La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’Autorité de protection des données belge (APD) impose une amende relative à la fonction « inviter des contacts »

Le 14 mai 2020, l’APD a imposé une amende de 50 000 euros à un réseau social recueillant et traitant les données de contacts importés par les utilisateurs, en se fondant sur le consentement de ces derniers. Selon, l’APD ce traitement ne reposait pas sur une base légale valable, le consentement devant être donné par la personne concernée – en l’occurrence, les contacts importés. Les cases précochées lors de l’importation ne permettaient pas non plus d’obtenir un consentement libre et univoque des utilisateurs eux-mêmes.

Pour lire le communiqué de l’APD

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat

La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

Parcoursup : le droit d’accès aux documents administratifs est un droit constitutionnel

Le 3 avril 2020, le Conseil Constitutionnel a jugé que le droit d’accès aux documents administratifs était garanti par l’article 15 de la Déclaration des Droits de l’Homme et du Citoyen. Il a cependant jugé que les restrictions d’accès à l’algorithme de Parcoursup se justifiaient par l’objectif d’intérêt général de "protéger le secret des délibérations des équipes pédagogiques", sous réserve que, une fois la procédure d’inscription terminée, les établissements publient les critères d’examen des candidatures et précisent dans quelle mesure des traitements algorithmiques ont été utilisés.

Pour lire la décision du Conseil Constitutionnel

La CNIL publie des fiches explicatives relatives à des outils de mise en conformité

Le 7 février 2020, la CNIL a publié des guides dédiés aux codes de conduite et aux règles d’entreprise contraignantes (BCR). Ces guides décrivent la finalité, le contenu et le processus de mise en place de ces outils de conformité. La CNIL a par ailleurs ouvert un téléservice permettant aux organismes de lui soumettre leurs projets de BCR.

Pour lire le communiqué de la CNIL

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL

Le RGPD s’applique au Royaume-Uni jusqu’au 31 décembre 2020

Le 31 janvier 2020, la CNIL a indiqué, à l’occasion du Brexit, qu’“en application de l’accord de retrait, les dispositions du Règlement Général sur la Protection des Données continueront d’être applicables au Royaume-Uni jusqu’au 31 décembre 2020”. Jusqu’à cette date, aucune formalité additionnelle n’est donc requise pour les organismes établis en France ou au Royaume-Uni.

 Pour lire le communiqué de la CNIL