Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Compte-rendu des activités du G29 à la plénière d’avril 2017

Le 10 avril 2017 la CNIL a publié un communiqué de presse relatif aux travaux du G29 sur les outils de mise en œuvre du règlement général sur la protection des données. A cette occasion, la CNIL a informé que le G29 avait adopté “une version définitive de ses premières lignes directrices à destination des professionnels sur la portabilité des données, les délégués à la protection des données et l’autorité chef de fil, ainsi qu’une première version de lignes directrices sur les études d’impact vie privée qui sera soumise à consultation publique jusqu’au 19 mai”. En outre, le G29 s’est penché sur le “Bouclier de confidentialité” liant l’Union européenne et les Etats-Unis, et notamment sur l’évaluation des garanties apportées par les autorités américaines.

Pour lire le communiqué de presse de la CNIL

Respect de la procédure de notification préalable dans le cadre d’une demande de désindexation

Une personne se plaignait qu’une recherche à partir de son nom dans le moteur de recherches de Google renvoyait vers des articles de presse et des résultats sur Google Images faisant état d’une condamnation pénale récente la concernant. Par une ordonnance du 10 février 2017, le Président du TGI de Paris a rejeté les demandes en référé de désindexation des contenus disponibles sur Google Images, faute pour le requérant d’avoir préalablement demandé au moteur de recherches de les déréférencer. Il a ainsi considéré que le demandeur “ne justifi[ait] pas d’un trouble manifestement illicite lui permettant d’agir en référé, puisqu’il ne démontr[ait] pas que la société Google Inc. aurait (…) refusé de déréférencer des liens de manière à l’évidence illicite”. La demande de déréférencement des articles de presse a également été rejetée, malgré des demandes préalables auprès de Google, car ils concernaient “une information exacte, sur un sujet d’actualité récent (…) participant ainsi du droit à l’information du public sur une affaire pénale”.

Pour lire l’ordonnance sur Legalis.net

Bilan 2016 et perspectives 2017 des activités de contrôle de la CNIL

Le 31 mars 2017, la CNIL a présenté le bilan 2016 de ses activités et son programme de contrôles pour 2017. Elle rapporte notamment qu’en 2016, 20% des contrôles ont concerné la mise en place de systèmes de vidéoprotection dans les lieux publics, les manquements constatés étant relatifs aux autorisations préfectorales, à l’absence d’information du public et à la sécurité. Elle souligne aussi que 20% des contrôles ont porté sur le système national d’information de l’assurance maladie, le courtage de données et le fichier de contrôle des déplacements aériens. Pour l’année 2017, la CNIL souhaite se concentrer sur “des traitements portant sur la vie quotidienne des personnes mais aussi des fichiers régaliens à forts enjeux”, tels que les données traitées par les sociétés d’assurance, les “fichiers de prévention des atteintes à la sécurité publique” et les données collectées par les télévisions connectées, pour lesquelles elle souhaite s’assurer de “la pertinence des informations recueillies, [de] la finalité des traitements (…) [et] [d]es mesures de sécurité et de confidentialité mises en œuvre”.

Pour lire le communiqué de presse de la CNIL

Mise à disposition de données personnelles d’abonnés téléphoniques

Une société belge fournissant des services d’annuaire et de renseignements téléphoniques avait demandé à des opérateurs téléphoniques néerlandais de lui fournir des données relatives à leurs abonnés dans le cadre de la mise en œuvre de ses services, ce qu’ils avaient refusé. Par un arrêt du 15 mars 2017, la CJUE a répondu aux questions préjudicielles du juge néerlandais portant sur l’interprétation de la directive “service universel”. Pour la Cour, cette directive impose aux opérateurs de répondre de manière équitable et non discriminatoire “à toutes les demandes raisonnables de mise à disposition” des données de leurs abonnés aux fins de la fourniture de tels services, y compris lorsqu’elles émanent d’entreprises établies dans d’autres Etats membres. Elle estime en outre que “c’est la finalité de la première publication des données personnelles de l’abonné à laquelle celui-ci a consenti qui est déterminante afin d’apprécier la portée de ce consentement”, de telle sorte qu’il n’y a pas lieu “de formuler la demande de consentement (…) de manière distincte selon l’État membre vers lequel les données le concernant peuvent être transmises”.

Pour lire l’arrêt de la CJUE

Sort des données personnelles inscrites dans un registre des sociétés

Par un arrêt du 9 mars 2017, la CJUE a eu à statuer sur une question préjudicielle de la Cour de cassation italienne portant sur un litige opposant l’administrateur d’une société qui reprochait à une chambre de commerce d’avoir refusé d’effacer des données inscrites dans le registre des sociétés et le liant à la faillite d’une société depuis radiée. Après avoir rappelé que les informations portant sur les personnes ayant le pouvoir d’engager les sociétés à l’égard des tiers, obligatoirement publiées conformément à la directive du 9 mars 1968, étaient bien des données à caractère personnel, la CJUE a estimé qu’il était “impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire” au regard de la finalité de cette directive. Toutefois, la Cour a considéré que des situations particulières pouvaient justifier la limitation de l’accès aux données personnelles figurant dans les registres des sociétés aux tiers justifiant d’un intérêt spécifique à leur consultation, mais qu’il appartenait alors aux juridictions nationales de les déterminer au cas par cas.

Pour lire l’arrêt sur le site de la CJUE

Inapplicabilité du régime des producteurs de bases de données aux personnes publiques

Dans un arrêt du 8 février 2017, le Conseil d’Etat a statué sur la demande d’abrogation, formulée par une société, d’une délibération du conseil général d’un département qui interdisait la collecte des archives publiques relatives à l’état civil contenues dans sa base de données, publiquement accessible en ligne, via des “logiciel[s] de collecte et d’indexation systématique”, et n’autorisait la cession de ces fichiers que pour l’exercice de missions de service public. La Cour administrative d’appel avait considéré que le conseil général pouvait limiter l’utilisation de ces données en application de l’article L. 342-1 du Code de la propriété intellectuelle (CPI) relatif aux droits des producteurs de bases de données. Le Conseil d’Etat a toutefois annulé cet arrêt, estimant que la loi du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public régit de “manière complète les éventuels droits de propriété intellectuelle détenus par les personnes publiques sur les informations publiques, de telle sorte que le CPI n’a pas lieu de s’appliquer.

Pour lire l’arrêt sur Légifrance

Mise en œuvre du droit au déréférencement par les exploitants de moteurs de recherche

Saisi de quatre recours pour excès de pouvoir contre des décisions de la CNIL refusant de mettre en demeure Google de déréférencer des résultats affichés sur son moteur de recherche, le Conseil d’Etat a sursis à statuer, par un arrêt du 24 février 2017, afin de poser plusieurs questions préjudicielles à la CJUE. La Haute Juridiction estime en effet que l’arrêt de la CJUE du 13 mai 2014, dit “Google Spain”, qui a consacré le droit à l’oubli numérique pose des difficultés sérieuses d’interprétation du droit de l’Union européenne pour son application. Les questions préjudicielles ont notamment trait aux modalités de déréférencement de résultats comportant des traitements, effectués aux fins de journalisme ou d’expression littéraire ou artistique, de données dites sensibles, ou encore à l’obligation ou non pour le moteur de recherche de supprimer les résultats portant sur des données incomplètes ou inexactes, “des données dont la publication (…) est illicite” ou lorsque ces “données f[ont] état des condamnations ou des procédures judiciaires dont une personne physique a été l’objet”.

Pour lire l’arrêt sur Légifrance