La CNIL a mis en demeure plusieurs entreprises pour utilisation de badgeuses photographiques

Dans un communiqué du 27 août 2020, la CNIL a annoncé avoir mis en demeure plusieurs organismes du secteur privé et du secteur public pour collecte excessive de données en raison de leur utilisation de badgeuses intégrant "une prise de photographie systématique à chaque pointage". La CNIL a notamment indiqué que l’usage de badgeuses photo afin de contrôler les horaires de travail des salariés est contraire au principe de minimisation prévu par le RGPD et n’est pas nécessaire au regard de cette finalité.

Pour lire le communiqué de la CNIL

La CNIL rappelle la législation concernant la « verbalisation par lecture automatisée des plaques d’immatriculation »

Le 25 août 2020, la CNIL a rappelé aux communes qu’en vertu de l’arrêté du 14 avril 2009, le recours à la "verbalisation automatisée reposant sur la photographie du véhicule et de sa plaque d’immatriculation pour la recherche et la constatation d’infractions" est interdit. La CNIL indique qu’un tel dispositif peut être mis en place par les communes dans le cadre du "contrôle du forfait de post-stationnement" mais non pour "l’exercice du pouvoir de police judiciaire par les communes". Les communes ne respectant ce cadre légal ont été mises en demeure.

Pour lire le communiqué de la CNIL

La CNIL adopte un référentiel relatif à l’agrément des organismes de contrôle des codes de conduite

Le 24 juillet 2020, la CNIL a publié un référentiel concernant les organismes chargés du contrôle des codes de conduite. Afin qu’ils puissent obtenir l’agrément leur permettant d’effectuer de tels contrôles, la CNIL indique qu’ils doivent notamment satisfaire à des exigences relatives à l’indépendance, à l’absence de conflit d’intérêts, au niveau d’expertise requis ou au traitement des plaintes. La durée de cet agrément est fixée à cinq ans, renouvelables après "un réexamen de l’éligibilité de l’organisme" par la CNIL.

Pour lire la délibération de la CNIL

Application « StopCovid » : la CNIL met en demeure le Ministère des Solidarités et de la Santé

Le 16 juillet 2020, à la suite de trois contrôles portant sur le traitement des données personnelles dans le cadre de l’application "StopCovid", la CNIL a mis en demeure le Ministère des Solidarités et de la Santé de se conformer au RGPD. La CNIL a notamment constaté des manquements aux obligations "de traiter les données conformément au décret du 29 mai 2020", "d’informer les personnes concernées et d’obtenir [leur consentement]" et "d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants".

Pour lire la décision de la CNIL

L’obligation de dépôt des comptes annuels d’une SASU ne porte pas une atteinte disproportionnée aux données personnelles de son président

Le 24 juin 2020, la Cour de cassation a jugé que l’injonction faite au président-associé d’une société de déposer les comptes annuels de celle-ci ne porte pas une atteinte disproportionnée à ses données personnelles dans la mesure où le patrimoine de l’associé, au demeurant distinct de celui de la société, "n’est qu’indirectement et partiellement révélé". La Cour a donc considéré que l’atteinte était "proportionnée au but légitime de détection et de prévention des difficultés des entreprises".

Pour lire l'arrêt sur Légifrance

La CNIL publie un guide « tiers autorisés »

Le 10 juillet 2020, la CNIL a publié un guide pratique à destination des professionnels faisant l’objet de demandes de renseignements ou de documents de la part d’autorités. Afin qu’ils respectent les obligations de sécurité et de confidentialité des données qui leur incombent en tant que responsables de traitement, la CNIL leur recommande de vérifier le fondement légal et le périmètre des demandes ainsi que la qualité de leur émetteur, et d’y répondre de manière sécurisée.

Pour lire le guide et le recueil de procédures

La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’Autorité de protection des données belge (APD) impose une amende relative à la fonction « inviter des contacts »

Le 14 mai 2020, l’APD a imposé une amende de 50 000 euros à un réseau social recueillant et traitant les données de contacts importés par les utilisateurs, en se fondant sur le consentement de ces derniers. Selon, l’APD ce traitement ne reposait pas sur une base légale valable, le consentement devant être donné par la personne concernée – en l’occurrence, les contacts importés. Les cases précochées lors de l’importation ne permettaient pas non plus d’obtenir un consentement libre et univoque des utilisateurs eux-mêmes.

Pour lire le communiqué de l’APD

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat