De plus en plus de communes installent des caméras pour filmer l’espace public à des fins de valorisation du territoire ou de promotion d’activités particulières, diffusant les images en direct ou en différé sur leur site web.

Contrairement à la vidéoprotection, ces caméras ne s’inscrivent pas dans un cadre légal de surveillance autorisée pour la sécurité ou la prévention des infractions et ne sont donc pas contrôlées par l’autorité préfectorale.

La CNIL a constaté que ces dispositifs permettent parfois d’identifier des personnes, leurs activités quotidiennes ainsi que des plaques d’immatriculation, ce qui constitue par définition un traitement de données personnelles.

Or, ces traitements de données doivent respecter les dispositions prévues par le RGPD.

Selon la CNIL, la collecte et la diffusion de ces données apparaissent disproportionnées par rapport à l’objectif de promotion touristique. De plus, la base légale de l’intérêt légitime invoquée par certaines communes, ne peut être utilisée pour justifier ce type de traitement. Une étude est donc à mener, portant sur le type de technologie utilisée, la disposition des caméras et les garanties apportées en matière de protection des données afin de ne pas porter atteintes aux droits et libertés des citoyens.

Vous pouvez consulter l’intégralité de l’article de la CNIL consacré au sujet en cliquant ici

Les technologies récentes dans le domaine de la santé qui s’appuient sur l’intelligence artificielle pour améliorer notamment la prise en charge des patients et la recherche médicale, nécessitent une concertation de tous les acteurs du domaine pour qu’un cadre normatif précis puisse être défini et que la protection des données soit intégrée à toutes les étapes de mise en œuvre de ces nouveaux outils, depuis leur conception à leur utilisation quotidienne dans les services.

Consciente de ces nouveaux enjeux et des impacts de l’IA Act, la nouvelle législation européenne visant à encadrer l’utilisation de l’IA selon un système de risques permettant de garantir la sécurité, les droits fondamentaux et la transparence des traitements, la CNIL propose des actions pour sensibiliser tous les acteurs dans ce domaine, telles que la dernière rencontre Informatique & Libertés s’étant déroulée dans ses locaux le 30 septembre dernier, ou encore différents articles publiés sur son site et les fiches pratiques IA consultables sur cette page (cliquer ici).

Acteurs clés pour la conformité des traitements de données, les DPO doivent tenir compte des logiques sous-jacentes de l’IA dans tous ces nouveaux outils pour évaluer leurs impacts et s’assurer du respect des dispositions règlementaires.

C’est donc un nouveau challenge très passionnant pour la communauté des DPO, qui contribuera à améliorer l’éthique numérique de demain !

Touchant bientôt à sa fin, la CNIL avait lancé une consultation publique organisée du 16 mars au 16 juin 2025 relative à un projet de recommandation concernant le dossier patient informatisé (DPI).

Ce projet s’articule autour de différents thèmes, tels que les données contenues dans le DPI, la sécurisation des échanges de données et l’information des personnes concernées.

A ce stade, la version consultable du projet évoque certains manques observés sur des sujets divers, notamment :

– L’Information des patients : Les mentions fournies sont souvent incomplètes et ne respectent pas les exigences de l’article 13 du RGPD.

– La sécurité des accès : Des lacunes sont observées dans l’authentification des utilisateurs du DPI, notamment l’absence d’authentification multifacteur pourtant exigée par la PGSSI-S.

– La gestion des habilitations : Des manquements existent quant à la gestion des droits d’accès. A ce sujet, la CNIL rappelle l’importance de définir une politique claire, en lien avec le secret professionnel et l’organisation en équipe de soins.

– Les relations avec les sous-traitants : La CNIL insiste sur la nécessité d’intégrer dans les contrats certaines clauses nécessaires, notamment relatives à la réversibilité ou encore l’accord préalable de l’établissement concerné pour tout sous-traitant ultérieur.

S’agissant des droits des personnes prévus par le RGPD, la CNIL indique que le sujet sera abordé ultérieurement afin de prendre en considération les évolutions du règlement relatif à l’espace européen des données de santé (Règlement EHDS).

Pour accompagner les adolescents dans le monde du numérique, la CNIL vient de publier de nouvelles ressources pédagogiques à destination des 11-15 ans ainsi que leurs parents, enseignants et éducateurs.

Ces contenus ludiques permettront aux adolescents de mieux comprendre leur quotidien numérique et d’apprendre à mieux protéger leurs données personnelles et leur vie privée en ligne.

Plusieurs supports sont ainsi disponibles, notamment :
– une carte intitulée « un océan de données » afin de présenter l’expérience numérique ;
– une fiche de mission pour permettre une lecture active de cette carte ;
– une fascicule comportant 5 fiches d’information : fiche « les identités en ligne », fiche « le bouclier de protection », fiche « mes données / mes droits », fiche « mener l’enquête », et fiche « le clic c’est pas automatique » ;
Enfin, un podcast est aussi présent pour permettre de mieux comprendre ce que sont les traitements de données.

