Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Examen d’une application mobile de sécurité par la CNIL

La CNIL, réunie en séance plénière, a examiné le 15 mars 2018 un projet de la ville de Nice consistant en la mise en place d’une application permettant aux utilisateurs de signaler à la police municipale des incivilités graves ou des “‘situations critiques’ (…) en transmettant en direct aucentre de supervision urbain’ la localisation géographique (…) accompagnée d’un enregistrement vidéo et sonore”. La Commission a indiqué qu’“au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, (…) il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique” et a par ailleurs conclu que “la proportionnalité du dispositif (…) n’était en l’état pas garantie”.

Pour lire l’article de la CNIL

Mise en demeure d’un établissement public pour manquement à l’obligation de sécurité des données

Par une décision du 8 février 2018, la CNIL a mis la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) en demeure de se conformer à la Loi informatique et libertés, après avoir relevé qu’elle ne respectait pas son article 34 sur la sécurité et la confidentialité des données. La CNIL reproche à la CNAMTS de “multiples insuffisances” à ce titre, en ce qui concerne notamment “la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs […] et par des prestataires, la sécurité des postes de travail des utilisateurs”. Elle dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Absence d’atteinte à la vie privée par l’ouverture de fichiers d’un employé non identifiés comme privés

Une personne avait sollicité que son licenciement, prononcé sur le fondement de fichiers figurant sur le disque dur de son ordinateur professionnel, soit déclaré dénué de cause réelle et sérieuse, au motif que l’ouverture de ces fichiers par son employeur en son absence avait porté atteinte à sa vie privée. Dans un arrêt du 22 février 2018, la Cour européenne des droits de l’homme, saisie suite au rejet de cette demande par le juge français, a jugé qu’il n’y avait pas eu atteinte à la vie privée au sens de l’article 8 de la CEDH, considérant que les fichiers litigieux n’avaient pas été clairement identifiés comme privés, alors qu’il était prévu dans la charte utilisateur que "les informations à caractère privé [devaient] être clairement identifiées comme telles".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Lignes directrices du G29 sur les notifications de violations de données personnelles

Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.

Pour lire les lignes directrices du G29 (en anglais)

Nécessité d’une appréciation concrète sur le bien-fondé d’une demande de déréférencement

Il avait été ordonné à Google Inc. de supprimer des liens conduisant à deux adresses URL lors de recherches opérées avec les nom et prénom du demandeur sur son moteur de recherche. Google Inc. reprochait à la Cour d’appel de lui avoir également enjoint de supprimer les liens conduisant, lors de recherches opérées dans les mêmes conditions, à toute adresse URL identifiée et signalée par le demandeur comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception de ce signalement. Dans un arrêt du 14 février 2018, la Cour de Cassation a considéré qu’en “prononçant ainsi une injonction d’ordre général”, la Cour d’appel n’avait pas procédé, “comme il le lui incombait, à la mise en balance des intérêts en présence”, et à l’appréciation du bien-fondé de la demande de déréférencement.

Pour lire l’arrêt de la Cour de Cassation

Recevabilité de messages échangés sur un compte Facebook à titre de preuve

Une salariée licenciée pour faute grave, pour avoir tenu des propos dénigrants et injurieux à l’encontre de ses collègues, de sa supérieure hiérarchique et de la société l’employant, contestait la loyauté de la preuve utilisée, consistant en des messages échangés avec une collègue sur la messagerie de son compte Facebook, estimant qu’ils étaient privés. Toutefois, dans un arrêt du 2 février 2018, la Cour d’appel de Toulouse a confirmé que "les propos tenus (…) sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé."

Arrêt non publié

Obligation d’information de l’employeur préalablement à l’installation d’un système de géolocalisation

Un salarié sollicitait la condamnation de son ancien employeur pour rupture abusive de son contrat de travail, soutenant que celui-ci n’avait pas respecté son obligation d’information préalable à la mise en œuvre d’un système de géolocalisation sur les véhicules de ses salariés. Dans un arrêt du 20 décembre 2017, la Cour de cassation a confirmé l’arrêt par lequel la Cour d’appel avait considéré que la prise d’acte de cette rupture par le salarié produisait les effets d’une démission, au motif qu’il “n’était pas justifié [à cette date] d’un manquement de l’employeur rendant impossible la poursuite du contrat de travail”, la société ayant auparavant “organisé une réunion d’information (…) suivie d’une déclaration à la CNIL (…) et (…) rappelé les finalités de la géolocalisation” par lettre adressée au salarié.

Pour lire l’arrêt sur Légifrance