Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Un gendarme sanctionné pour consultation de fichiers à des fins personnelles sans justification

Un gendarme s’était vu infliger quinze jours d’arrêts pour avoir consulté des fichiers de la gendarmerie et des fiches individuelles de renseignement à des fins personnelles. Par une décision du 24 avril 2019, le Conseil d’Etat a confirmé la sanction prononcée à l’encontre du requérant considérant qu’”il ressort[ait] des pièces du dossier que la consultation par [le requérant], à des fins personnelles, des fichiers (…) pour rechercher des informations concernant l’employeur de sa fille ainsi que plusieurs autres personnes constitu[ait] un détournement de la finalité d’un traitement de données à caractère personnel” et qu’“un tel manquement [était] constitutif d’une faute de nature à justifier une sanction disciplinaire, indépendamment des suites réservées aux procédures judiciaires éventuellement engagées”.

Pour lire la décision sur Légalis.net

Un décret autorise la mise en relation des données des patients en soins psychiatriques avec celles des personnes surveillées pour radicalisation

Le 7 mai 2019, a été publié un décret qui modifie le décret du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement. Il autorise la mise en relation entre les données traitées dans le cadre du suivi des personnes surveillées en matière de lutte contre le terrorisme, d’une part et les données traitées pour le suivi des personnes hospitalisées en soins psychiatriques sans consentement, d’autre part.

Pour lire le décret sur Légifrance

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net

Publication du décret sur la mise en œuvre de traitements comportant l’usage du NIR

Le décret du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou nécessitant la consultation de ce répertoire a été publié. Ce décret, pris en application de l'article 22 de la loi n° 78-17 du 6 janvier 1978, précise les conditions spécifiques des traitements portant sur le NIR “en déterminant les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre”.

Pour lire le décret sur Légifrance

La Cour d’appel de Paris condamne un auteur pour contrefaçon du titre d’un ouvrage

A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.

Pour lire l’arrêt sur Légalis.net

La Cour de cassation rappelle les modalités d’accès par un employeur à la messagerie professionnelle d’un salarié

Un employeur avait consulté la messagerie professionnelle d’un salarié pendant son arrêt maladie. Par la suite, cinq salariés avaient été licenciés pour faute grave sur le fondement notamment des courriels extraits de cette messagerie. Après avoir écarté des débats les courriels, la Cour d’appel avait déclaré les licenciements sans cause réelle et sérieuse. Par un arrêt du 3 avril 2019, la Cour de cassation a cassé l’arrêt d’appel au motif que les juges du fond auraient dû “rechercher si les courriels litigieux, qui provenaient de la messagerie électronique mise à la disposition des salariés par l'entreprise, avaient un caractère professionnel et si leur contenu relevait ou non de la vie privée des salariés”.

Pour lire l’arrêt sur Légifrance

Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL