Lignes directrices relatives au traitement de données personnelles par les institutions de l’Union européenne

Le 7 novembre 2019, le Contrôleur européen de la protection des données a publié des lignes directrices portant sur l’interprétation du règlement du 23 octobre 2018 relatif au traitement des données personnelles par les institutions et organes de l’Union européenne. Ces lignes directrices visent notamment à clarifier les notions de responsable de traitement, responsable conjoint et sous-traitant au sens de ce texte.

Pour lire les lignes directrices du CEPD

Le Conseil fédéral de la Suisse signe la Convention du Conseil de l’Europe sur la protection des données personnelles

Le 30 octobre 2019, le Conseil fédéral de la Suisse a signé un protocole d’amendement à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données personnelles. Ce texte “renforce la protection dont jouissent les Suisses lorsque leurs données personnelles sont traitées dans un Etat partie”. Son adoption devrait être prise en compte par l’Union européenne dans la future décision d'adéquation concernant le niveau de protection des données en Suisse.

 Pour lire le communiqué du Conseil fédéral de la Suisse

La CNIL publie une liste des traitements qui ne requièrent pas d’analyse d’impact

Par une délibération du 12 septembre 2019, la CNIL a publié une liste non exhaustive d'opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Sont notamment concernés, les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ou encore des traitements ayant pour finalité la gestion des relations fournisseurs.

  Pour lire la délibération de la CNIL

Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

Précisions sur les conditions du droit au déréférencement en matière de données sensibles

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que “lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel [dites sensibles] sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, (…) vérifier (…), si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche”.

  Pour lire la décision de la Cour de justice de l’Union européenne

Le déréférencement opéré par un moteur de recherche doit couvrir l’ensemble du territoire de l’Union européenne

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que  “lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement (…), il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres  d’avoir accès (…) aux liens qui font l’objet de cette demande”

  Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL

Un traitement de données illicite constitue un obstacle légitime au prononcé d’une mesure d’instruction

Par une ordonnance du 2 août 2019, le Tribunal de grande instance de Paris a rejeté la demande d’une société de production tendant à ce que soit ordonné à un fournisseur d’accès de communiquer l’identité des propriétaires des adresses IP collectées à partir d’une plateforme de téléchargement illicite. Il a notamment été reproché au demandeur d’avoir procédé à une collecte de données personnelles, en l’occurrence les adresses IP, en violation de la réglementation applicable en matière de données personnelles. Le Tribunal a jugé que le caractère illicite du traitement constituait un « obstacle légitime » au prononcé de la mesure d’instruction.

  Pour lire l’ordonnance sur Legalis.Net

La CNIL sanctionne une société d’intermédiation en assurance

Par une délibération du 18 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre d’une société d’intermédiation en assurance pour atteinte à la sécurité des données de ses clients. La CNIL a constaté un défaut de sécurité et une violation des données relatives aux clients de la société telles que des copies de permis de conduire, des relevés d’identité bancaire ou des données relatives à des infractions commises par les personnes concernées et a condamné la société en raison de l’absence de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du RGPD.

  Pour lire la délibération de la CNIL