Condamnation d’un médecin pour traitement de données de santé sans autorisation de la CNIL

Dans un jugement rendu le 7 juin 2017, le Tribunal correctionnel de Marseille a condamné un médecin hospitalier à une peine de 5 000 euros d’amende “pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL”. En l’espèce, une patiente avait porté plainte à son encontre pour violation du secret professionnel après avoir constaté qu’elle avait accès à plusieurs dossiers médicaux en tapant ses nom et prénom sur un moteur de recherche. Une seconde plainte avait été déposée par l’Assistance Publique des Hôpitaux de Marseille suite à une enquête interne qui identifiait le médecin hospitalier comme étant “la responsable de la mise en place de la base de données”, en outre hébergée sur un site dont “le processus d’identification et d’authentification (…) n’était pas sécurisé”.

Pour lire le jugement sur Legalis.net

Consultation du fichier de traitement d’antécédents judiciaires : annulation d’une décision administrative pour non-respect de la procédure

Le gérant d’une société privée de sécurité ainsi que ladite société avaient demandé au Tribunal administratif de Lille d’annuler pour excès de pouvoir les décisions par lesquelles leur avait été refusé le renouvellement de leurs agrément et autorisation nécessaires à l’exercice de leur activité. Dans un arrêt du 13 juillet 2017, la Cour administrative d’appel de Douai a annulé les jugements du Tribunal administratif de Lille rejetant cette demande. Elle a en effet relevé qu’il ne ressortait pas des pièces du dossier que “la consultation [du fichier relatif au traitement des antécédents judiciaires] réalisée dans le cadre de l’enquête administrative pour l’instruction de la demande [du gérant avait] été faite dans des conditions régulières par un agent habilité”, irrégularité qui avait porté atteinte à la garantie liée à la protection des données et de la vie privée. Considérant que cette consultation irrégulière avait exercé une influence sur le sens du refus de renouvellement de l’agrément sollicité”, la Cour a estimé que le gérant était fondé à demander l’annulation pour excès de pouvoir de ce refus de renouvellement.

Pour lire l’arrêt sur Légifrance

Absence de faute du salarié dans le refus de remettre à son employeur sa clé USB personnelle

Dans un arrêt du 5 juillet 2017, la Cour de cassation a confirmé l’arrêt rendu par la Cour d’appel de Nouméa qui avait écarté “l’existence de toute faute commise par [un] salarié concernant la copie, invoquée par l’employeur, de fichiers du serveur de l’entreprise au moyen de sa clé USB personnelle”. En l’espèce, le salarié avait refusé d’obtempérer, “sur le champ, à l’injonction que lui [avait] fait [son] employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu”, ce qui, selon la Cour d’appel, ne “constitu[ait] pas en soi un comportement fautif”. En outre, le salarié avait refusé de s’expliquer lors de l’un des deux entretiens préalables à son licenciement, de sorte qu’il avait été licencié. La Cour de cassation a rejeté le pourvoi de l’employeur, retenant que le moyen qu’il invoquait, faisant grief à la Cour d’appel de n’avoir pas retenu la faute grave du salarié, ne tendait qu’à “remettre en cause l’appréciation souveraine de la cour d’appel qui [avait] estimé que le grief imputé au salarié d’appropriation sur sa clef USB personnelle d’informations à caractère confidentiel n’était pas établi”.

Pour lire l’arrêt sur Légifrance

Atteinte à la vie privée d’un salarié à défaut d’information sur la surveillance de ses correspondances électroniques sur son lieu de travail

Dans un arrêt rendu le 5 septembre 2017 par sa Grande Chambre, la CEDH a estimé qu’il y avait eu violation du droit au respect de la vie privée et de la correspondance d’un salarié licencié suite à la surveillance de son compte professionnel de messagerie, qui avait révélé des correspondances personnelles. Or, le salarié avait été informé que le règlement intérieur de son employeur prohibait l’usage des ressources de l’entreprise à des fins personnelles. Toutefois, selon la Cour, les juridictions nationales, qui avaient rejeté le recours du salarié contre cette décision de licenciement, auraient dû vérifier que le salarié “avait été préalablement averti par son employeur de la possibilité que ses communications sur [son compte professionnel de messagerie] soient surveillées”, et “tenir compte du fait qu’il n’avait pas été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance”. Par conséquent, la Cour a estimé que “les autorités internes [n’avaient] pas protégé de manière adéquate le droit du [salarié] au respect de sa vie privée et de sa correspondance”.

