Respect de la procédure de notification préalable dans le cadre d’une demande de désindexation

Une personne se plaignait qu’une recherche à partir de son nom dans le moteur de recherches de Google renvoyait vers des articles de presse et des résultats sur Google Images faisant état d’une condamnation pénale récente la concernant. Par une ordonnance du 10 février 2017, le Président du TGI de Paris a rejeté les demandes en référé de désindexation des contenus disponibles sur Google Images, faute pour le requérant d’avoir préalablement demandé au moteur de recherches de les déréférencer. Il a ainsi considéré que le demandeur “ne justifi[ait] pas d’un trouble manifestement illicite lui permettant d’agir en référé, puisqu’il ne démontr[ait] pas que la société Google Inc. aurait (…) refusé de déréférencer des liens de manière à l’évidence illicite”. La demande de déréférencement des articles de presse a également été rejetée, malgré des demandes préalables auprès de Google, car ils concernaient “une information exacte, sur un sujet d’actualité récent (…) participant ainsi du droit à l’information du public sur une affaire pénale”.

Pour lire l’ordonnance sur Legalis.net

Bilan 2016 et perspectives 2017 des activités de contrôle de la CNIL

Le 31 mars 2017, la CNIL a présenté le bilan 2016 de ses activités et son programme de contrôles pour 2017. Elle rapporte notamment qu’en 2016, 20% des contrôles ont concerné la mise en place de systèmes de vidéoprotection dans les lieux publics, les manquements constatés étant relatifs aux autorisations préfectorales, à l’absence d’information du public et à la sécurité. Elle souligne aussi que 20% des contrôles ont porté sur le système national d’information de l’assurance maladie, le courtage de données et le fichier de contrôle des déplacements aériens. Pour l’année 2017, la CNIL souhaite se concentrer sur “des traitements portant sur la vie quotidienne des personnes mais aussi des fichiers régaliens à forts enjeux”, tels que les données traitées par les sociétés d’assurance, les “fichiers de prévention des atteintes à la sécurité publique” et les données collectées par les télévisions connectées, pour lesquelles elle souhaite s’assurer de “la pertinence des informations recueillies, [de] la finalité des traitements (…) [et] [d]es mesures de sécurité et de confidentialité mises en œuvre”.

Pour lire le communiqué de presse de la CNIL

Mise à disposition de données personnelles d’abonnés téléphoniques

Une société belge fournissant des services d’annuaire et de renseignements téléphoniques avait demandé à des opérateurs téléphoniques néerlandais de lui fournir des données relatives à leurs abonnés dans le cadre de la mise en œuvre de ses services, ce qu’ils avaient refusé. Par un arrêt du 15 mars 2017, la CJUE a répondu aux questions préjudicielles du juge néerlandais portant sur l’interprétation de la directive “service universel”. Pour la Cour, cette directive impose aux opérateurs de répondre de manière équitable et non discriminatoire “à toutes les demandes raisonnables de mise à disposition” des données de leurs abonnés aux fins de la fourniture de tels services, y compris lorsqu’elles émanent d’entreprises établies dans d’autres Etats membres. Elle estime en outre que “c’est la finalité de la première publication des données personnelles de l’abonné à laquelle celui-ci a consenti qui est déterminante afin d’apprécier la portée de ce consentement”, de telle sorte qu’il n’y a pas lieu “de formuler la demande de consentement (…) de manière distincte selon l’État membre vers lequel les données le concernant peuvent être transmises”.

