Audit international de 455 sites internet et applications mobiles

Le 24 octobre 2017, la CNIL a publié les résultats d’un audit réalisé dans le cadre du "Sweep Day 2017" par les "autorités de protection des données membres du Global Privacy Enforcement Network", et mené sur 455 sites internet et applications mobiles de différents secteurs, afin de vérifier "la qualité de l’information délivrée aux personnes". Au niveau national, la CNIL a concentré son audit sur les domaines du voyage et de la vente en ligne, constatant notamment que "82% des sites et applications inform[ai]ent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers". Il a permis aux autorités "de se préparer aux futures opérations conjointes qui pourront être réalisées (…) une fois le règlement européen sur la protection des données applicable".

 Pour lire le communiqué de presse de la CNIL

RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE

Admission Post-Bac (APB) : mise en demeure pour plusieurs manquements

Saisie d’une plainte dénonçant la mise en œuvre par le ministère de l’Éducation Nationale, sur le portail APB, d’un traitement automatisé de données à caractère personnel contraire à la loi Informatique et Libertés à divers égards, la CNIL a procédé à une mission de contrôle dans les locaux de l’Institut national polytechnique de Toulouse. Ce contrôle a effectivement révélé plusieurs manquements, notamment à “l’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé”, à l’obligation d’information et de respect du droit d’accès, ou encore d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant. Dès lors, par une décision du 30 août 2017, la CNIL a mis en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de prendre, sous un délai de trois mois, plusieurs mesures afin de faire cesser lesdits manquements.

Pour lire la décision sur Légifrance

Condamnation d’un médecin pour traitement de données de santé sans autorisation de la CNIL

Dans un jugement rendu le 7 juin 2017, le Tribunal correctionnel de Marseille a condamné un médecin hospitalier à une peine de 5 000 euros d’amende “pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL”. En l’espèce, une patiente avait porté plainte à son encontre pour violation du secret professionnel après avoir constaté qu’elle avait accès à plusieurs dossiers médicaux en tapant ses nom et prénom sur un moteur de recherche. Une seconde plainte avait été déposée par l’Assistance Publique des Hôpitaux de Marseille suite à une enquête interne qui identifiait le médecin hospitalier comme étant “la responsable de la mise en place de la base de données”, en outre hébergée sur un site dont “le processus d’identification et d’authentification (…) n’était pas sécurisé”.

Pour lire le jugement sur Legalis.net

Consultation du fichier de traitement d’antécédents judiciaires : annulation d’une décision administrative pour non-respect de la procédure

Le gérant d’une société privée de sécurité ainsi que ladite société avaient demandé au Tribunal administratif de Lille d’annuler pour excès de pouvoir les décisions par lesquelles leur avait été refusé le renouvellement de leurs agrément et autorisation nécessaires à l’exercice de leur activité. Dans un arrêt du 13 juillet 2017, la Cour administrative d’appel de Douai a annulé les jugements du Tribunal administratif de Lille rejetant cette demande. Elle a en effet relevé qu’il ne ressortait pas des pièces du dossier que “la consultation [du fichier relatif au traitement des antécédents judiciaires] réalisée dans le cadre de l’enquête administrative pour l’instruction de la demande [du gérant avait] été faite dans des conditions régulières par un agent habilité”, irrégularité qui avait porté atteinte à la garantie liée à la protection des données et de la vie privée. Considérant que cette consultation irrégulière avait exercé une influence sur le sens du refus de renouvellement de l’agrément sollicité”, la Cour a estimé que le gérant était fondé à demander l’annulation pour excès de pouvoir de ce refus de renouvellement.

Pour lire l’arrêt sur Légifrance

Absence de faute du salarié dans le refus de remettre à son employeur sa clé USB personnelle

Dans un arrêt du 5 juillet 2017, la Cour de cassation a confirmé l’arrêt rendu par la Cour d’appel de Nouméa qui avait écarté “l’existence de toute faute commise par [un] salarié concernant la copie, invoquée par l’employeur, de fichiers du serveur de l’entreprise au moyen de sa clé USB personnelle”. En l’espèce, le salarié avait refusé d’obtempérer, “sur le champ, à l’injonction que lui [avait] fait [son] employeur de lui remettre sa clé USB personnelle afin de vérifier son contenu”, ce qui, selon la Cour d’appel, ne “constitu[ait] pas en soi un comportement fautif”. En outre, le salarié avait refusé de s’expliquer lors de l’un des deux entretiens préalables à son licenciement, de sorte qu’il avait été licencié. La Cour de cassation a rejeté le pourvoi de l’employeur, retenant que le moyen qu’il invoquait, faisant grief à la Cour d’appel de n’avoir pas retenu la faute grave du salarié, ne tendait qu’à “remettre en cause l’appréciation souveraine de la cour d’appel qui [avait] estimé que le grief imputé au salarié d’appropriation sur sa clef USB personnelle d’informations à caractère confidentiel n’était pas établi”.

Pour lire l’arrêt sur Légifrance

Atteinte à la vie privée d’un salarié à défaut d’information sur la surveillance de ses correspondances électroniques sur son lieu de travail

Dans un arrêt rendu le 5 septembre 2017 par sa Grande Chambre, la CEDH a estimé qu’il y avait eu violation du droit au respect de la vie privée et de la correspondance d’un salarié licencié suite à la surveillance de son compte professionnel de messagerie, qui avait révélé des correspondances personnelles. Or, le salarié avait été informé que le règlement intérieur de son employeur prohibait l’usage des ressources de l’entreprise à des fins personnelles. Toutefois, selon la Cour, les juridictions nationales, qui avaient rejeté le recours du salarié contre cette décision de licenciement, auraient dû vérifier que le salarié “avait été préalablement averti par son employeur de la possibilité que ses communications sur [son compte professionnel de messagerie] soient surveillées”, et “tenir compte du fait qu’il n’avait pas été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance”. Par conséquent, la Cour a estimé que “les autorités internes [n’avaient] pas protégé de manière adéquate le droit du [salarié] au respect de sa vie privée et de sa correspondance”.

Pour lire l’arrêt de la CEDH

Sanction pécuniaire pour négligence dans la surveillance des actions d’un sous-traitant

Dans une délibération du 18 juillet 2017, la CNIL a prononcé une sanction publique de 40 000 euros à l’encontre d’une société de location de véhicules pour violation de données personnelles due à une erreur commise par son sous-traitant. En octobre 2016, la CNIL avait constaté lors d’un contrôle en ligne qu’en ajoutant une chaîne de caractères et un identifiant à l’URL du site conçu par la société pour les besoins d’un programme de réductions, “les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au[dit] programme”. À l’issue de contrôles réalisés au sein des locaux de la société, la CNIL a relevé que la violation “avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs [par le sous-traitant qui avait développé le site], causant le réaffichage du formulaire contenant l’ensemble des données (…) renseignées par les personnes s’inscrivant au programme de réduction”. La formation restreinte a donc considéré que “la violation de données résult[ait] d’une négligence de la société dans la surveillance des actions de son sous-traitant”.

Pour lire la délibération de la CNIL

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL