La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai

Le Health Data Hub autorisé à collecter davantage de données de santé pour lutter contre le Covid-19

L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire établit les catégories de données personnelles que le Health Data Hub et la Caisse nationale de l’assurance maladie sont autorisés à se faire transmettre. Il s’agit notamment des données de pharmacie, de certains résultats d’examens biologiques, des diagnostics ou des données déclaratives de symptômes.

Pour lire l’arrêté sur Légifrance

Publication de lignes directrices sur la recherche scientifique et le traçage de proximité

Le 21 avril 2020, le Comité Européen de la Protection des Données a adopté des lignes directrices sur le traitement de données de santé dans le cadre de la recherche scientifique sur l’épidémie de Covid-19 et sur l’utilisation des données de géolocalisation et de suivi des contacts. Les premières abordent "la base légale du traitement, la mise en œuvre de garanties adéquates (…) et l’exercice des droits des personnes concernées", et les secondes clarifient "les conditions d’une utilisation proportionnée des données de géolocalisation".

Pour lire les lignes directrices du CEPD (en anglais)

Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Le contrôle d’accès au lycée par reconnaissance faciale est illégal

Le 27 février 2020, le Tribunal administratif de Marseille a annulé une délibération du conseil régional de PACA lançant l’expérimentation du contrôle d’accès par reconnaissance faciale. Le Tribunal a jugé que le consentement des lycéens au traitement de leurs données biométriques n’était pas assorti de garanties suffisantes eu égard à l’autorité exercée sur eux par les établissements, et que la région aurait dû démontrer que la fluidification et la sécurisation des contrôles ne pouvaient être atteintes par des moyens moins intrusifs.

Pour lire le jugement sur Legalis.net

La CNIL modifie sa recommandation en matière de paiement en ligne par carte bancaire

Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite "le consentement libre, spécifique, éclairé et univoque des personnes" concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.

Pour lire le communiqué et la recommandation de la CNIL

Les dispositions relatives à la communication des données de connexion aux agents de douanes sont contraires à la Constitution

Par une décision du 15 février 2019, le Conseil constitutionnel a déclaré contraire à la Constitution le i du 1° de l’article 65 du code des douanes. Ses dispositions prévoyaient la possibilité pour certains agents des douanes d’exiger la communication des données de connexion détenues par des opérateurs de communications électroniques, les fournisseurs d’accès ou les hébergeurs de contenu. Pour le Conseil, "le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions".

Pour lire la décision du Conseil constitutionnel

Des députés déposent une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances

Le 23 janvier 2019, a été déposée à l’Assemblée nationale une proposition de loi visant à interdire l’usage des données personnelles collectées par les objets connectés dans le domaine des assurances. Cette proposition de loi interdit la segmentation au profit d’un assuré qui accepterait d’acquérir ou d’utiliser un capteur de santé ou de partager les données collectées au moyen de ce capteur. Elle interdit en outre “le traitement de données à caractère personnel récoltées par un capteur de santé, relatives au mode de vie ou à l’état de santé du preneur d’un produit répondant aux définitions contenues dans le code des assurances ou du code de la mutualité” .

Pour lire la proposition de loi sur le site de l’Assemblée nationale

L’accès aux données de connexion n’a pas à être limité aux cas d’infractions graves

A la suite d’une plainte déposée pour vol avec violence, la police espagnole avait “saisi le juge d’instruction d’une demande tendant à ordonner à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés [depuis le vol] avec le code relatif à l’identité internationale d’équipement mobile (…) du téléphone (…) volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires (…) des numéros de téléphone correspondant aux cartes SIM activées avec ce code”. Sur question préjudicielle de la juridiction de renvoi saisie par le Ministère public espagnol après que le juge d’instruction a refusé d’ordonner cette mesure, la CJUE, dans un arrêt du 2 octobre 2018, a considéré que "l’accès d’autorités publiques [à de telles données à caractère personnel] comporte une ingérence dans les droits fondamentaux [des personnes concernées], consacrés [dans] la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".

Pour lire l’arrêt sur Legalis.net