L’Information Commissioner’s Office (ICO) annonce son intention de sanctionner deux multinationales

Par deux déclarations publiées les 8 et 9 juillet 2019, l’autorité de contrôle pour la protection des données britannique a annoncé son intention de condamner une compagnie aérienne et une chaîne hôtelière pour manquements aux obligations de sécurité issues du RGPD. Ces amendes font suite à des incidents de sécurité ayant conduit à la fuite de centaines de millions de données personnelles concernant les clients des sociétés concernées. Le montant des amendes s’élève à plus de 183 millions et 99 millions de livres.

 Pour lire les déclarations sur le site de l’ICO (en anglais)

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Création d’un traitement automatisé de données personnelles relatif à la gestion des ressources humaines des agents de l’Etat

Par un décret du 19 juin 2019, a été créé un traitement de données ayant pour finalité “d'assurer la gestion administrative, financière et opérationnelle des ressources humaines de chaque administration de l'Etat, établissement public de l'Etat, autorité administrative indépendante, autorité publique indépendante et groupement d'intérêt public (…) ayant décidé d'y recourir”. Ce décret précise également les données traitées, leurs durées de conservation, les catégories de destinataires de ces données ainsi que les modalités d’exercice de leurs droits par les agents.

Pour lire le décret sur Légifrance.

Sanction de 20 000 euros à l’encontre d’une société ayant placé ses salariés sous surveillance constante

Par une délibération du 13 juin 2019, la Cnil a prononcé une amende administrative de 20 000 euros à l’encontre d’une société pour avoir placé un ses salariés sous surveillance permanente via un dispositif de vidéosurveillance sans qu’aucune circonstance exceptionnelle ne le justifie. La Cnil a ainsi rappelé que “si la surveillance de zones sensibles [pouvait] être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne [pouvait] toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir”.

Pour lire la délibération de la Cnil sur Légifrance

Le Conseil d’Etat annule la communication des algorithmes utilisés pour la sélection des étudiants

Une association étudiante avait demandé au Président d’une Université de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision pour le traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un arrêt du 12 juin 2019, le Conseil d’Etat a annulé le jugement du Tribunal administratif de la Guadeloupe du 4 février 2019 qui avait ordonné la communication de ces documents et a jugé que l’Université avait “pu légalement, (…) et dès lors que seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise, refuser à l’[association étudiante], qui n’avait pas la qualité de candidat (…), la communication des documents qu’elle sollicitait“. 

Pour lire l’arrêt du Conseil d’Etat

Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Un gendarme sanctionné pour consultation de fichiers à des fins personnelles sans justification

Un gendarme s’était vu infliger quinze jours d’arrêts pour avoir consulté des fichiers de la gendarmerie et des fiches individuelles de renseignement à des fins personnelles. Par une décision du 24 avril 2019, le Conseil d’Etat a confirmé la sanction prononcée à l’encontre du requérant considérant qu’”il ressort[ait] des pièces du dossier que la consultation par [le requérant], à des fins personnelles, des fichiers (…) pour rechercher des informations concernant l’employeur de sa fille ainsi que plusieurs autres personnes constitu[ait] un détournement de la finalité d’un traitement de données à caractère personnel” et qu’“un tel manquement [était] constitutif d’une faute de nature à justifier une sanction disciplinaire, indépendamment des suites réservées aux procédures judiciaires éventuellement engagées”.

Pour lire la décision sur Légalis.net

Un décret autorise la mise en relation des données des patients en soins psychiatriques avec celles des personnes surveillées pour radicalisation

Le 7 mai 2019, a été publié un décret qui modifie le décret du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement. Il autorise la mise en relation entre les données traitées dans le cadre du suivi des personnes surveillées en matière de lutte contre le terrorisme, d’une part et les données traitées pour le suivi des personnes hospitalisées en soins psychiatriques sans consentement, d’autre part.

Pour lire le décret sur Légifrance