La CNIL clôture une mise en demeure à l’encontre d’une société de ciblage publicitaire

Par une décision du 25 février 2019, la CNIL a clôturé une mise en demeure prononcée en octobre 2018 à l’encontre d’une société de ciblage publicitaire à laquelle elle reprochait la collecte de données de géolocalisation, sans le consentement des personnes concernées, à des fins de ciblage publicitaire. Selon la CNIL, la société a développé une "nouvelle présentation de la fenêtre contextuelle permettant le recueil du consentement des applications [des] partenaires, intégrant désormais une présentation de chaque finalité en premier niveau d’information, accompagnée d’un bouton activable par l’utilisateur pour exprimer son consentement". Elle a ainsi relevé que "les modèles de fenêtre contextuelle permett[aient] de recueillir un consentement informé, spécifique et univoque des personnes à des fins de publicité géolocalisée" conformément au RGPD.

Pour lire la décision de la CNIL

La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

Un Tribunal administratif ordonne à une université de communiquer les procédés algorithmiques et codes sources utilisés pour la sélection d’étudiants sur Parcoursup

Une association étudiante avait demandé au Président de l’Université des Antilles de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision employé dans le cadre du traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un jugement du 4 février 2019, le Tribunal administratif de Guadeloupe a enjoint au Président de cette Université de communiquer à la requérante, sur le fondement du Code des relations entre le public et l’administration, "une copie [de ces documents] sur un support identique à celui utilisé par l’administration ou compatible avec celui-ci". Le Tribunal a précisé que "la communication [à la requérante] des traitements algorithmiques sollicités ne port[ait] pas atteinte au secret des délibérations (…) puisque cette communication ne port[ait] que sur la nature des critères pris en compte pour l’examen des candidatures, leur pondération et leur hiérarchisation, et non sur l’appréciation portée par la commission sur les mérites de chacune de ces candidatures".

Pour lire le jugement sur Legalis.net

Condamnation d’un client pour violation de la clause d’exclusivité le liant à son précédent prestataire

Une société gérant un réseau d’agence de voyages avait fait appel à un prestataire spécialisé dans les matériels et logiciels destinés à l’affichage de contenus multimédias. Le contrat liant ces deux sociétés prévoyait une clause d’exclusivité au bénéfice du prestataire pour toute la durée du contrat. Or, avant l’expiration du contrat, la société avait sélectionné un nouveau prestataire, concurrent du premier, via un appel d’offres. Par un arrêt du 8 février 2019, la Cour d’Appel de Paris a jugé que la cliente "ne s’[était] pas contentée de contracter par anticipation" puisqu’elle avait commencé à exécuter les contrats conclus avec le nouveau prestataire avant le terme du contrat qui la liait avec le précédent et avait ainsi violé son obligation d’exclusivité. La Cour a évalué le préjudice économique subi par le prestataire en considération de "la marge brute sur le chiffre d'affaire détourné" par la cliente.

Arrêt non publié

Le TGI de Paris juge abusives 38 clauses des conditions d’utilisation et règles de confidentialité de Google

Par un jugement du 12 février 2019, le TGI de Paris a considéré abusives 38 clauses des conditions d’utilisation et règles de confidentialité relatives au réseau social Google+. Le Tribunal a notamment jugé que l’information relative à la collecte de données "ne permet[tait] pas en définitive à l’utilisateur de prendre initialement conscience des finalités réelles et par conséquent de l’ampleur de la collecte des données le concernant et de la portée de son propre engagement". Il a également déclaré abusive une clause relative aux conditions d’utilisation "qui prévo[yait] que l’utilisation, soit l’inscription suivie de la navigation sur le site, [valait] acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’[avait] pas pu avoir accès à celles-ci".

Pour lire le jugement sur Legalis.net

Les dispositions relatives à la communication des données de connexion aux agents de douanes sont contraires à la Constitution

Par une décision du 15 février 2019, le Conseil constitutionnel a déclaré contraire à la Constitution le i du 1° de l’article 65 du code des douanes. Ses dispositions prévoyaient la possibilité pour certains agents des douanes d’exiger la communication des données de connexion détenues par des opérateurs de communications électroniques, les fournisseurs d’accès ou les hébergeurs de contenu. Pour le Conseil, "le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions".

Pour lire la décision du Conseil constitutionnel

La Cour d’appel enjoint au service des greffes de communiquer une décision de justice

Une société éditrice d’un moteur de recherches et d’une plateforme d’information juridique avait demandé au greffe de la Cour d’appel de Douai la communication d’un arrêt. Par un arrêt du 21 janvier 2019, la Cour d’appel de Douai a enjoint au Directeur des services de greffe judiciaire  de communiquer la décision au requérant, sous forme papier ou numérique. Elle a  précisé que "la décision sollicitée a[vait] été rendue publiquement, - que le caractère public du jugement conf[érait] aux tiers le droit de s’en faire délivrer une copie par le greffe de la juridiction, - que le refus [pouvait] être justifié par un souci de bonne administration de la justice et de la protection des données à caractère personnel, s’agissant du traitement de masse". Elle a ensuite constaté l’absence "de raison juridique permettant de s’opposer à la communication de la décision sollicitée".

Arrêt non publié

La Cour de cassation confirme le retrait d’articles en ligne contenant des informations confidentielles de deux sociétés

Une société avait publié sur le site d’informations financières en ligne qu’elle édite plusieurs articles contenant des informations confidentielles sur les difficultés que rencontraient deux sociétés d’un groupe industriel. Par un arrêt du 13 février 2019, la Cour de cassation a jugé que ces articles "n’étaient pas de nature à nourrir un débat d’intérêt général sur les difficultés d’un grand groupe industriel et ses répercussions sur l’emploi et l’économie nationale, mais tendaient principalement à satisfaire les intérêts de ses abonnés, public spécialisé dans l’endettement des entreprises, et que leur publication risquait de causer un préjudice considérable aux sociétés". Elle a ainsi approuvé les juges de la Cour d’appel "qui en dépit de l’usage inapproprié de l’expression “conforme à l’intérêt général” au lieu de “conforme à l’objectif légitime d’informer le public sur une question d’intérêt général”" ont fait une juste application de l’article 10 de la CEDH relatif à la liberté d’expression.

Pour lire l’arrêt de la Cour de cassation

Licenciement pour faute grave d’un salarié ayant extrait le fichier client situé sur l’espace collaboratif sécurisé de son entreprise vers sa messagerie personnelle

Un salarié du secteur des assurances avait été licencié par son employeur pour faute lourde pour avoir extrait depuis l’espace collaboratif sécurisé de l’entreprise un fichier contenant les données personnelles d’environ 112.000 adhérents avant de le télécharger via un lien Google Drive pour y accéder depuis sa messagerie personnelle. Par un arrêt du 4 février 2019, la Cour d’appel de Limoges a infirmé le jugement ayant déclaré le licenciement sans cause réelle et sérieuse. Elle a jugé le licenciement fondé sur une faute grave aux motifs que "les seuls manquements commis par le salarié aux règles de sécurité (…) justifi[ai]ent la mesure de licenciement prononcée (…), même si en l'absence de justification de toute intention de nuire à l'employeur, il y a[vait] lieu à requalification du licenciement prononcé pour faute lourde en licenciement pour faute grave, la nature de la transgression interdisant le maintien de la relation contractuelle".

 Arrêt non publié