Autorisation de traitement des données des particuliers pour lutter contre la fraude fiscale

Par un arrêté du 12 novembre 2019, l’autorisation de l’administration fiscale à mettre en œuvre un traitement automatisé afin de lutter contre la fraude fiscale a été étendue aux données concernant les particuliers. Ce traitement est désormais  “mis en œuvre pour les fraudes relatives aux professionnels et aux particuliers”.

  Pour lire l’arrêté sur Légifrance

Le référencement de contenus relatifs aux infractions doit être strictement nécessaire à la liberté d’information

Un expert-comptable, condamné par le passé pour escroquerie, avait demandé le déréférencement de deux compte-rendu d’audience relatant cette condamnation. Par un arrêt du 27 novembre 2019, la Cour de cassation a cassé l’arrêt d’appel qui avait rejeté la demande, reprochant ainsi aux juges de ne pas avoir recherché si “l’inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès aux pages internet concernées”.

 Pour lire l’arrêt de la Cour de cassation

Lignes directrices relatives au traitement de données personnelles par les institutions de l’Union européenne

Le 7 novembre 2019, le Contrôleur européen de la protection des données a publié des lignes directrices portant sur l’interprétation du règlement du 23 octobre 2018 relatif au traitement des données personnelles par les institutions et organes de l’Union européenne. Ces lignes directrices visent notamment à clarifier les notions de responsable de traitement, responsable conjoint et sous-traitant au sens de ce texte.

Pour lire les lignes directrices du CEPD

Le Conseil fédéral de la Suisse signe la Convention du Conseil de l’Europe sur la protection des données personnelles

Le 30 octobre 2019, le Conseil fédéral de la Suisse a signé un protocole d’amendement à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données personnelles. Ce texte “renforce la protection dont jouissent les Suisses lorsque leurs données personnelles sont traitées dans un Etat partie”. Son adoption devrait être prise en compte par l’Union européenne dans la future décision d'adéquation concernant le niveau de protection des données en Suisse.

 Pour lire le communiqué du Conseil fédéral de la Suisse

La CNIL publie une liste des traitements qui ne requièrent pas d’analyse d’impact

Par une délibération du 12 septembre 2019, la CNIL a publié une liste non exhaustive d'opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Sont notamment concernés, les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ou encore des traitements ayant pour finalité la gestion des relations fournisseurs.

  Pour lire la délibération de la CNIL

Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

Précisions sur les conditions du droit au déréférencement en matière de données sensibles

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que “lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel [dites sensibles] sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, (…) vérifier (…), si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche”.

  Pour lire la décision de la Cour de justice de l’Union européenne

Le déréférencement opéré par un moteur de recherche doit couvrir l’ensemble du territoire de l’Union européenne

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que  “lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement (…), il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres  d’avoir accès (…) aux liens qui font l’objet de cette demande”

  Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL