Le Conseil d’Etat précise la notion de motif légitime invoqué à l’appui d’une demande d’opposition à l’enregistrement et à la conservation de données

Un inspecteur d’académie avait rejeté l’opposition, formée par la mère de deux élèves, à l’enregistrement et la conservation des données personnelles de ses enfants dans deux bases de données. Par un arrêt du 18 mars 2019, le Conseil d’Etat a rejeté le recours de la requérante, précisant que ce droit d’opposition était “subordonné à l'existence de raisons légitimes tenant de manière prépondérante à sa situation particulière”. Il a ainsi approuvé la Cour administrative d’appel qui avait relevé que “pour faire opposition au traitement des données concernant ses enfants, [la requérante] se bornait à invoquer des craintes d'ordre général (…) sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants”.

Pour lire l’arrêt sur Légifrance

La CNIL adopte un règlement type relatif aux traitements de données biométriques sur les lieux de travail

Le 28 mars 2019, la CNIL a publié son règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès, par authentification biométrique, aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Il fixe des exigences spécifiques applicables à certains traitements de données biométriques mis en œuvre par les employeurs publics ou privés. La CNIL a, par ailleurs, insisté sur le caractère contraignant de ce texte et précisé que “les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type”.

Pour lire le communiqué de presse et la délibération de la CNIL

Une banque française enjointe d’effacer les données de son client transmises par erreur à l’administration fiscale américaine

Une banque française avait transmis, par erreur, les données d’un de ses clients à l’administration fiscale américaine en application de la règlementation américaine FATCA (Foreign Account Tax Compliance Act). Afin de mettre en œuvre cette règlementation, les autorités françaises et américaines ont en effet conclu un accord imposant aux établissement bancaires français de déclarer à l’administration fiscale américaine les informations relatives à leurs clients soumis au droit fiscal américain. Par un arrêt du 12 mars 2019, la Cour d’appel de Grenoble a confirmé l’ordonnance de référé qui avait ordonné à la banque française auteure de cette erreur de procéder à “l’effacement total de toutes informations personnelles [du client] du traitement opéré en France dans le cadre de FATCA” et de “faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort” le client.

Pour lire l’arrêt sur Legalis.net

Sweep Day 2018 : la CNIL publie ses observations à l’issue de l’audit réalisé dans le secteur des prestataires de services en informatique

Dans le cadre des travaux d’audit du Global Privacy Enforcement Network, qui rassemble plusieurs autorités de protection des données européennes, et dont le thème 2018 était la "responsabilisation des acteurs en matière de protection données personnelles", la CNIL a audité les pratiques mises en œuvre dans le secteur des prestataires de services en informatique. Le 5 mars 2019, elle a fait part de ses observations, parmi lesquelles les bonnes pratiques mises en œuvre par les entreprises de ce secteur telles que des "actions de sensibilisation de leurs salariés à la protection des données", l’étude de "leur qualité de sous-traitant ou de co-responsable de traitement" ou encore la prise en compte "de la protection des données dès la phase de conception dans leurs méthodologies de projet". La CNIL identifie également "des marges de progression" devant "impérativement être accomplis pour respecter les exigences du nouveau cadre juridique".

Pour lire le communiqué de la CNIL

La CNIL modifie sa recommandation en matière de paiement en ligne par carte bancaire

Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite "le consentement libre, spécifique, éclairé et univoque des personnes" concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.

Pour lire le communiqué et la recommandation de la CNIL

La CNIL clôture cinq mises en demeure à l’encontre de sociétés d’assurance

Par une décision du 19 février 2019, la CNIL a clôturé cinq mises en demeure prononcées en septembre 2018 à l’encontre de sociétés d’assurances pour détournement de finalités en raison de l’utilisation des données personnelles de leurs assurés. Elles avaient collecté ces données, dans le cadre de leur mission générale de mise en œuvre des régimes de retraite complémentaire, à des fins de prospection commerciale. La CNIL a constaté la mise en conformité avec le RGPD de ces sociétés en relevant que "les sociétés [avaient] modifié leur système informatique afin que les données en lien avec la retraite ne soient plus connues ni utilisées par les services en charge de l’assurance" et avaient "supprimé l’intégralité des données illégalement acquises par ce biais".

Pour lire le communiqué de presse de la CNIL

La CNIL clôture une mise en demeure à l’encontre d’une société de ciblage publicitaire

Par une décision du 25 février 2019, la CNIL a clôturé une mise en demeure prononcée en octobre 2018 à l’encontre d’une société de ciblage publicitaire à laquelle elle reprochait la collecte de données de géolocalisation, sans le consentement des personnes concernées, à des fins de ciblage publicitaire. Selon la CNIL, la société a développé une "nouvelle présentation de la fenêtre contextuelle permettant le recueil du consentement des applications [des] partenaires, intégrant désormais une présentation de chaque finalité en premier niveau d’information, accompagnée d’un bouton activable par l’utilisateur pour exprimer son consentement". Elle a ainsi relevé que "les modèles de fenêtre contextuelle permett[aient] de recueillir un consentement informé, spécifique et univoque des personnes à des fins de publicité géolocalisée" conformément au RGPD.

Pour lire la décision de la CNIL

La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

Les dispositions relatives à la communication des données de connexion aux agents de douanes sont contraires à la Constitution

Par une décision du 15 février 2019, le Conseil constitutionnel a déclaré contraire à la Constitution le i du 1° de l’article 65 du code des douanes. Ses dispositions prévoyaient la possibilité pour certains agents des douanes d’exiger la communication des données de connexion détenues par des opérateurs de communications électroniques, les fournisseurs d’accès ou les hébergeurs de contenu. Pour le Conseil, "le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions".

Pour lire la décision du Conseil constitutionnel