Un livret destiné aux adultes est également disponible, il permet de mieux accompagner les adolescents dans leur vie numérique en abordant différents sujets tels que l’utilisation des smartphones, la recours à la géolocalisation, le cyberharcèlement, les services en ligne et la cybersécurité. La CNIL communique diverses recommandations et conseils pour faire en sorte que le quotidien numérique de nos adolescents soit sans danger.

Pour plus d’information, rendez-vous sur cette page : cliquer ici

En partenariat avec la région Occitanie, Montpellier Méditerranée Métropole, l’Université de Montpellier et l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), la CNIL a participé à une nouvelle journée RGPD s’adressant aux professionnels : DPO / RSSI / juristes en fonction dans des organismes publics ou privés, avocats, éditeurs d’application.

Après une présentation des actualités en matière de protection des données, divers sujets ont été abordés tels que les recommandations en ce qui concerne les mesures de la diversité au travail, les particularités à considérer pour les applications mobiles, le partage des bonnes pratiques pour l’activité de délégué à la protection des données, la bonne gestion des plaintes RGPD et les risques cyber.

Cette journée a été marquée par des échanges de qualité, le partage d’informations et quelques retours d’expérience ayant démontré qu’une véritable éthique numérique était pleinement en œuvre dans notre région après 6 ans d’existence du RGPD.

Merci aux organisateurs de cet événement, rendez-vous à la prochaine édition !

Michel Combot, jusqu’à présent délégué général du Numeum, l’observatoire du numérique notamment chargé de produire des études et notes de conjoncture pour cerner le marché du numérique et ses évolutions, rejoindra la CNIL le 1er octobre en tant que directeur des technologies et de l’innovation.

Cette direction de la CNIL a pour mission de placer l’expertise technologique et informatique à la disposition de l’ensemble des services et de faire partager les enjeux d’innovation et de prospective par l’ensemble de l’institution.

Elle comporte notamment un service de l’expertise technologique (SET), un service laboratoire d’innovation numérique (LINC), un service de l’intelligence artificielle (SIA) et un service du numérique (SNUM).

Michel Combot succède ainsi à Bertrand Pailhès, ayant occupé cette fonction depuis novembre 2019.

La CNIL vient de publier une liste de recommandations à l’attention des concepteurs et développeurs de systèmes d’intelligence artificielle impliquant un traitement de données personnelles. Au-delà du respect des dispositions prévues par le RGPD, la CNIL rappelle que de tels systèmes doivent également respecter le nouveau règlement européen sur l’IA.

7 étapes sont donc à suivre pour développer les systèmes d’IA :

1. Définir la finalité afin de cadrer et limiter l’usage des données personnelles ;
2. Déterminer les responsabilités de chacun, responsable de traitement ou sous-traitant :
3. Identifier la base légale de façon à respecter les droits et obligations spécifiques ;
4. S’assurer d’être autorisé à utiliser certaines données personnelles ;
5. N’utiliser que les données adéquates, pertinentes et limitées à ce qui est nécessaire ;
6. Définir une durée de conservation en fonction de l’objectif ayant conduit au traitement de ces données ;
7. Réaliser un analyse d’impact sur la protection des données (AIPD) pour tout traitement qui le nécessite.

Ces recommandations donnent donc des indications précieuses aux concepteurs et développeurs de tels systèmes, il est à noter que la CNIL continue ses travaux pour les aider dans leurs démarches de conformité et publiera prochainement des fiches sur des thèmes particuliers qui seront soumises à consultation publique.

Pour consulter ces recommandations, rendez-vous sur le site de la CNIL en cliquant sur ce lien.

Hier soir, avec mes camarades de l’association des dirigeants et décideurs du Tarn (ADDT), nous avons rejoint nos amis de l’association Face Aveyron-Tarn à Rodez pour célébrer l’anniversaire de l’association SisMic, qui fédère les acteurs du numérique sur les territoires Aveyron, Lot, Cantal, Lozère et Tarn depuis 14 ans.

Avant le dîner, nous avons assisté à de riches conférences notamment la présentation du patrimoine ruthénois par M. Jean-Philippe Savignoni (Rodez agglomération), les principes de numérisation 3D par M. Fabien Neyens (groupe Novatlas), la data science et la réalité virtuelle par Mme Caroline Togna (EDF Hydro Lot-Truyère), des travaux d’étude sur les perspectives et la contre-culture de la Tech dans la baie de San Francisco par Mme Julie Mommeja (Université de Lorraine) et la présentation d’exemples d’application de jumeau numérique par M. Vincent Picou (Dassault Systèmes).

L’occasion pour M. Boris Chang, président de SisMic, de rappeler que toute cette synergie oeuvre également en faveur du développement économique de nos territoires.

Légidata est fière de contribuer, à son niveau, à l’éthique numérique évoquée au cours de cette soirée, dont la protection des données est l’un des piliers !

