La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

Sanction de la CNIL pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Une association d’utilité publique dont l’objectif est de contribuer au développement de la langue française s’est vue sanctionnée par la CNIL à hauteur de 30 000 euros le 6 septembre 2018, pour avoir manqué à son obligation en tant que "responsable du traitement (…) de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un incident de sécurité qui avait permis l’accès à des documents contenant des données à caractère personnel de personnes suivant les cours de français qu’elle dispense, à partir de la seule modification d’adresses URL.

Pour lire la décision de la CNIL

Prédication de porte-à-porte : la communauté religieuse est responsable du traitement des données des personnes démarchées

Sur saisine de la Cour administrative suprême finlandaise, la CJUE a eu l’occasion, dans un arrêt du 10 juillet 2018, de juger que la notion de “fichier” au sens de la Directive de 1995 sur les données à caractère personnel couvrait bien un “ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées” et que la communauté religieuse devait être considérée comme responsable de ce traitement conjointement avec ses membres prédicateurs, “sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements”.

Pour lire l’arrêt sur Legalis.net

Ciblage publicitaire : mise en demeure par la CNIL de deux sociétés du secteur

Suite à des missions de contrôle, la CNIL a, le 25 juin 2018, mis deux sociétés proposant à leurs partenaires des technologies de ciblage publicitaire en demeure, sous un délai de trois mois, de se conformer à la Loi Informatique et Libertés. Elle avait en effet noté qu’aucune d’entre elles ne proposait “aux utilisateurs ayant téléchargé les applications [de leurs] partenaires (…) de mécanisme pour consentir préalablement aux traitements opérés” de sorte qu’elles ne disposaient pas d’une base légale pour la mise en œuvre du traitement. S’agissant en outre de l’une des deux sociétés, la CNIL a relevé qu’elle avait également manqué à son obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en conservant les données de géolocalisation des personnes pendant 13 mois, ainsi qu’à son obligation d’assurer la sécurité et la confidentialité des données gérées par Google, hébergeur de la base de données dans laquelle les données collectées étaient stockées.

Pour lire la première et la seconde mises en demeure de la CNIL

Publication du décret d’application de la loi relative à la protection des données personnelles

Le 3 août 2018 a été publié le décret n°2018-687 du 1er août pris en application de la Loi Informatique et Libertés du 6 janvier 1978 telle que modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Il achève la mise en conformité au RGPD du droit national en encadrant sa mise en œuvre concrète, précise certaines dispositions de la loi et fixe les délais et procédures applicables aux missions de la CNIL.

Pour lire le décret sur Légifrance

Inscription par erreur d’un client d’une banque dans les fichiers traités dans le cadre de la réglementation FATCA

Dans le cadre du FATCA, qui impose aux banques de déclarer aux autorités fiscales américaines tout client considéré comme contribuable américain, une banque avait déclaré le compte d’un de ses client français né à Ottawa, au Canada. Malgré la demande de rectification formulée par le client sur le fondement de son absence de lien avec les Etats-Unis, la banque s’est limitée à une absence de déclaration pour 2017, refusant de rectifier les informations pour les années antérieures. Par une ordonnance de référé du 4 juillet 2018, le Président du TGI de Grenoble a ordonné l’effacement total des données de son client traitées par erreur dans le cadre de FATCA antérieurement à 2017, estimant que cette erreur lui causait un trouble manifestement illicite et que l’absence de déclaration pour 2017 n’apportait “pas l’assurance que les autorités fiscales des Etats-Unis ne [le] recherchent pas (…) pour les années antérieures”.

Pour lire l’ordonnance de référé sur Legalis.net

Licéité d’un outil informatique mis en place par une compagnie aérienne pour la gestion des événements d’exploitation

Une compagnie aérienne utilisait un outil informatique destiné à l’encadrement de son personnel navigant et nommé "fichier des évènements liés à l'exploitation", que le syndicat des pilotes de cette société estimait illicite au regard de la Loi Informatique et Libertés. Le 13 juin 2018, après avoir relevé notamment que “les pilotes avaient été informés préalablement de l’existence de ce traitement”, “qu’ils pouvaient à tout moment accéder directement à l’événement, lors de sa création et une fois l’événement traité par le “manager”, pour y ajouter leurs commentaires”, et “que seul l’événement étant inscrit dans l’application (…) et non ses conséquences disciplinaires qui faisaient l’objet d’un traitement distinct”, la Cour de cassation a estimé que n’était pas démontrée l’illicéité de cette application.

Pour lire l’arrêt sur Légifrance

La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

L’administrateur d’une page Facebook coresponsable de traitement avec Facebook Ireland

Par un arrêt du 5 juin 2018, la CJUE, statuant sur une question préjudicielle du juge allemand dans le cadre d’un litige opposant une société spécialisée dans le domaine de l’éducation à une autorité régionale allemande de protection des données qui lui avait fait injonction de désactiver sa “page fan” hébergée sur Facebook, a jugé que la société, en tant qu’“administrateur d’une page fan hébergée sur Facebook (…), particip[ait], par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan” de sorte qu’elle devait être “qualifié[e] de responsable (…), conjointement avec Facebook Ireland, de ce traitement”.

Pour lire l’arrêt de la CJUE

Rapport d’activité 2017 de la « personnalité qualifiée » désignée par la CNIL

Le 30 mai 2018, la personnalité qualifiée désignée par la CNIL afin de contrôler les demandes formulées par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), autorité compétente pour prendre des mesures de blocage administratif, a présenté son rapport d’activité pour l’année 2017. Elle est revenue à cette occasion sur l’augmentation importante du nombre de demandes formulées par l’Office notamment en matière de retrait de contenus à caractère terroriste, représentant plus de 85% des contrôles opérés, ainsi que sur les quatre saisines de la juridiction administrative qu’elle a effectuées pour la première fois aux fins de suspension et d’annulation de mesures de retrait et de déréférencement de contenus prises par l’Office.

Pour lire le rapport d’activité de la « personnalité qualifiée » désignée par la CNIL