Pour lire l’arrêt de la CJUE

Sort des données personnelles inscrites dans un registre des sociétés

Par un arrêt du 9 mars 2017, la CJUE a eu à statuer sur une question préjudicielle de la Cour de cassation italienne portant sur un litige opposant l’administrateur d’une société qui reprochait à une chambre de commerce d’avoir refusé d’effacer des données inscrites dans le registre des sociétés et le liant à la faillite d’une société depuis radiée. Après avoir rappelé que les informations portant sur les personnes ayant le pouvoir d’engager les sociétés à l’égard des tiers, obligatoirement publiées conformément à la directive du 9 mars 1968, étaient bien des données à caractère personnel, la CJUE a estimé qu’il était “impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire” au regard de la finalité de cette directive. Toutefois, la Cour a considéré que des situations particulières pouvaient justifier la limitation de l’accès aux données personnelles figurant dans les registres des sociétés aux tiers justifiant d’un intérêt spécifique à leur consultation, mais qu’il appartenait alors aux juridictions nationales de les déterminer au cas par cas.

Pour lire l’arrêt sur le site de la CJUE

Inapplicabilité du régime des producteurs de bases de données aux personnes publiques

Dans un arrêt du 8 février 2017, le Conseil d’Etat a statué sur la demande d’abrogation, formulée par une société, d’une délibération du conseil général d’un département qui interdisait la collecte des archives publiques relatives à l’état civil contenues dans sa base de données, publiquement accessible en ligne, via des “logiciel[s] de collecte et d’indexation systématique”, et n’autorisait la cession de ces fichiers que pour l’exercice de missions de service public. La Cour administrative d’appel avait considéré que le conseil général pouvait limiter l’utilisation de ces données en application de l’article L. 342-1 du Code de la propriété intellectuelle (CPI) relatif aux droits des producteurs de bases de données. Le Conseil d’Etat a toutefois annulé cet arrêt, estimant que la loi du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public régit de “manière complète les éventuels droits de propriété intellectuelle détenus par les personnes publiques sur les informations publiques, de telle sorte que le CPI n’a pas lieu de s’appliquer.

Pour lire l’arrêt sur Légifrance

Mise en œuvre du droit au déréférencement par les exploitants de moteurs de recherche

Saisi de quatre recours pour excès de pouvoir contre des décisions de la CNIL refusant de mettre en demeure Google de déréférencer des résultats affichés sur son moteur de recherche, le Conseil d’Etat a sursis à statuer, par un arrêt du 24 février 2017, afin de poser plusieurs questions préjudicielles à la CJUE. La Haute Juridiction estime en effet que l’arrêt de la CJUE du 13 mai 2014, dit “Google Spain”, qui a consacré le droit à l’oubli numérique pose des difficultés sérieuses d’interprétation du droit de l’Union européenne pour son application. Les questions préjudicielles ont notamment trait aux modalités de déréférencement de résultats comportant des traitements, effectués aux fins de journalisme ou d’expression littéraire ou artistique, de données dites sensibles, ou encore à l’obligation ou non pour le moteur de recherche de supprimer les résultats portant sur des données incomplètes ou inexactes, “des données dont la publication (…) est illicite” ou lorsque ces “données f[ont] état des condamnations ou des procédures judiciaires dont une personne physique a été l’objet”.

Pour lire l’arrêt sur Légifrance

Projet de recommandation relative à l’analyse d’impact

Le 20 décembre 2016, la Commission belge de la protection de la vie privée a publié un projet de recommandation, soumis à consultation publique jusqu’au 28 février 2017, relative à l’analyse d’impact, nouvelle obligation prévue par le règlement sur la protection des données (RGPD) lorsque le traitement présente un “risque élevé pour les droits et libertés des personnes physiques”. La Commission y apporte des précisions sur les éléments essentiels que doit contenir l’analyse d’impact, tels que la description des opérations de traitement et des finalités, qui doit être claire et complète sans renvoyer à des finalités générales, ou encore le contrôle de la proportionnalité des opérations de traitement, à propos duquel la Commission recommande d’indiquer non seulement les raisons qui justifient la nécessité du traitement mais aussi la justification des moyens choisis. Enfin, la Commission fournit des explications sur les circonstances dans lesquelles l’analyse d’impact est obligatoire et sur la consultation préalable de l’autorité de contrôle.

Pour lire le projet de recommandation de la Commission belge de la protection de la vie privée

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)