Pour lire l’arrêt de la CEDH

Sanction pécuniaire pour négligence dans la surveillance des actions d’un sous-traitant

Dans une délibération du 18 juillet 2017, la CNIL a prononcé une sanction publique de 40 000 euros à l’encontre d’une société de location de véhicules pour violation de données personnelles due à une erreur commise par son sous-traitant. En octobre 2016, la CNIL avait constaté lors d’un contrôle en ligne qu’en ajoutant une chaîne de caractères et un identifiant à l’URL du site conçu par la société pour les besoins d’un programme de réductions, “les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au[dit] programme”. À l’issue de contrôles réalisés au sein des locaux de la société, la CNIL a relevé que la violation “avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs [par le sous-traitant qui avait développé le site], causant le réaffichage du formulaire contenant l’ensemble des données (…) renseignées par les personnes s’inscrivant au programme de réduction”. La formation restreinte a donc considéré que “la violation de données résult[ait] d’une négligence de la société dans la surveillance des actions de son sous-traitant”.

Pour lire la délibération de la CNIL

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL

Validation par la CEDH d’une interdiction de traiter et publier des masses de données fiscales

Dans un arrêt rendu par sa Grande Chambre le 27 juin 2017, la CEDH a confirmé les décisions rendues par les juridictions finlandaises au sujet de l’interdiction faite par les autorités finlandaises à l’encontre de deux sociétés de médias de traiter et de publier des données fiscales en quantité importante. La CEDH a ainsi estimé que si cette interdiction constituait une ingérence dans le droit des sociétés finlandaises au regard de l’article 10 de la CEDH relatif à la liberté d’expression, il n’y avait toutefois pas eu violation de cet article dès lors que cette ingérence était “prévue par la loi”, poursuivait un but légitime de “protection de la réputation ou des droits d’autrui” et était nécessaire dans une société démocratique, car elle ménageait un juste équilibre entre le droit à la vie privée et le droit à la liberté d’expression. Cependant, la Cour a conclu à la violation de l’article 6 § 1 de la CEDH relatif au droit à un procès équitable à raison de la durée excessive de la procédure, qui a duré plus de huit ans.

Pour lire l’arrêt de la CEDH

Inconstitutionnalité de l’accès aux données de connexion par les agents de l’AMF

Dans une décision du 21 juillet 2017, le Conseil constitutionnel a déclaré contraire à la Constitution la seconde phrase du premier alinéa de l'article L. 621-10 du code monétaire et financier, qui permet aux agents de l’AMF, dans le cadre d’une enquête, de “se faire communiquer les données [de connexion] conservées et traitées par les opérateurs de télécommunications”. Saisi de deux QPC portant sur la conformité du texte précité et jointes au sein de cette décision, le Conseil a affirmé que “la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée” dans la mesure où “le législateur n'a pas entouré la procédure (…) de garanties propres à assurer une conciliation équilibrée entre [ce droit] et (…) la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions”. L’abrogation de ces dispositions a été reportée au 31 décembre 2018 compte tenu “des conséquences manifestement excessives” qu’aurait leur abrogation immédiate.

Pour lire la décision du Conseil constitutionnel

Questions préjudicielles sur le droit au déréférencement

Par une décision du 19 juillet 2017, le Conseil d’État a saisi la Cour de justice de l’Union européenne de trois questions préjudicielles relatives à la mise en œuvre du droit au déréférencement. En l’espèce, la société Google Inc. sollicitait l’annulation d’une délibération du 10 mars 2016 par laquelle la CNIL l’avait sanctionnée pour n’avoir pas, faisant droit à une demande de déréférencement, mis en œuvre la suppression des liens litigieux sur toutes les extensions de son moteur de recherche. La première question préjudicielle porte donc sur le point de savoir si le déréférencement doit être opéré “sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche est lancée (…), y compris hors du champ d’application territorial (…) du droit de l’Union européenne”. La seconde question, n’intervenant qu’en cas de réponse négative à la première, a également trait à la portée du droit au déréférencement. La troisième porte quant à elle sur la question de l’utilisation de la technique du “géo-blocage” dans la mise en œuvre d’un déréférencement.

Pour lire la décision sur Légifrance

Vidéosurveillance au travail : sanction pécuniaire pour manquements à la loi Informatique et Libertés

Par une délibération du 15 juin 2017, la formation restreinte de la CNIL a prononcé une sanction de 1 000 € à l’encontre d’une société pour non-conformité de son dispositif de vidéosurveillance avec la loi Informatique et Libertés, et absence de coopération avec la CNIL. Elle a relevé que la société procédait à une collecte excessive de données via le logiciel de visualisation des images du dispositif, certes paramétré pour enregistrer les images en dehors des horaires de travail mais également activé pendant la journée. En outre, l’accès aux images n’était pas suffisamment sécurisé, faute de renforcement de la politique des mots de passe. À cela s'ajoute le fait que la société n’ait pas répondu aux sept courriers adressés par la CNIL pendant un an et demi. C’est la raison pour laquelle la CNIL a rendu publique sa décision, afin de “sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises”.

Pour lire la délibération sur Légifrance