Questions préjudicielles sur le droit au déréférencement

Par une décision du 19 juillet 2017, le Conseil d’État a saisi la Cour de justice de l’Union européenne de trois questions préjudicielles relatives à la mise en œuvre du droit au déréférencement. En l’espèce, la société Google Inc. sollicitait l’annulation d’une délibération du 10 mars 2016 par laquelle la CNIL l’avait sanctionnée pour n’avoir pas, faisant droit à une demande de déréférencement, mis en œuvre la suppression des liens litigieux sur toutes les extensions de son moteur de recherche. La première question préjudicielle porte donc sur le point de savoir si le déréférencement doit être opéré “sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche est lancée (…), y compris hors du champ d’application territorial (…) du droit de l’Union européenne”. La seconde question, n’intervenant qu’en cas de réponse négative à la première, a également trait à la portée du droit au déréférencement. La troisième porte quant à elle sur la question de l’utilisation de la technique du “géo-blocage” dans la mise en œuvre d’un déréférencement.

Pour lire la décision sur Légifrance

Clôture d’une mise en demeure pour mise en conformité à la loi Informatique et Libertés

Par une décision du 27 juin 2017, la CNIL a clôturé une mise en demeure publique initiée un an auparavant à l’encontre de Microsoft, suite au lancement de Windows 10. En l’espèce, elle a notamment relevé que “la société [avait] réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre”, que “les utilisateurs [étaient] désormais informés, par une mention claire et précise, qu’un identifiant publicitaire [avait] vocation à suivre leur navigation pour leur proposer de la publicité ciblée”, et que “la société [avait] renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte (…) les combinaisons trop communes [étant] désormais refusées”.

Pour lire le communiqué de presse et la décision de la CNIL

 

Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Validation par le Conseil d’État d’une sanction prononcée par la CNIL

Par un arrêt du 19 juin 2017, le Conseil d’État a validé la sanction pécuniaire de 50 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à ses obligations de sécurité et de confidentialité des données, suite à une mise en demeure de se conformer à la loi Informatique et Libertés restée sans effet. Le Conseil d’État a considéré comme étant proportionnée la sanction infligée à la société “eu égard à la nature, à la gravité et à la persistance des manquements constatés”. Si le Conseil d’État a confirmé que “la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données”, i l  a  affirmé qu’“en revanche la circonstance qu’il [avait] été postérieurement remédié au manquement fautif [pouvait] être prise en compte pour la détermination de la sanction”. Concernant la mesure de publication, le Conseil d’État a par ailleurs estimé que “la CNIL [devait] être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle”, et l’a limitée à deux ans.

Arrêt non publié

Déréférencement et droit à l’image

Par une ordonnance de référé du 12 mai 2017, le Président du TGI de Paris a accueilli la demande de déréférencement d’une ex-mannequin sur le moteur de recherche Google, portant sur cinq URL renvoyant à des photographies de la demanderesse publiées sans son consentement. Le Président du TGI de Paris a rappelé qu’au regard de la loi Informatique et Libertés, "les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et (…) traitées ultérieurement", or tel n’était pas le cas en l’espèce puisque le moteur de recherche "référen[çait] des photographies prises il y des années, sans que les sites en cause ne disposent de son autorisation et donc en violation de son droit à l’image protégé par l’article 9 du code civil". En outre, le Président du TGI a estimé qu’elle justifiait bien d’un "intérêt légitime à voir le déréférencement ordonné, s’agissant de clichés susceptibles à tout le moins de recevoir une connotation érotique publiés sans son autorisation et alors même qu’elle n’exer[çait] plus la profession de mannequin".

Pour lire l’ordonnance sur Legalis.net

Autorisation de systèmes d’authentification par reconnaissance vocale à titre expérimental

Par neuf délibérations en date du 27 avril 2017, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre de manière expérimentale, pour une durée d’un an et sur un périmètre restreint, un mécanisme d’authentification de leurs clients par la reconnaissance vocale. Les objectifs sont notamment de “sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité »” et de “tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci”. La CNIL a noté que ces projets satisfaisaient à ses exigences en matière d’expérimentation, mais a toutefois mis en garde sur le fait que “les conditions dans lesquelles ces expérimentations [étaient] autorisées ne présage[aient] nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif”.

Pour lire le communiqué de presse de la CNIL

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL