La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’application StopCovid peut être mise en œuvre

Le 25 mai 2020, la CNIL a indiqué que ses recommandations du 24 avril avaient été prises en compte dans le projet de décret relatif à l’application, notamment la pseudonymisation des données, l’absence de recours à la géolocalisation et la mise en œuvre de mesures de sécurité. Elle estime "que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre", mais relève toutefois que l’intégralité des mentions légales d’information doit être mise à disposition de l’utilisateur au sein même de l’application.

Pour lire la délibération de la CNIL

L’Autorité de protection des données belge (APD) impose une amende relative à la fonction « inviter des contacts »

Le 14 mai 2020, l’APD a imposé une amende de 50 000 euros à un réseau social recueillant et traitant les données de contacts importés par les utilisateurs, en se fondant sur le consentement de ces derniers. Selon, l’APD ce traitement ne reposait pas sur une base légale valable, le consentement devant être donné par la personne concernée – en l’occurrence, les contacts importés. Les cases précochées lors de l’importation ne permettaient pas non plus d’obtenir un consentement libre et univoque des utilisateurs eux-mêmes.

Pour lire le communiqué de l’APD

La CNIL publie des recommandations sur l’anonymisation des données

Le 19 mai 2020, la CNIL a indiqué que les autorités européennes ont défini trois critères permettant de s’assurer de l’anonymisation de données : l’impossibilité d’individualiser une personne dans un jeu de données, l’impossibilité de corréler des jeux de données distincts sur une même personne, et l’impossibilité de déduire de nouvelles informations sur un individu. S’il ne peut remplir parfaitement ces trois critères, le responsable de traitement doit "démontrer (…) que le risque de ré-identification avec des moyens raisonnables est nul".

Pour lire le communiqué de la CNIL

Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat

La température corporelle des employés constitue une donnée sensible de santé

Le 7 mai 2020, la CNIL a indiqué que les employeurs ne peuvent traiter que les données strictement nécessaires à la mise en place de mesures organisationnelles. Les employeurs ne peuvent pas utiliser des caméras thermiques ni constituer des fichiers relatifs à la température corporelle de leurs employés. Ils peuvent toutefois prendre ces températures au moyen d’un thermomètre manuel sans aucune conservation ou traitement du résultat obtenu. Les tests de dépistage sont soumis quant à eux au secret médical.

 Pour lire l'article de la CNIL

La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités

La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai