La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

La Cour d’appel enjoint au service des greffes de communiquer une décision de justice

Une société éditrice d’un moteur de recherches et d’une plateforme d’information juridique avait demandé au greffe de la Cour d’appel de Douai la communication d’un arrêt. Par un arrêt du 21 janvier 2019, la Cour d’appel de Douai a enjoint au Directeur des services de greffe judiciaire  de communiquer la décision au requérant, sous forme papier ou numérique. Elle a  précisé que "la décision sollicitée a[vait] été rendue publiquement, - que le caractère public du jugement conf[érait] aux tiers le droit de s’en faire délivrer une copie par le greffe de la juridiction, - que le refus [pouvait] être justifié par un souci de bonne administration de la justice et de la protection des données à caractère personnel, s’agissant du traitement de masse". Elle a ensuite constaté l’absence "de raison juridique permettant de s’opposer à la communication de la décision sollicitée".

Arrêt non publié

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

Absence d’atteinte à la vie privée par la mise en ligne d’archives de presse

Deux requérants allemands avaient saisi la CEDH pour atteinte à leur vie privée résultant de l’accès via le site internet de trois médias à d’anciens reportages relatifs à leur condamnation pour assassinat en 1993. Par un arrêt du 28 juin 2018, la CEDH a jugé qu’il n’y avait pas eu violation du droit au respect de leur vie privée après avoir relevé que "la disponibilité des reportages litigieux sur les sites web des médias au moment de l’introduction des demandes des requérants contribuait toujours à un débat d’intérêt général que l’écoulement d’un laps de temps de quelques années n’a[vait] pas fait disparaître" et que "l’inclusion dans un reportage d’éléments individualisés, tel le nom complet de la personne visée, constitue un aspect important du travail de la presse (…), et ce d’autant plus lorsqu’il s’agit de reportages sur des procédures pénales ayant suscité un intérêt considérable".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Principes et précautions en matière de fichiers d’exclusion

Par un communiqué du 13 novembre 2017, la CNIL a rappelé aux professionnels les bonnes pratiques et la réglementation relatives aux fichiers d’exclusion qui permettent d’identifier les "mauvais payeurs". Elle énumère les "principes généraux applicables aux fichiers d’exclusion pour motifs d’impayés" ainsi que les précautions à prendre au regard de la loi Informatique et Libertés.

Pour lire le communiqué de la CNIL

Condamnation d’un médecin pour traitement de données de santé sans autorisation de la CNIL

Dans un jugement rendu le 7 juin 2017, le Tribunal correctionnel de Marseille a condamné un médecin hospitalier à une peine de 5 000 euros d’amende “pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL”. En l’espèce, une patiente avait porté plainte à son encontre pour violation du secret professionnel après avoir constaté qu’elle avait accès à plusieurs dossiers médicaux en tapant ses nom et prénom sur un moteur de recherche. Une seconde plainte avait été déposée par l’Assistance Publique des Hôpitaux de Marseille suite à une enquête interne qui identifiait le médecin hospitalier comme étant “la responsable de la mise en place de la base de données”, en outre hébergée sur un site dont “le processus d’identification et d’authentification (…) n’était pas sécurisé”.

Pour lire le jugement sur Legalis.net

Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Publicité en ligne et règles relatives aux cookies

Le 23 mai 2017, la CNIL a précisé les règles à respecter en matière de publicité en ligne suite aux contrôles menés par ses services auprès de treize émetteurs de cookies tiers. Ces contrôles ont permis d’identifier deux situations : celle où l’"éditeur détermine les moyens et finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes", et celle où l’émetteur de cookies tiers les détermine, visant en pratique le cas de l’émetteur déposant des cookies sur différents sites afin d’enrichir une base qu’il exploite. La CNIL, constatant que ces deux cas de figure s’appliquent souvent simultanément, estime que "la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies", mais considère qu’il appartient dans tous les cas aux éditeurs de sites, "seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes (…) de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer". Elle rappelle toutefois que le cadre réglementaire est susceptible d’évoluer, la Commission européenne ayant annoncé un nouvel instrument pour fin 2017.

Pour lire le communiqué de la CNIL

Absence d’autorisation pour le traçage de déplacements piétonniers

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser une expérimentation visant à comptabiliser des flux de piétons au motif de l’insuffisance du procédé d’anonymisation. Une société souhaitait procéder à un traitement de données visant à comptabiliser des déplacements piétonniers par la collecte des adresses des terminaux mobiles des personnes passant à proximité de ses mobiliers urbains. Or, d’une part, le traçage ne satisfaisait pas à l’obligation d’information et aux droits d’opposition, d’accès et de rectification des personnes concernées par le traitement. D’autre part, s’agissant du procédé d’anonymisation, la technique empêchait certes les tiers d’accéder aux données, mais le responsable de traitement pouvait toujours identifier les individus, de telle sorte que les données ne pouvaient être regardées comme rendues anonymes. Enfin, “les objectifs mêmes de la collecte des données (…) étaient incompatibles avec une anonymisation des informations recueillies”, dès lors que le traitement avait “pour objet d’identifier les déplacements des personnes et leur répétition”.

Pour lire l’arrêt sur Legalis.net