Inapplicabilité du régime des producteurs de bases de données aux personnes publiques

Dans un arrêt du 8 février 2017, le Conseil d’Etat a statué sur la demande d’abrogation, formulée par une société, d’une délibération du conseil général d’un département qui interdisait la collecte des archives publiques relatives à l’état civil contenues dans sa base de données, publiquement accessible en ligne, via des “logiciel[s] de collecte et d’indexation systématique”, et n’autorisait la cession de ces fichiers que pour l’exercice de missions de service public. La Cour administrative d’appel avait considéré que le conseil général pouvait limiter l’utilisation de ces données en application de l’article L. 342-1 du Code de la propriété intellectuelle (CPI) relatif aux droits des producteurs de bases de données. Le Conseil d’Etat a toutefois annulé cet arrêt, estimant que la loi du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public régit de “manière complète les éventuels droits de propriété intellectuelle détenus par les personnes publiques sur les informations publiques, de telle sorte que le CPI n’a pas lieu de s’appliquer.

Pour lire l’arrêt sur Légifrance

Mise en œuvre du droit au déréférencement par les exploitants de moteurs de recherche

Saisi de quatre recours pour excès de pouvoir contre des décisions de la CNIL refusant de mettre en demeure Google de déréférencer des résultats affichés sur son moteur de recherche, le Conseil d’Etat a sursis à statuer, par un arrêt du 24 février 2017, afin de poser plusieurs questions préjudicielles à la CJUE. La Haute Juridiction estime en effet que l’arrêt de la CJUE du 13 mai 2014, dit “Google Spain”, qui a consacré le droit à l’oubli numérique pose des difficultés sérieuses d’interprétation du droit de l’Union européenne pour son application. Les questions préjudicielles ont notamment trait aux modalités de déréférencement de résultats comportant des traitements, effectués aux fins de journalisme ou d’expression littéraire ou artistique, de données dites sensibles, ou encore à l’obligation ou non pour le moteur de recherche de supprimer les résultats portant sur des données incomplètes ou inexactes, “des données dont la publication (…) est illicite” ou lorsque ces “données f[ont] état des condamnations ou des procédures judiciaires dont une personne physique a été l’objet”.

Pour lire l’arrêt sur Légifrance

Projet de recommandation relative à l’analyse d’impact

Le 20 décembre 2016, la Commission belge de la protection de la vie privée a publié un projet de recommandation, soumis à consultation publique jusqu’au 28 février 2017, relative à l’analyse d’impact, nouvelle obligation prévue par le règlement sur la protection des données (RGPD) lorsque le traitement présente un “risque élevé pour les droits et libertés des personnes physiques”. La Commission y apporte des précisions sur les éléments essentiels que doit contenir l’analyse d’impact, tels que la description des opérations de traitement et des finalités, qui doit être claire et complète sans renvoyer à des finalités générales, ou encore le contrôle de la proportionnalité des opérations de traitement, à propos duquel la Commission recommande d’indiquer non seulement les raisons qui justifient la nécessité du traitement mais aussi la justification des moyens choisis. Enfin, la Commission fournit des explications sur les circonstances dans lesquelles l’analyse d’impact est obligatoire et sur la consultation préalable de l’autorité de contrôle.

Pour lire le projet de recommandation de la Commission belge de la protection de la vie privée

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Publication des lignes directrices du G29 sur la portabilité des données

Le 13 décembre 2016, le G29 a adopté des lignes directrices concernant le nouveau droit à la portabilité des données instauré par l’article 20 du Règlement européen sur la protection des données personnelles. Ces lignes directrices visent à préciser ce que recouvre cette notion de portabilité, sur quelles données ce droit s’appliquera, de quelle manière il s’orchestrera avec le reste de la réglementation et comment il sera mis en œuvre. Ainsi, le G29 indique notamment que la portabilité devrait s’appliquer aux traitements de données réalisés par des moyens automatisés, en exécution d’un contrat ou pour lesquels la personne concernée aura fourni son consentement préalable. Les données visées correspondent aux informations que la personne aura fournies elle-même au responsable de traitement ou qu’elle aura générées par son activité. Jusqu’à la fin du mois de janvier 2017, il est possible de faire parvenir au G29 des commentaires à ce sujet.

Pour lire les lignes directrices du G29 (en anglais)

Sanction de la CNIL pour défaut de recueil du consentement exprès préalablement à la collecte de données sensibles

Par deux délibérations du 15 décembre 2016, la CNIL a prononcé des sanctions pécuniaires rendues publiques à l’encontre de deux sites internet de rencontres en raison du défaut de recueil du consentement exprès de leurs utilisateurs concernant la collecte de leurs données relatives à leur orientation sexuelle et, pour l’un des sites, à leurs origines raciales ou ethniques et opinions politiques, philosophiques ou religieuses, qui sont des données sensibles. La CNIL a en effet estimé que le recueil de ce consentement par le biais d’une seule et unique case à cocher relative à trois informations distinctes (majorité, acceptation des CGU et traitement des données sensibles) diluait l’information et que le renseignement spontané de ces données par les utilisateurs n’équivalait pas à un consentement exprès au sens de l’article 8 de la loi Informatique et Libertés.

Pour lire la première et la seconde délibération sur le site de la CNIL

L’adresse IP dynamique : une donnée personnelle sous conditions

Par un arrêt du 19 octobre 2016, la CJUE, statuant sur question préjudicielle du juge allemand, a jugé qu’une adresse IP “dynamique”, enregistrée par un fournisseur de services de média en ligne lors de la consultation par une personne d’un site internet qu’il rend accessible au public, constituait une donnée à caractère personnel dès lors que ledit fournisseur disposait de “moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne”. La Cour a également jugé que la continuité de fonctionnement de ces services pouvait constituer un intérêt légitime justifiant un tel traitement au sens de l’article 7 f) de la directive de 1995 sur les données personnelles.

Pour lire l’arrêt de la CJUE

Caractère excessif de la sanction de publication sans limite de temps d’une délibération CNIL

Par un arrêt en date du 28 septembre 2016, le Conseil d’Etat a annulé la délibération du 12 février 2015 par laquelle la CNIL avait prononcé un avertissement à l’encontre d’un directeur de théâtre qui avait utilisé les adresses de messagerie électronique de ses abonnés à des fins de communication politique, étrangères aux finalités du traitement. En effet, la CNIL avait assorti cet avertissement d’une sanction complémentaire de publication de la délibération, sans toutefois en préciser la durée. Le Conseil d’Etat a approuvé le raisonnement de la CNIL sur le fond, mais a annulé la peine complémentaire au motif que celle-ci était excessive, puisqu’“en omettant de fixer la durée pendant laquelle la publication de l’avertissement restait accessible de manière non anonyme sur [son site internet ainsi que le site Légifrance], la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle”. La fixation de la durée de cette sanction complémentaire est renvoyée à la formation restreinte de la CNIL.

Pour lire l’arrêt sur Légifrance

Loi pour une République numérique : service de coffre-fort numérique

La loi pour une République numérique du 7 octobre 2016 porte création d’un article L. 137 dans le Code des postes et des communications électroniques (CPCE), lequel définit le service de coffre-fort numérique. Il s’agit d’un service qui a pour objet notamment “la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine”, “la traçabilité des opérations réalisées sur ces documents ou données”, et “de donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert”. Une certification pourra être  accordée selon  un  cahier des charges proposé par l’ANSSI après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique. Un décret d’application précisera les modalités de mise en œuvre et de certification du service.

Pour lire l'article dans le Code des postes et des communications électroniques