RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE

Admission Post-Bac (APB) : mise en demeure pour plusieurs manquements

Saisie d’une plainte dénonçant la mise en œuvre par le ministère de l’Éducation Nationale, sur le portail APB, d’un traitement automatisé de données à caractère personnel contraire à la loi Informatique et Libertés à divers égards, la CNIL a procédé à une mission de contrôle dans les locaux de l’Institut national polytechnique de Toulouse. Ce contrôle a effectivement révélé plusieurs manquements, notamment à “l’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé”, à l’obligation d’information et de respect du droit d’accès, ou encore d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant. Dès lors, par une décision du 30 août 2017, la CNIL a mis en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de prendre, sous un délai de trois mois, plusieurs mesures afin de faire cesser lesdits manquements.

Pour lire la décision sur Légifrance

Consultation du fichier de traitement d’antécédents judiciaires : annulation d’une décision administrative pour non-respect de la procédure

Le gérant d’une société privée de sécurité ainsi que ladite société avaient demandé au Tribunal administratif de Lille d’annuler pour excès de pouvoir les décisions par lesquelles leur avait été refusé le renouvellement de leurs agrément et autorisation nécessaires à l’exercice de leur activité. Dans un arrêt du 13 juillet 2017, la Cour administrative d’appel de Douai a annulé les jugements du Tribunal administratif de Lille rejetant cette demande. Elle a en effet relevé qu’il ne ressortait pas des pièces du dossier que “la consultation [du fichier relatif au traitement des antécédents judiciaires] réalisée dans le cadre de l’enquête administrative pour l’instruction de la demande [du gérant avait] été faite dans des conditions régulières par un agent habilité”, irrégularité qui avait porté atteinte à la garantie liée à la protection des données et de la vie privée. Considérant que cette consultation irrégulière avait exercé une influence sur le sens du refus de renouvellement de l’agrément sollicité”, la Cour a estimé que le gérant était fondé à demander l’annulation pour excès de pouvoir de ce refus de renouvellement.

Pour lire l’arrêt sur Légifrance

Questions préjudicielles sur le droit au déréférencement

Par une décision du 19 juillet 2017, le Conseil d’État a saisi la Cour de justice de l’Union européenne de trois questions préjudicielles relatives à la mise en œuvre du droit au déréférencement. En l’espèce, la société Google Inc. sollicitait l’annulation d’une délibération du 10 mars 2016 par laquelle la CNIL l’avait sanctionnée pour n’avoir pas, faisant droit à une demande de déréférencement, mis en œuvre la suppression des liens litigieux sur toutes les extensions de son moteur de recherche. La première question préjudicielle porte donc sur le point de savoir si le déréférencement doit être opéré “sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche est lancée (…), y compris hors du champ d’application territorial (…) du droit de l’Union européenne”. La seconde question, n’intervenant qu’en cas de réponse négative à la première, a également trait à la portée du droit au déréférencement. La troisième porte quant à elle sur la question de l’utilisation de la technique du “géo-blocage” dans la mise en œuvre d’un déréférencement.

Pour lire la décision sur Légifrance

Clôture d’une mise en demeure pour mise en conformité à la loi Informatique et Libertés

Par une décision du 27 juin 2017, la CNIL a clôturé une mise en demeure publique initiée un an auparavant à l’encontre de Microsoft, suite au lancement de Windows 10. En l’espèce, elle a notamment relevé que “la société [avait] réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre”, que “les utilisateurs [étaient] désormais informés, par une mention claire et précise, qu’un identifiant publicitaire [avait] vocation à suivre leur navigation pour leur proposer de la publicité ciblée”, et que “la société [avait] renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte (…) les combinaisons trop communes [étant] désormais refusées”.

Pour lire le communiqué de presse et la décision de la CNIL

 

Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Validation par le Conseil d’État d’une sanction prononcée par la CNIL

Par un arrêt du 19 juin 2017, le Conseil d’État a validé la sanction pécuniaire de 50 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à ses obligations de sécurité et de confidentialité des données, suite à une mise en demeure de se conformer à la loi Informatique et Libertés restée sans effet. Le Conseil d’État a considéré comme étant proportionnée la sanction infligée à la société “eu égard à la nature, à la gravité et à la persistance des manquements constatés”. Si le Conseil d’État a confirmé que “la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données”, i l  a  affirmé qu’“en revanche la circonstance qu’il [avait] été postérieurement remédié au manquement fautif [pouvait] être prise en compte pour la détermination de la sanction”. Concernant la mesure de publication, le Conseil d’État a par ailleurs estimé que “la CNIL [devait] être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle”, et l’a limitée à deux ans.

Arrêt non publié

Déréférencement et droit à l’image

Par une ordonnance de référé du 12 mai 2017, le Président du TGI de Paris a accueilli la demande de déréférencement d’une ex-mannequin sur le moteur de recherche Google, portant sur cinq URL renvoyant à des photographies de la demanderesse publiées sans son consentement. Le Président du TGI de Paris a rappelé qu’au regard de la loi Informatique et Libertés, "les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et (…) traitées ultérieurement", or tel n’était pas le cas en l’espèce puisque le moteur de recherche "référen[çait] des photographies prises il y des années, sans que les sites en cause ne disposent de son autorisation et donc en violation de son droit à l’image protégé par l’article 9 du code civil". En outre, le Président du TGI a estimé qu’elle justifiait bien d’un "intérêt légitime à voir le déréférencement ordonné, s’agissant de clichés susceptibles à tout le moins de recevoir une connotation érotique publiés sans son autorisation et alors même qu’elle n’exer[çait] plus la profession de mannequin".

Pour lire l’ordonnance sur Legalis.net