’immobilisation visée ci-après restera acquise au PROMETTANT

Conformément aux dispositions de l’article L 551-1 du Code de la Construction et de l’Habitation, le Notaire soussigné interrogera l’Association pour le développement du service notarial (ADSN) afin d’obtenir consultation du bulletin n°2 du casier judiciaire du BENEFICIAIRE et confirmer l’absence de condamnation de ce dernier à l’une des peines d’interdiction d’acquérir édictée par ledit article.

 




CGU de Signature électronique | Horodatage et Certification

Modèle de CGU de Signature électronique avec horodatage mais également service de cachet électronique et utilisation de moyens cryptographiques.

Le Service permet la mise en œuvre de trois niveaux de Signature Électronique dont les effets juridiques sont reconnus par la réglementation applicable sur le territoire de l’Union Européenne. Dans le cadre de la mise en œuvre de la Signature de niveau 1, l’identification du Signataire incombe au Client au moyen de processus organisationnels et techniques qui lui sont propres et qu’il met en œuvre sous sa seule responsabilité.

Le Prestataire authentifie le Signataire au moyen du numéro de téléphone du Signataire déclaré au Prestataire (par le Signataire lui-même ou par le Client), le cas échéant. La Signature Électronique de niveau 1 ne nécessite pas la création d’un compte de la part du Signataire. Dans le cadre de l’utilisation de cette Signature, Le Prestataire ne peut garantir l’identité du Signataire, les seuls éléments fournis étant ceux communiqués par le Client. Les données d’identification qui figurent sur la Signature Électronique sont celles transmises par le Client au Prestataire.

Dans le cadre de la mise en œuvre de la Signature Électronique de niveau 2, le contrôle de l’identification du Signataire est réalisé à distance au moyen de la copie numérique de sa pièce d’identité adressée au Prestataire. Le Prestataire authentifie le Signataire au moyen du numéro de téléphone du Signataire déclaré au Prestataire (par le Signataire lui-même ou par le Client), le cas échéant. Dans le cadre de l’utilisation de cette Signature, Le Prestataire ne peut garantir l’identité du Signataire. En conséquence, il incombe au Client de s’assurer par ses propres moyens et sous sa seule responsabilité de l’identité du Signataire. Le Prestataire vérifie la cohérence entre données d’identification déclarées et le justificatif d’identité dont la copie lui a été transmise. La Signature Électronique de niveau 2 est réalisée au moyen de Certificats conformes aux exigences de la norme ETSI EN 319 411-1.

Dans le cadre de la mise en œuvre de la Signature Électronique de niveau 3, Le Prestataire vérifie l’identité du Signataire en sa présence et au moyen d’un justificatif d’identité.

Le Prestataire authentifie le Signataire au moyen du numéro de téléphone du Signataire déclaré au Prestataire (par le Signataire lui-même ou par le Client), le cas échéant. La Signature Électronique de niveau 3 est réalisée au moyen de Certificats qualifiés et conformes aux exigences de la norme ETSI EN 319 411-2.




Accord sur le droit à la déconnexion

Modèle d’Accord collectif sur le droit à la déconnexion. Le droit à la déconnexion est défini comme le droit pour chaque salarié de ne pas être connecté à un outil numérique professionnel (ou personnel à des fins professionnelles) pendant ses temps de repos et de congés. Ce droit a pour finalité de s’assurer d’un bon équilibre entre la vie personnelle et professionnelle de chaque collaborateur, grâce à ce respect des temps alloués aux périodes de repos.

Depuis le 1er janvier 2017, en application de la loi travail du 8 août 2016, le droit à la déconnexion devient partie intégrante de la négociation annuelle sur l’égalité professionnelle entre les hommes et les femmes, et la qualité de vie au travail. La négociation aborde les modalités du plein exercice par les salariés de leur droit à la déconnexion, et de ce fait, la mise en place d’outils de régulation de l’utilisation des outils numériques. Par ailleurs, la validité des conventions de forfaits-jours qui régissent la durée du travail des cadres autonomes, est conditionnée à présent (en application de la même loi travail), par la détermination des modalités selon lesquelles les salariés concernés peuvent exercer leur droit à la déconnexion.

A défaut d’accord, l’employeur doit élaborer une charte, après avis des membres de la Commission Sociale et Economique. Charte pour laquelle l’employeur devra tout mettre en œuvre pour en assurer le respect. Cette charte définit les modalités de l’exercice du droit à la déconnexion et prévoit en outre la mise en œuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de sensibilisation à un usage raisonnable des outils numériques.