La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités

La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai

La CNIL émet des recommandations sur la réutilisation de données à des fins de prospection commerciale

Le 30 avril 2020, à la suite de plaintes d’internautes, la CNIL a indiqué les règles applicables à la collecte de données personnelles publiquement accessibles en ligne (issues notamment de petites annonces ou d’annuaires) et à leur réutilisation à des fins de démarchage. La CNIL rappelle notamment que la licéité de telles pratiques est conditionnée à l’information des personnes concernées lors de la prise de contact, au recueil de leur consentement et au respect de leur droit d’opposition.

Pour lire le communiqué de la CNIL

Le Health Data Hub autorisé à collecter davantage de données de santé pour lutter contre le Covid-19

L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire établit les catégories de données personnelles que le Health Data Hub et la Caisse nationale de l’assurance maladie sont autorisés à se faire transmettre. Il s’agit notamment des données de pharmacie, de certains résultats d’examens biologiques, des diagnostics ou des données déclaratives de symptômes.

Pour lire l’arrêté sur Légifrance

La CNIL lance une consultation publique sur les droits des mineurs dans l’environnement numérique

Le 21 avril 2020, la CNIL a lancé une consultation publique préalable à l’adoption de recommandations pour clarifier le cadre applicable à la protection des données personnelles des mineurs. Cette consultation, ouverte à tous jusqu’au 1er juin 2020, vise notamment à recueillir des contributions sur "la capacité juridique d’un mineur à effectuer seul certains actes sur Internet, la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement et l’exercice par les mineurs de leurs droits sur leurs données".

Pour lire le communiqué de presse de la CNIL

Publication de lignes directrices sur la recherche scientifique et le traçage de proximité

Le 21 avril 2020, le Comité Européen de la Protection des Données a adopté des lignes directrices sur le traitement de données de santé dans le cadre de la recherche scientifique sur l’épidémie de Covid-19 et sur l’utilisation des données de géolocalisation et de suivi des contacts. Les premières abordent "la base légale du traitement, la mise en œuvre de garanties adéquates (…) et l’exercice des droits des personnes concernées", et les secondes clarifient "les conditions d’une utilisation proportionnée des données de géolocalisation".

Pour lire les lignes directrices du CEPD (en anglais)

La CNIL publie un référentiel relatif à la gestion des ressources humaines

Le 15 avril 2020, la CNIL a publié un référentiel à destination des entités publiques et privées qui traitent des données personnelles à des fins de gestion des ressources humaines, de la paye et du recrutement. Ce référentiel apporte des indications sur l’identification des bases légales des traitements RH et sur les hypothèses dans lesquelles une analyse d’impact est requise.

Pour lire le référentiel de la CNIL

Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

Parcoursup : le droit d’accès aux documents administratifs est un droit constitutionnel

Le 3 avril 2020, le Conseil Constitutionnel a jugé que le droit d’accès aux documents administratifs était garanti par l’article 15 de la Déclaration des Droits de l’Homme et du Citoyen. Il a cependant jugé que les restrictions d’accès à l’algorithme de Parcoursup se justifiaient par l’objectif d’intérêt général de "protéger le secret des délibérations des équipes pédagogiques", sous réserve que, une fois la procédure d’inscription terminée, les établissements publient les critères d’examen des candidatures et précisent dans quelle mesure des traitements algorithmiques ont été utilisés.

Pour lire la décision du Conseil Constitutionnel