« La voix n’est pas une biométrie classique » : pourquoi ?

Jean-François Bonastre, spécialiste de l’authentification vocale au Laboratoire d’informatique d’Avignon, s’est entretenu avec la CNIL au sujet de la biométrie vocale. Selon lui, « la voix n’est pas une biométrie classique ». Pourquoi? La voix n’est pas une biométrie physique mais comportementale Pour rappel, la biométrie est une système permettant « l’identification des personnes en fonction de caractéristiques biologiques« . Sa forme la plus utilisée est celle de l’authentification par emprunte digitale que l’on retrouve au quotidien, notamment avec les smartphones. Il s’agit de biométrie physique qui a un caractère permanent. Or, selon Jean François Bonastre, il n’est pas possible d’avoir deux prélèvements de […]

Confiance des internautes dans l’utilisation de leurs données : entre résignation, défiance et progrès

Le 23 juin dernier, la Chaire des Valeurs et Politiques des Informations Personnelles de l’Institut Mines-Télécom organisait une conférence sur la relation entre données personnelles et confiance, en association avec Médiamétrie. Au cœur du sujet se pose la question suivante : « quelles stratégies pour les citoyens-consommateurs en 2017 ? » Si « la confiance est primordiale pour le vivre ensemble dans la société et le développement de l’économie numérique, qui se nourrit des données des internautes », celle-ci est en chute libre au fil du temps. Le constat est flagrant : internet est indispensable, mais cette indispensabilité ne l’empêche pas de faire l’objet de vigilance de […]

Partage des responsabilités quant au traitement des données : quels impacts du GDPR ?

partage de responsabilités entre responsables de traitement et sous-traitants

« Le règlement européen sur la protection  des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants ». C’est ce qu’annonce la CNIL. Mais qu’en est-il dans les faits? Comment ce partage des responsabilités est-il effectué ?  La notion de « responsabilité conjointe » de traitement : une (réelle) innovation ? L’article 2 de la directive de 1995 parlait déjà d’une possible co-responsabilité pour le traitement de données personnelles, en définissant le responsable de traitement comme pouvant être « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul […]

Etudes statistiques sur la participation électorale : évolution des conditions relatives au traitement des données personnelles

traitement de données pour étude statistique concernant la participation aux élections

Depuis un arrêté du 14 septembre 2006, l’Institut national de la Statistique et des Etudes Economiques (INSEE) peut effectuer un « traitement automatisé de données à caractère personnel relatif à l’étude statistique sur la participation électorale aux scrutins nationaux, supranationaux et infranationaux, à partir des listes d’émargement de ces différents scrutins ». Un arrêté du 1er juin 2017 fait évoluer les conditions de ce traitement pour ces études statistiques. Le traitement portera sur un plus grand nombre d’informations L’arrêté de 2006 autorisait l’INSEE à traiter les informations relatives à « l’état civil (nom et prénoms, sexe, date et région de naissance), la situation familiale, […]

Intérêt légitime de l’entreprise : quel avenir pour le consentement ?

Le 25 mai 2018, lorsque le Règlement Européen sur la Protection des Données entrera en vigueur, les entreprises pourront effectuer un traitement portant sur des données personnelles dans trois cas : lorsqu’elles recueillent le consentement explicite de la personne concernée, lorsque le traitement est nécessaire à l’exécution du contrat ou lorsque celui-ci présente un intérêt légitime pour l’entreprise. Mais qu’est-ce qu’un intérêt légitime ? Lorsqu’on creuse la question, on se rend rapidement compte que celui-ci est très large … un bon moyen pour se passer du consentement ?   Intérêt légitime : les formes classiques Le responsable de traitement peut se […]

Une étude révèle que de nombreuses entreprises rencontrent des difficultés pour se conformer au GDPR

Pour les 3/4 des entreprises interrogées, la conformité au GDPR sera difficile.

Une étude, menée par Varonis Systems, Inc. (éditeur de solutions logicielles de protection des données contre les menaces internes et les cyberattaques), révèle que 75% des entreprises vont rencontrer des difficultés pour se mettre en conformité avec le GDPR avant le 25 mai 2018. Menée sur plus de 500 décideurs informatiques en France, en Allemagne, au Royaume-Uni mais aussi en Amérique du Nord, cette étude permet de cerner la difficile réforme des entreprises en matière de traitement des données personnelles. Ce constat met en lumière que l’harmonisation européenne de la réglementation dans ce domaine est la bien venue, même pour un pays […]

Cybersécurité : plus de pouvoirs pour l’agence européenne ?

Cybersécurité : plus de pouvoirs pour l'agence européenne?

Andrus Ansip, vice-président de la Commission européenne, a annoncé qu’un nouveau mandat pour l’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information serait présenté en septembre, complété par une nouvelle stratégie pour la cybersécurité.  Des pouvoirs aujourd’hui limités L’agence dispose aujourd’hui d’un mandat juridique allant jusqu’en juin 2020. La directive sur la sécurité des réseaux (directive NIS de 2016) lui octroie un pouvoir de coordination des autorités nationales lorsqu’une crise de cybersécurité à l’échelle européenne intervient, comme par exemple récemment avec le virus WannaCry. Problème : il n’y a « toujours pas de procédure de réaction graduelle, de […]

(Im)précisions sur le droit à la portabilité

Le G29 a publié en avril la version finale de ses lignes directrices concernant la portabilité des données. Entre une interprétation très large (peut-être trop?) et des imprécisions, ces lignes directrices ont une portée ambivalente. Pourtant, le droit à la portabilité de ses données a des avantages importants.     Une interprétation large des conditions de portabilité … La portabilité des données est interprétée très largement par le G29. Par exemple, si les données anonymes ne sont pas concernées, celles qui sont pseudonymisées peuvent faire l’objet d’une portabilité demandée par la personne concernée. De même, ce droit n’a normalement pas […]

Trust&Privacy Day – Synopsis

La seconde édition de « Trust & Privacy » s’est tenue le 18 Mai au Palais Brongniart, à l’initiative de U, Mazars et K&L Gates. Nous avons réuni les experts suivants, pour répondre aux questions de nos invités : – Sophie Nerbonne, Directrice de la conformité – CNIL – Etienne Drouard, Avocat Associé, spécialiste du GDPR – K&L Gates   – Nicolas Vieux, Associé, spécialiste du GDPR – Mazars – Guillaume Buffet, spécialiste de la transformation digitale – Président de U   Nicolas Vieux a d’abord présenté les enseignements de l’étude Elabe, réalisée par Mazars: 83% des Français estiment que la protection des données […]

La CNIL lance une consultation sur trois thèmes d’interprétation du Règlement Général sur la Protection des Données

Le 23 février 2017, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a lancé une consultation publique sur trois thèmes : la notification de violation de données à caractère personnel, le profilage et le consentement. Toutes les entités intéressées sont invitées à y participer jusqu’au 23 mars 2017. La consultation est accessible à l’adresse suivante : https://www.cnil.fr/fr/consultation-reglement-europeen. Cette nouvelle série de consultations s’inscrit dans le prolongement de celles lancées par la CNIL de juin à juillet 2016 sur le délégué à la protection des données, la portabilité des données, les études d’impact sur la vie privée et […]