Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

Parcoursup : le droit d’accès aux documents administratifs est un droit constitutionnel

Le 3 avril 2020, le Conseil Constitutionnel a jugé que le droit d’accès aux documents administratifs était garanti par l’article 15 de la Déclaration des Droits de l’Homme et du Citoyen. Il a cependant jugé que les restrictions d’accès à l’algorithme de Parcoursup se justifiaient par l’objectif d’intérêt général de "protéger le secret des délibérations des équipes pédagogiques", sous réserve que, une fois la procédure d’inscription terminée, les établissements publient les critères d’examen des candidatures et précisent dans quelle mesure des traitements algorithmiques ont été utilisés.

Pour lire la décision du Conseil Constitutionnel

La CNIL publie des bonnes pratiques sur le « Bring Your Own Device » (BYOD)

Le 24 mars 2020, la CNIL a rappelé que l’utilisation d’outils personnels par des employés relevait d’un choix de l’employeur et que ce dernier restait "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique". La CNIL a proposé des mesures visant à sécuriser les appareils et à garantir le respect de la vie privée de leur utilisateur.

Pour lire les recommandations de la CNIL

L’envoi par le Gouvernement de SMS à la population est légal

Le 19 mars 2020, la CNIL a confirmé la légalité des SMS envoyés par le Gouvernement visant à "rappeler les consignes de sécurité à appliquer pour lutter contre la propagation du Covid-19". La CNIL a indiqué que l’article L.33-1 du Code des postes et des communications électroniques impose aux opérateurs de télécommunications de relayer les communications des autorités auprès de leurs abonnés en cas de danger imminent ou de catastrophe majeure. Aucun numéro de téléphone n’a été transmis au Gouvernement : ce sont les opérateurs qui se sont chargés d’envoyer ce message.

Pour lire le communiqué de la CNIL

Le contrôle d’accès au lycée par reconnaissance faciale est illégal

Le 27 février 2020, le Tribunal administratif de Marseille a annulé une délibération du conseil régional de PACA lançant l’expérimentation du contrôle d’accès par reconnaissance faciale. Le Tribunal a jugé que le consentement des lycéens au traitement de leurs données biométriques n’était pas assorti de garanties suffisantes eu égard à l’autorité exercée sur eux par les établissements, et que la région aurait dû démontrer que la fluidification et la sécurisation des contrôles ne pouvaient être atteintes par des moyens moins intrusifs.

Pour lire le jugement sur Legalis.net

La CNIL publie des fiches explicatives relatives à des outils de mise en conformité

Le 7 février 2020, la CNIL a publié des guides dédiés aux codes de conduite et aux règles d’entreprise contraignantes (BCR). Ces guides décrivent la finalité, le contenu et le processus de mise en place de ces outils de conformité. La CNIL a par ailleurs ouvert un téléservice permettant aux organismes de lui soumettre leurs projets de BCR.

Pour lire le communiqué de la CNIL

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL

Le fichier national biométrique des mineurs isolés validé par le Conseil d’État

Par une décision du 5 février 2020, le Conseil d’État a déclaré conforme à la loi le décret n°2019-57 du 30 janvier 2019 relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes. Il encadre cependant la mise en place de ce traitement en excluant une utilisation à des fins pénales.

Pour lire la décision du Conseil d’État

Le RGPD s’applique au Royaume-Uni jusqu’au 31 décembre 2020

Le 31 janvier 2020, la CNIL a indiqué, à l’occasion du Brexit, qu’“en application de l’accord de retrait, les dispositions du Règlement Général sur la Protection des Données continueront d’être applicables au Royaume-Uni jusqu’au 31 décembre 2020”. Jusqu’à cette date, aucune formalité additionnelle n’est donc requise pour les organismes établis en France ou au Royaume-Uni.

 Pour lire le communiqué de la CNIL