Marie-Laure DENIS, présidente de la CNIL et candidate à sa réélection, a été auditionnée par la Commission des lois du Sénat ce mercredi 17 janvier 2024. Après avoir répondu à plusieurs questions de M. François-Noël BUFFET, Président de la Commission, Marie-Laure DENIS a présenté les 3 grands chantiers de la CNIL à moyen terme.

1er chantier : Concilier le développement de l’IA avec la protection des données. Il s’agit pour la CNIL d’accompagner cette évolution technologique afin de la rendre compatible avec le respect des droits et libertés des citoyens.

2ème chantier : Rechercher l’équilibre entre liberté et sécurité. Marie-Laure DENIS a rappelé que la CNIL doit éclairer les pouvoirs publics dans les choix des technologies utilisées, notamment en matière de sécurité des citoyens. A ce sujet, elle s’est félicitée de l’expérimentation concernant l’accompagnement par la CNIL des entreprises chargées de l’exploitation des caméras augmentées pour les JO de Paris 2024.

3ème chantier : Protéger les enfants et les adolescents dans leurs interactions avec le numérique, chantier le plus urgent et le plus complexe compte tenu des effets indésirables du numérique sur ce jeune public. Marie-Laure DENIS propose un accompagnement volontariste des mineurs et de leurs parents, une protection efficace de leurs données et l’implication des organismes du numérique pour prendre en compte les spécificités relatives aux mineurs.

A l’issue de son audition, la Commission a rendu un avis favorable à la réélection de Marie-Laure DENIS à la présidence de la CNIL.

Vous pouvez consulter l’audition complète de Marie-Laure DENIS sur le site du Sénat en cliquant sur ce lien :
https://videos.senat.fr/video.4299061_65a789d48c382.presidence-de-la-cnil–audition-de-la-candidate-ml-denis

Encore une belle réussite cette année ! Avec des intervenants de qualité, des conférences et des ateliers proposés autour de différents thèmes d’actualité tels que l’état de la menace cyber, les risques pour les entreprises, le rôle des CSIRT, les enjeux de sécurité dans l’industrie aéronautique ou encore les orientations des collectivités pour garantir la confiance numérique.

L’occasion de rappeler aussi que la protection des données participe pleinement à la sécurité des systèmes d’information, et qu’il existe un lien indissociable entre cybersécurité et RGPD.

Des exposants, toujours plus nombreux, étaient également venus présenter leurs toutes dernières innovations en matière de sécurité informatique, d’hébergement des données et d’outils collaboratifs.

Merci à l’accueil très chaleureux des experts cybersécurité de la société SonicWall, tout particulièrement son représentant tarnais, Monsieur Philippe Agnoux.

RDV à la prochaine édition en 2024 !

Mardi 20 juin, de 10h à 12h, la CCI du Tarn a organisé dans ses locaux albigeois un atelier RGPD intitulé «Mettre en place une démarche commerciale conforme au RGPD : La CNIL vous dit tout !».

Madame Sophie Nerbonne, directrice chargée de co-régulation économique à la CNIL, avait fait le déplacement pour s’adresser à un public assez hétérogène, composé notamment de dirigeants d’entreprise, de chargés de communication, de responsables informatiques et de consultants.

Après avoir dressé un bilan des 5 ans d’existence du RGPD, Madame Nerbonne a présenté les règles applicables en matière de prospection et plus largement en matière de relation commerciale, tout en rappelant certains principes fondamentaux du RGPD.

L’interactivité avec le public et la richesse des débats qui ont suivi démontrent l’intérêt croissant de nos entreprises tarnaises en matière de protection des données, ainsi que certaines préoccupations découlant notamment de l’invalidation du privacy shield, ayant des conséquences concrètes comme, par exemple, l’abandon de certains outils de mesure d’audience de site devenus non conformes.

Organisé par Mme Valérie Vinay, conseillère au pôle développement durable et ressources humaines de la CCI du Tarn, un atelier RH consacré au RGPD s’est tenu ce jeudi 20 avril matin à la CCI du Tarn, dans ses locaux albigeois.

Articulé en 3 parties, cet atelier abordait les points clés du RGPD dans les ressources humaines. La première partie se consacrait à un rappel des principes fondamentaux du RGPD (généralités sur la protection des données, adaptation à chaque structure, notion d’accountability), la seconde partie évoquait les particularités des ressources humaines (précision des finalités, durées de conservation adéquates, particularités du recrutement) et la dernière partie évoquait quelques points de vigilance (exercice des droits, gestion des données sensibles, gestion des violation des données).

23 participants, au profil diversifié, ont participé à cet atelier (entrepreneurs locaux, responsables RH, experts comptables, assistants de direction, référents RGPD et consultants).

Animé par Carole Roger (DPO, Crconseil) et David L’helgoualch (DPO, Légidata), les échanges ont permis de mettre en commun certains retours d’expérience sur la mise en place du RGPD au sein des organisations et de faire un point sur les évolutions à venir.

Etait également présent M. Philippe Agnoux (expert cybersécurité, Netwalker), ayant permis d’apporter certaines précisions techniques en ce qui concerne la sécurité des données.