Droit d’accès : Le ministre de l’intérieur n’est pas tenu de délivrer une copie des données

Par une décision du 24 octobre 2019, le Conseil d’État a jugé que "dans le cadre du droit d’accès indirect aux données personnelles contenues dans l’un des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique, le responsable du traitement communique les informations à la personne concernée selon les modalités qu’il définit". Le ministre de l’Intérieur n’était donc pas tenu de délivrer une copie des données sollicitées et a ainsi valablement exécuté son obligation en s’assurant que le requérant puisse les consulter sur place.

  Pour lire la décision du Conseil d’État

La CNIL rend un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées

Le 29 octobre 2019, la CNIL a annoncé avoir rendu un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées menée par la région PACA. La CNIL a considéré que le dispositif n’apparaissait ni nécessaire, ni proportionné pour atteindre les objectifs de sécurisation et de fluidification des entrées, relevant notamment que ces finalités pouvaient être atteintes “par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge”.

  Pour lire la publication de la CNIL

La vidéosurveillance secrète des salariés est justifiée en cas de soupçons raisonnables d’irrégularités graves

Par un arrêt du 17 octobre 2019, la Cour européenne des droits de l’Homme a jugé que l’atteinte au droit à la vie privée résultant de la mise en place, par l’employeur, d’une vidéosurveillance secrète des salariés était justifiée par "l’existence de soupçons raisonnables que des irrégularités graves avaient été commises et [par] l’ampleur des manques constatés en l’espèce".

  Pour lire l'arrêt de la Cour européenne des droits de l’Homme

Une fiche “Google My Business” ne peut être supprimée sans motif légitime

Par une ordonnance du 11 juillet 2019, le Tribunal de grande instance de Paris, statuant en référé, a rejeté une demande, formulée par une dentiste, tendant à la suppression des données personnelles la concernant reprise par le moteur de recherche dans une fiche Google My Business. Le Tribunal a notamment relevé que le traitement poursuivait “des finalités légitimes au sens [du RGPD], permettant l’accès rapide des internautes à des informations pratiques sur les professionnels de santé” et était nécessaire à la liberté d’expression et d’information, de sorte que la demanderesse ne pouvait exiger l’effacement des données, sauf à invoquer une raison particulière tenant à sa situation.

  Pour lire la décision sur Legalis.net

La Federal Trade Commission (FTC) condamne une plateforme de vidéos en ligne à une amende de 170 millions de dollars

Le 4 septembre 2019, une plateforme de vidéos en ligne a trouvé un accord amiable avec la FTC pour le paiement d’une amende record de 170 millions de dollars, pour avoir enfreint des dispositions de la loi Coppa (Children’s Online Privacy Protection Act, 1998), en exposant les enfants à des vidéos inappropriées ou en collectant des données personnelles les concernant, dans un but de ciblage publicitaire, à l’insu de leurs parents.

  Pour lire le communiqué de la FTC

Un site internet ayant inséré un bouton « j’aime » est responsable conjoint du traitement

Par un arrêt du 29 juillet 2019, la Cour de justice de l’Union européenne a jugé, sur question préjudicielle allemande, que le gestionnaire d’un site internet ayant inséré un bouton « j’aime », était responsable conjointement avec le fournisseur du bouton, la société Facebook Ireland, des opérations de collecte et de communication des données des internautes. La Cour a considéré qu’"en insérant un tel module social sur son site Internet, [le gestionnaire] influ[ait], (…), de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, (…), qui, en l’absence de l’insertion dudit module, n’auraient pas lieu".

  Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

Le Conseil d’Etat annule la communication des algorithmes utilisés pour la sélection des étudiants

Une association étudiante avait demandé au Président d’une Université de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision pour le traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un arrêt du 12 juin 2019, le Conseil d’Etat a annulé le jugement du Tribunal administratif de la Guadeloupe du 4 février 2019 qui avait ordonné la communication de ces documents et a jugé que l’Université avait “pu légalement, (…) et dès lors que seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise, refuser à l’[association étudiante], qui n’avait pas la qualité de candidat (…), la communication des documents qu’elle sollicitait“. 

Pour lire l’arrêt du Conseil d’Etat

Un décret autorise la mise en relation des données des patients en soins psychiatriques avec celles des personnes surveillées pour radicalisation

Le 7 mai 2019, a été publié un décret qui modifie le décret du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement. Il autorise la mise en relation entre les données traitées dans le cadre du suivi des personnes surveillées en matière de lutte contre le terrorisme, d’une part et les données traitées pour le suivi des personnes hospitalisées en soins psychiatriques sans consentement, d’autre part.

Pour lire le décret sur Légifrance

Publication du décret sur la mise en œuvre de traitements comportant l’usage du NIR

Le décret du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou nécessitant la consultation de ce répertoire a été publié. Ce décret, pris en application de l'article 22 de la loi n° 78-17 du 6 janvier 1978, précise les conditions spécifiques des traitements portant sur le NIR “en déterminant les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre”.

Pour lire le décret sur Légifrance