La CNIL modifie sa recommandation en matière de paiement en ligne par carte bancaire

Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite "le consentement libre, spécifique, éclairé et univoque des personnes" concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.

Pour lire le communiqué et la recommandation de la CNIL

Les dispositions relatives à la communication des données de connexion aux agents de douanes sont contraires à la Constitution

Par une décision du 15 février 2019, le Conseil constitutionnel a déclaré contraire à la Constitution le i du 1° de l’article 65 du code des douanes. Ses dispositions prévoyaient la possibilité pour certains agents des douanes d’exiger la communication des données de connexion détenues par des opérateurs de communications électroniques, les fournisseurs d’accès ou les hébergeurs de contenu. Pour le Conseil, "le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions".

Pour lire la décision du Conseil constitutionnel

Des députés déposent une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances

Le 23 janvier 2019, a été déposée à l’Assemblée nationale une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances. Cette proposition de loi interdit la segmentation au profit d’un assuré qui accepterait d’acquérir ou d’utiliser un capteur de santé ou de partager les données collectées au moyen de ce capteur. Elle interdit en outre “le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le code des assurances ou du code de la mutualité” .

Pour lire la proposition de loi sur le site de l’Assemblée nationale

L’accès aux données de connexion n’a pas à être limité aux cas d’infractions graves

A la suite d’une plainte déposée pour vol avec violence, la police espagnole avait “saisi le juge d’instruction d’une demande tendant à ordonner à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés [depuis le vol] avec le code relatif à l’identité internationale d’équipement mobile (…) du téléphone (…) volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires (…) des numéros de téléphone correspondant aux cartes SIM activées avec ce code”. Sur question préjudicielle de la juridiction de renvoi saisie par le Ministère public espagnol après que le juge d’instruction a refusé d’ordonner cette mesure, la CJUE, dans un arrêt du 2 octobre 2018, a considéré que "l’accès d’autorités publiques [à de telles données à caractère personnel] comporte une ingérence dans les droits fondamentaux [des personnes concernées], consacrés [dans] la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".

Pour lire l’arrêt sur Legalis.net