Un gendarme sanctionné pour consultation de fichiers à des fins personnelles sans justification

Un gendarme s’était vu infliger quinze jours d’arrêts pour avoir consulté des fichiers de la gendarmerie et des fiches individuelles de renseignement à des fins personnelles. Par une décision du 24 avril 2019, le Conseil d’Etat a confirmé la sanction prononcée à l’encontre du requérant considérant qu’”il ressort[ait] des pièces du dossier que la consultation par [le requérant], à des fins personnelles, des fichiers (…) pour rechercher des informations concernant l’employeur de sa fille ainsi que plusieurs autres personnes constitu[ait] un détournement de la finalité d’un traitement de données à caractère personnel” et qu’“un tel manquement [était] constitutif d’une faute de nature à justifier une sanction disciplinaire, indépendamment des suites réservées aux procédures judiciaires éventuellement engagées”.

Pour lire la décision sur Légalis.net

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net

La Cour d’appel de Paris condamne un auteur pour contrefaçon du titre d’un ouvrage

A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.

Pour lire l’arrêt sur Légalis.net

Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL

La CNIL présente son rapport d’activité pour 2018 et les enjeux pour 2019

Le 15 avril 2019, la CNIL a présenté le bilan de son activité de l’année 2018 et sa stratégie de contrôle pour 2019. Elle a ainsi indiqué vouloir articuler son action autour de la pédagogie et la dissuasion. La CNIL a également annoncé “concentrer son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD” telles que “la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre” et “les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Pour lire le communiqué de presse et le rapport annuel de la CNIL

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

Le Conseil d’Etat précise la notion de motif légitime invoqué à l’appui d’une demande d’opposition à l’enregistrement et à la conservation de données

Un inspecteur d’académie avait rejeté l’opposition, formée par la mère de deux élèves, à l’enregistrement et la conservation des données personnelles de ses enfants dans deux bases de données. Par un arrêt du 18 mars 2019, le Conseil d’Etat a rejeté le recours de la requérante, précisant que ce droit d’opposition était “subordonné à l'existence de raisons légitimes tenant de manière prépondérante à sa situation particulière”. Il a ainsi approuvé la Cour administrative d’appel qui avait relevé que “pour faire opposition au traitement des données concernant ses enfants, [la requérante] se bornait à invoquer des craintes d'ordre général (…) sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants”.

Pour lire l’arrêt sur Légifrance

Une banque française enjointe d’effacer les données de son client transmises par erreur à l’administration fiscale américaine

Une banque française avait transmis, par erreur, les données d’un de ses clients à l’administration fiscale américaine en application de la règlementation américaine FATCA (Foreign Account Tax Compliance Act). Afin de mettre en œuvre cette règlementation, les autorités françaises et américaines ont en effet conclu un accord imposant aux établissement bancaires français de déclarer à l’administration fiscale américaine les informations relatives à leurs clients soumis au droit fiscal américain. Par un arrêt du 12 mars 2019, la Cour d’appel de Grenoble a confirmé l’ordonnance de référé qui avait ordonné à la banque française auteure de cette erreur de procéder à “l’effacement total de toutes informations personnelles [du client] du traitement opéré en France dans le cadre de FATCA” et de “faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort” le client.

Pour lire l’arrêt sur Legalis.net

Sweep Day 2018 : la CNIL publie ses observations à l’issue de l’audit réalisé dans le secteur des prestataires de services en informatique

Dans le cadre des travaux d’audit du Global Privacy Enforcement Network, qui rassemble plusieurs autorités de protection des données européennes, et dont le thème 2018 était la "responsabilisation des acteurs en matière de protection données personnelles", la CNIL a audité les pratiques mises en œuvre dans le secteur des prestataires de services en informatique. Le 5 mars 2019, elle a fait part de ses observations, parmi lesquelles les bonnes pratiques mises en œuvre par les entreprises de ce secteur telles que des "actions de sensibilisation de leurs salariés à la protection des données", l’étude de "leur qualité de sous-traitant ou de co-responsable de traitement" ou encore la prise en compte "de la protection des données dès la phase de conception dans leurs méthodologies de projet". La CNIL identifie également "des marges de progression" devant "impérativement être accomplis pour respecter les exigences du nouveau cadre juridique".

Pour lire le communiqué de la CNIL

La CNIL clôture cinq mises en demeure à l’encontre de sociétés d’assurance

Par une décision du 19 février 2019, la CNIL a clôturé cinq mises en demeure prononcées en septembre 2018 à l’encontre de sociétés d’assurances pour détournement de finalités en raison de l’utilisation des données personnelles de leurs assurés. Elles avaient collecté ces données, dans le cadre de leur mission générale de mise en œuvre des régimes de retraite complémentaire, à des fins de prospection commerciale. La CNIL a constaté la mise en conformité avec le RGPD de ces sociétés en relevant que "les sociétés [avaient] modifié leur système informatique afin que les données en lien avec la retraite ne soient plus connues ni utilisées par les services en charge de l’assurance" et avaient "supprimé l’intégralité des données illégalement acquises par ce biais".

Pour lire le communiqué de presse de la CNIL