Licéité d’un outil informatique mis en place par une compagnie aérienne pour la gestion des événements d’exploitation

Une compagnie aérienne utilisait un outil informatique destiné à l’encadrement de son personnel navigant et nommé "fichier des évènements liés à l'exploitation", que le syndicat des pilotes de cette société estimait illicite au regard de la Loi Informatique et Libertés. Le 13 juin 2018, après avoir relevé notamment que “les pilotes avaient été informés préalablement de l’existence de ce traitement”, “qu’ils pouvaient à tout moment accéder directement à l’événement, lors de sa création et une fois l’événement traité par le “manager”, pour y ajouter leurs commentaires”, et “que seul l’événement étant inscrit dans l’application (…) et non ses conséquences disciplinaires qui faisaient l’objet d’un traitement distinct”, la Cour de cassation a estimé que n’était pas démontrée l’illicéité de cette application.

Pour lire l’arrêt sur Légifrance

La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

L’administrateur d’une page Facebook coresponsable de traitement avec Facebook Ireland

Par un arrêt du 5 juin 2018, la CJUE, statuant sur une question préjudicielle du juge allemand dans le cadre d’un litige opposant une société spécialisée dans le domaine de l’éducation à une autorité régionale allemande de protection des données qui lui avait fait injonction de désactiver sa “page fan” hébergée sur Facebook, a jugé que la société, en tant qu’“administrateur d’une page fan hébergée sur Facebook (…), particip[ait], par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan” de sorte qu’elle devait être “qualifié[e] de responsable (…), conjointement avec Facebook Ireland, de ce traitement”.

Pour lire l’arrêt de la CJUE

Rapport d’activité 2017 de la « personnalité qualifiée » désignée par la CNIL

Le 30 mai 2018, la personnalité qualifiée désignée par la CNIL afin de contrôler les demandes formulées par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), autorité compétente pour prendre des mesures de blocage administratif, a présenté son rapport d’activité pour l’année 2017. Elle est revenue à cette occasion sur l’augmentation importante du nombre de demandes formulées par l’Office notamment en matière de retrait de contenus à caractère terroriste, représentant plus de 85% des contrôles opérés, ainsi que sur les quatre saisines de la juridiction administrative qu’elle a effectuées pour la première fois aux fins de suspension et d’annulation de mesures de retrait et de déréférencement de contenus prises par l’Office.

Pour lire le rapport d’activité de la « personnalité qualifiée » désignée par la CNIL

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Examen d’une application mobile de sécurité par la CNIL

La CNIL, réunie en séance plénière, a examiné le 15 mars 2018 un projet de la ville de Nice consistant en la mise en place d’une application permettant aux utilisateurs de signaler à la police municipale des incivilités graves ou des “‘situations critiques’ (…) en transmettant en direct aucentre de supervision urbain’ la localisation géographique (…) accompagnée d’un enregistrement vidéo et sonore”. La Commission a indiqué qu’“au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, (…) il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique” et a par ailleurs conclu que “la proportionnalité du dispositif (…) n’était en l’état pas garantie”.

Pour lire l’article de la CNIL

Mise en demeure d’un établissement public pour manquement à l’obligation de sécurité des données

Par une décision du 8 février 2018, la CNIL a mis la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) en demeure de se conformer à la Loi informatique et libertés, après avoir relevé qu’elle ne respectait pas son article 34 sur la sécurité et la confidentialité des données. La CNIL reproche à la CNAMTS de “multiples insuffisances” à ce titre, en ce qui concerne notamment “la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs […] et par des prestataires, la sécurité des postes de travail des utilisateurs”. Elle dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Lignes directrices du G29 sur les notifications de violations de données personnelles

Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.

Pour lire les lignes directrices du G29 (en anglais)

Nécessité d’une appréciation concrète sur le bien-fondé d’une demande de déréférencement

Il avait été ordonné à Google Inc. de supprimer des liens conduisant à deux adresses URL lors de recherches opérées avec les nom et prénom du demandeur sur son moteur de recherche. Google Inc. reprochait à la Cour d’appel de lui avoir également enjoint de supprimer les liens conduisant, lors de recherches opérées dans les mêmes conditions, à toute adresse URL identifiée et signalée par le demandeur comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception de ce signalement. Dans un arrêt du 14 février 2018, la Cour de Cassation a considéré qu’en “prononçant ainsi une injonction d’ordre général”, la Cour d’appel n’avait pas procédé, “comme il le lui incombait, à la mise en balance des intérêts en présence”, et à l’appréciation du bien-fondé de la demande de déréférencement.

Pour lire l’arrêt de la Cour de Cassation