La CNIL émet un avis sur la proposition de Loi « Sécurité Globale »

Le 26 janvier 2021, la CNIL a indiqué qu’en l’état, le cadre juridique envisagé est insuffisamment protecteur de la vie privée et des données personnelles. Prenant en considération les enjeux soulevés par les nouveaux dispositifs vidéo, elle a notamment recommandé que le législateur conditionne l’utilisation des caméras aéroportées à une expérimentation préalable et que, lorsque le recours à ces dispositifs est nécessaire, les atteintes portées à la vie privée soient strictement proportionnées aux finalités poursuivies.

Pour lire la délibération de la CNIL

Le Conseil d’État valide le traitement de données sensibles des fichiers de renseignements

Le 4 janvier 2021, le Conseil d’Etat a rejeté des recours en annulation contre des décrets autorisant le traitement de données sensibles dans le cadre des fichiers de renseignements, aux motifs que seules les données issues d'"activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’État" sont traitées et que la sélection dans le traitement d’une catégorie particulière de personnes est prohibée. Dès lors, cette collecte n'entraînait pas une "atteinte grave et manifestement illégale au droit au respect de la vie privée ou à la liberté d’opinion".

Pour lire les ordonnances du Conseil d’État

La CNIL condamne une société à la suite d’une campagne de prospection sans consentement préalable

Le 8 décembre 2020, la CNIL a prononcé une amende de 20 000 € à l’encontre d’une société pour avoir adressé des courriels de prospection sur la base d’adresses professionnelles reconstituées à partir d’un réseau social professionnel. À l’occasion de son contrôle, la CNIL a également relevé des manquements aux obligations d’information des personnes, de respect de leur droit d’accès et de sécurité des données, le fait de ne pas imposer un mot de passe fort à la création d’un compte utilisateur étant suffisant à caractériser le manquement à cette obligation.

Pour lire la délibération de la CNIL

Le gouvernement publie un décret autorisant le système d’information « Vaccin Covid »

Le décret n°2020-1690 du 25 décembre 2020 autorise un traitement de données personnelles relatif aux vaccinations contre la Covid-19. Ce traitement a pour finalité d’assurer l’organisation et le suivi de la campagne vaccinale, motif d’intérêt public justifiant le traitement de données de santé au sens de l’article 9 du RGPD. Le décret assure notamment le droit à l’information des personnes concernées et l’exercice, sous conditions, de leur droit d’opposition. Le droit à l’effacement des données est néanmoins inapplicable à ce traitement.

Pour lire le décret sur Légifrance

Le RGPD reste applicable au Royaume-Uni jusqu’au 1er juillet 2021

Le 1er janvier 2021, l’accord de commerce et de coopération conclu entre l’Union européenne et le Royaume-Uni est entré en application. Ce dernier prévoit que le RGPD restera applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. Ainsi, à moins qu’une décision d’adéquation ne soit accordée par la Commission européenne d’ici cette date butoir, les transferts de données personnelles vers le Royaume-Uni devront alors être encadrés par les autres outils prévus par le RGPD.

Pour lire l’accord

La CNIL sanctionne deux médecins libéraux

Le 7 décembre 2020, la formation restreinte de la CNIL a infligé des amendes respectives de 3 000 et 6 000 euros à deux médecins, à la suite de la découverte de milliers d’images médicales de leurs patients accessibles en ligne. La CNIL leur a notamment reproché de ne pas lui avoir notifié cette violation de données dès qu’ils en ont eu connaissance avant de souligner que la sensibilité des données concernées appelait "une vigilance toute particulière".

Pour lire la première et la seconde délibérations de la CNIL

Le Conseil d’Etat suspend l’utilisation de drones à des fins de police administrative

Le 22 décembre 2020, le Conseil d’Etat a enjoint à la préfecture de police de Paris de cesser de surveiller les manifestations par drones. Il a jugé que le fait que seules des images floutées parviennent au centre de commandement ne changeait pas le caractère personnel des données traitées et que, faute d’un texte autorisant ce traitement, il existait un doute sérieux sur la légalité du dispositif. Il a jugé urgent de suspendre cette pratique eu égard au nombre de personnes concernées et à l’atteinte susceptible d’être portée à la liberté de manifestation.

Pour lire la décision du Conseil d’Etat

La CNIL sanctionne une filiale européenne du groupe Amazon, Google LLC, et sa filiale irlandaise

Par deux délibérations du 7 décembre 2020, la formation restreinte de la CNIL a condamné une filiale d’Amazon et deux sociétés du groupe Google à des amendes respectives de 35 millions, 60 millions et 40 millions d’euros pour non-respect des règles relatives aux cookies. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies et, dans le cas des sociétés Google, d’avoir fourni un mécanisme d’opposition "partiellement défaillant".

Pour lire la première et la seconde délibérations

L’adresse IP d’un salarié peut constituer une preuve illicite

Dans un arrêt du 25 novembre 2020 rendu sous l’empire de la Loi Informatique et Libertés dans sa version antérieure au RGPD, la Cour de cassation a jugé que l’adresse IP d’un salarié doit être considérée comme une donnée personnelle dont le traitement doit être déclaré à la CNIL. En l’absence de déclaration, la production de l’adresse IP d’un salarié pour justifier son licenciement constitue un moyen de preuve illicite, qui peut cependant être recevable si sa production est indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.

Pour lire l'arrêt de la Cour de cassation

La CNIL sanctionne un groupe de grande distribution et sa filiale

Par deux délibérations du 18 novembre 2020, la formation restreinte de la CNIL a condamné un groupe de grande distribution et sa filiale à des amendes respectives de 2 250 000 euros et 800 000 euros pour non-respect de la réglementation relative à la protection des données. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de limitation de la durée de conservation et de traitement loyal des données, et de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies.

Pour lire la première et la seconde délibérations de la CNIL