Des députés déposent une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances

Le 23 janvier 2019, a été déposée à l’Assemblée nationale une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances. Cette proposition de loi interdit la segmentation au profit d’un assuré qui accepterait d’acquérir ou d’utiliser un capteur de santé ou de partager les données collectées au moyen de ce capteur. Elle interdit en outre “le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le code des assurances ou du code de la mutualité” .

Pour lire la proposition de loi sur le site de l’Assemblée nationale

La CNIL prononce à l’encontre de Google une sanction record de 50 millions d’euros

Google s’est vu sanctionner par la CNIL à hauteur de 50 millions d’euros, le 21 janvier 2019, en raison de manquements à ses obligations de transparence, d’information et de recueil d’un consentement valable en matière de publicité ciblée. La CNIL lui reproche notamment "un défaut global d’accessibilité des informations délivrées" ne permettant pas aux utilisateurs d’être en mesure de comprendre l’ampleur des traitements mis en œuvre par Google, "particulièrement massifs et intrusifs". Au regard des finalités des traitements mis en œuvre par Google (notamment la publicité ciblée), la CNIL considère que le consentement recueilli n’est pas "libre, spécifique, éclairé et univoque". La CNIL rappelle que cette décision est notamment motivée par l’"ampleur des traitements déployés", et qu’au vu des "avantages [que Google] retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre".

Pour lire la délibération de la CNIL

La Commission européenne adopte une décision d’adéquation relative au système japonais de protection des données personnelles

Par cette décision adoptée le 23 janvier 2019, la Commission européenne ouvre la voie au transfert sécurisé de données personnelles entre le Japon et l’Union européenne. Le Japon a en effet mis en place des garanties supplémentaires, notamment un ensemble de règles permettant de réduire les différences entre les deux systèmes de protection ainsi qu’un mécanisme de traitement des plaintes des Européens concernant l’accès à leurs données par les autorités japonaises. Cette décision d’adéquation assure aux responsables de traitement "que les données transférées de l'Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes". Tout comme la décision japonaise équivalente, elle est entrée en application ce 23 janvier 2019. Un premier réexamen conjoint aura lieu dans deux ans, afin de s’assurer du fonctionnement de ce cadre.

Pour lire le communiqué de presse de la Commission européenne

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance

Sanction d’une société de VTC pour manquement à son obligation d’assurer la sécurité des données

Une société de VTC s’est vue sanctionner par la CNIL à hauteur de 400 000 euros le 19 décembre 2018, pour avoir manqué à son obligation, en tant que responsable de traitement, "de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un "manque de précautions généralisé" dès lors qu’elle n’avait pas mis en place "certaines mesures élémentaires de sécurité" telles qu’une "mesure d’authentification multifactorielle" ou un "filtrage des adresses IP" afin d’"éviter toute connexion illicite, en sécurisant les échanges de données".

  Pour lire la décision de la CNIL

Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

Rejet d’une demande de déréférencement de liens vers des articles relatant la mise en cause pénale d’une personne

La Cour d’appel de Paris, le 28 novembre 2018, a confirmé la décision du Président du TGI de Paris disant n’y avoir lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site internet d’un journal. La Cour a retenu que "l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses". Elle a également relevé que "l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé". Elle en a conclu que le demandeur "ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information".

Arrêt non publié

Consultation publique de la CNIL sur des projets de référentiels relatifs à la gestion commerciale et aux impayés

La CNIL a annoncé le 29 novembre 2018 le lancement d’une consultation publique sur deux projets de référentiels destinés à actualiser les normes et autorisations uniques antérieures à l’entrée en vigueur du RGPD pour accompagner les organismes dans leur mise en conformité. Le premier projet "encadre la mise en œuvre de fichiers "clients" et "prospects"" à l’exclusion des "traitements établis par les établissements de santé ou d’éducation, les établissements bancaires ou assimilés, les entreprises d'assurances et les opérateurs soumis à l’agrément de l’Autorité de régulation des jeux en ligne". Le second projet "encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion d’impayés avérés" à l’exclusion des "traitements visant à détecter un risque d’impayé ou à recenser des manquements autres que pécuniaires". La CNIL invite toute personne concernée à présenter ses observations sur ces sujets avant le 11 janvier 2019 et à "illustrer [ses] réponses avec des exemples concrets".

Pour lire le communiqué de presse de la CNIL

Adoption de la liste des traitements pour lesquels l’analyse d’impact relative à la protection des données est obligatoire

La CNIL a adopté le 11 octobre 2018 la liste définitive prévoyant "quatorze types d’opérations de traitement pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données " (AIPD). Il ne s’agit pas d’une liste exhaustive puisque "des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD", notamment lorsqu’ils sont "susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29". L’adoption d’une liste prévoyant les traitements pour lesquels aucune AIPD n’est cette fois-ci requise est également attendue.

Pour lire le communiqué de presse de la CNIL et la délibération portant adoption de la liste des types d’opérations nécessitant une AIPD