Le Conseil d’Etat annule la communication des algorithmes utilisés pour la sélection des étudiants

Une association étudiante avait demandé au Président d’une Université de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision pour le traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un arrêt du 12 juin 2019, le Conseil d’Etat a annulé le jugement du Tribunal administratif de la Guadeloupe du 4 février 2019 qui avait ordonné la communication de ces documents et a jugé que l’Université avait “pu légalement, (…) et dès lors que seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise, refuser à l’[association étudiante], qui n’avait pas la qualité de candidat (…), la communication des documents qu’elle sollicitait“. 

Pour lire l’arrêt du Conseil d’Etat

Un décret autorise la mise en relation des données des patients en soins psychiatriques avec celles des personnes surveillées pour radicalisation

Le 7 mai 2019, a été publié un décret qui modifie le décret du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement. Il autorise la mise en relation entre les données traitées dans le cadre du suivi des personnes surveillées en matière de lutte contre le terrorisme, d’une part et les données traitées pour le suivi des personnes hospitalisées en soins psychiatriques sans consentement, d’autre part.

Pour lire le décret sur Légifrance

Publication du décret sur la mise en œuvre de traitements comportant l’usage du NIR

Le décret du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) ou nécessitant la consultation de ce répertoire a été publié. Ce décret, pris en application de l'article 22 de la loi n° 78-17 du 6 janvier 1978, précise les conditions spécifiques des traitements portant sur le NIR “en déterminant les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre”.

Pour lire le décret sur Légifrance

La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

La Cour d’appel enjoint au service des greffes de communiquer une décision de justice

Une société éditrice d’un moteur de recherches et d’une plateforme d’information juridique avait demandé au greffe de la Cour d’appel de Douai la communication d’un arrêt. Par un arrêt du 21 janvier 2019, la Cour d’appel de Douai a enjoint au Directeur des services de greffe judiciaire  de communiquer la décision au requérant, sous forme papier ou numérique. Elle a  précisé que "la décision sollicitée a[vait] été rendue publiquement, - que le caractère public du jugement conf[érait] aux tiers le droit de s’en faire délivrer une copie par le greffe de la juridiction, - que le refus [pouvait] être justifié par un souci de bonne administration de la justice et de la protection des données à caractère personnel, s’agissant du traitement de masse". Elle a ensuite constaté l’absence "de raison juridique permettant de s’opposer à la communication de la décision sollicitée".

Arrêt non publié

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

Absence d’atteinte à la vie privée par la mise en ligne d’archives de presse

Deux requérants allemands avaient saisi la CEDH pour atteinte à leur vie privée résultant de l’accès via le site internet de trois médias à d’anciens reportages relatifs à leur condamnation pour assassinat en 1993. Par un arrêt du 28 juin 2018, la CEDH a jugé qu’il n’y avait pas eu violation du droit au respect de leur vie privée après avoir relevé que "la disponibilité des reportages litigieux sur les sites web des médias au moment de l’introduction des demandes des requérants contribuait toujours à un débat d’intérêt général que l’écoulement d’un laps de temps de quelques années n’a[vait] pas fait disparaître" et que "l’inclusion dans un reportage d’éléments individualisés, tel le nom complet de la personne visée, constitue un aspect important du travail de la presse (…), et ce d’autant plus lorsqu’il s’agit de reportages sur des procédures pénales ayant suscité un intérêt considérable".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Principes et précautions en matière de fichiers d’exclusion

Par un communiqué du 13 novembre 2017, la CNIL a rappelé aux professionnels les bonnes pratiques et la réglementation relatives aux fichiers d’exclusion qui permettent d’identifier les "mauvais payeurs". Elle énumère les "principes généraux applicables aux fichiers d’exclusion pour motifs d’impayés" ainsi que les précautions à prendre au regard de la loi Informatique et Libertés.

Pour lire le communiqué de la CNIL

Condamnation d’un médecin pour traitement de données de santé sans autorisation de la CNIL

Dans un jugement rendu le 7 juin 2017, le Tribunal correctionnel de Marseille a condamné un médecin hospitalier à une peine de 5 000 euros d’amende “pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL”. En l’espèce, une patiente avait porté plainte à son encontre pour violation du secret professionnel après avoir constaté qu’elle avait accès à plusieurs dossiers médicaux en tapant ses nom et prénom sur un moteur de recherche. Une seconde plainte avait été déposée par l’Assistance Publique des Hôpitaux de Marseille suite à une enquête interne qui identifiait le médecin hospitalier comme étant “la responsable de la mise en place de la base de données”, en outre hébergée sur un site dont “le processus d’identification et d’authentification (…) n’était pas sécurisé”.

Pour lire le jugement sur Legalis.net