Déréférencement et droit à l’image

Par une ordonnance de référé du 12 mai 2017, le Président du TGI de Paris a accueilli la demande de déréférencement d’une ex-mannequin sur le moteur de recherche Google, portant sur cinq URL renvoyant à des photographies de la demanderesse publiées sans son consentement. Le Président du TGI de Paris a rappelé qu’au regard de la loi Informatique et Libertés, "les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et (…) traitées ultérieurement", or tel n’était pas le cas en l’espèce puisque le moteur de recherche "référen[çait] des photographies prises il y des années, sans que les sites en cause ne disposent de son autorisation et donc en violation de son droit à l’image protégé par l’article 9 du code civil". En outre, le Président du TGI a estimé qu’elle justifiait bien d’un "intérêt légitime à voir le déréférencement ordonné, s’agissant de clichés susceptibles à tout le moins de recevoir une connotation érotique publiés sans son autorisation et alors même qu’elle n’exer[çait] plus la profession de mannequin".

Pour lire l’ordonnance sur Legalis.net

Autorisation de systèmes d’authentification par reconnaissance vocale à titre expérimental

Par neuf délibérations en date du 27 avril 2017, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre de manière expérimentale, pour une durée d’un an et sur un périmètre restreint, un mécanisme d’authentification de leurs clients par la reconnaissance vocale. Les objectifs sont notamment de “sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité »” et de “tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci”. La CNIL a noté que ces projets satisfaisaient à ses exigences en matière d’expérimentation, mais a toutefois mis en garde sur le fait que “les conditions dans lesquelles ces expérimentations [étaient] autorisées ne présage[aient] nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif”.

Pour lire le communiqué de presse de la CNIL

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Compte-rendu des activités du G29 à la plénière d’avril 2017

Le 10 avril 2017 la CNIL a publié un communiqué de presse relatif aux travaux du G29 sur les outils de mise en œuvre du règlement général sur la protection des données. A cette occasion, la CNIL a informé que le G29 avait adopté “une version définitive de ses premières lignes directrices à destination des professionnels sur la portabilité des données, les délégués à la protection des données et l’autorité chef de fil, ainsi qu’une première version de lignes directrices sur les études d’impact vie privée qui sera soumise à consultation publique jusqu’au 19 mai”. En outre, le G29 s’est penché sur le “Bouclier de confidentialité” liant l’Union européenne et les Etats-Unis, et notamment sur l’évaluation des garanties apportées par les autorités américaines.

Pour lire le communiqué de presse de la CNIL

Respect de la procédure de notification préalable dans le cadre d’une demande de désindexation

Une personne se plaignait qu’une recherche à partir de son nom dans le moteur de recherches de Google renvoyait vers des articles de presse et des résultats sur Google Images faisant état d’une condamnation pénale récente la concernant. Par une ordonnance du 10 février 2017, le Président du TGI de Paris a rejeté les demandes en référé de désindexation des contenus disponibles sur Google Images, faute pour le requérant d’avoir préalablement demandé au moteur de recherches de les déréférencer. Il a ainsi considéré que le demandeur “ne justifi[ait] pas d’un trouble manifestement illicite lui permettant d’agir en référé, puisqu’il ne démontr[ait] pas que la société Google Inc. aurait (…) refusé de déréférencer des liens de manière à l’évidence illicite”. La demande de déréférencement des articles de presse a également été rejetée, malgré des demandes préalables auprès de Google, car ils concernaient “une information exacte, sur un sujet d’actualité récent (…) participant ainsi du droit à l’information du public sur une affaire pénale”.

Pour lire l’ordonnance sur Legalis.net

Bilan 2016 et perspectives 2017 des activités de contrôle de la CNIL

Le 31 mars 2017, la CNIL a présenté le bilan 2016 de ses activités et son programme de contrôles pour 2017. Elle rapporte notamment qu’en 2016, 20% des contrôles ont concerné la mise en place de systèmes de vidéoprotection dans les lieux publics, les manquements constatés étant relatifs aux autorisations préfectorales, à l’absence d’information du public et à la sécurité. Elle souligne aussi que 20% des contrôles ont porté sur le système national d’information de l’assurance maladie, le courtage de données et le fichier de contrôle des déplacements aériens. Pour l’année 2017, la CNIL souhaite se concentrer sur “des traitements portant sur la vie quotidienne des personnes mais aussi des fichiers régaliens à forts enjeux”, tels que les données traitées par les sociétés d’assurance, les “fichiers de prévention des atteintes à la sécurité publique” et les données collectées par les télévisions connectées, pour lesquelles elle souhaite s’assurer de “la pertinence des informations recueillies, [de] la finalité des traitements (…) [et] [d]es mesures de sécurité et de confidentialité mises en œuvre”.

Pour lire le communiqué de presse de la CNIL

Mise à disposition de données personnelles d’abonnés téléphoniques

Une société belge fournissant des services d’annuaire et de renseignements téléphoniques avait demandé à des opérateurs téléphoniques néerlandais de lui fournir des données relatives à leurs abonnés dans le cadre de la mise en œuvre de ses services, ce qu’ils avaient refusé. Par un arrêt du 15 mars 2017, la CJUE a répondu aux questions préjudicielles du juge néerlandais portant sur l’interprétation de la directive “service universel”. Pour la Cour, cette directive impose aux opérateurs de répondre de manière équitable et non discriminatoire “à toutes les demandes raisonnables de mise à disposition” des données de leurs abonnés aux fins de la fourniture de tels services, y compris lorsqu’elles émanent d’entreprises établies dans d’autres Etats membres. Elle estime en outre que “c’est la finalité de la première publication des données personnelles de l’abonné à laquelle celui-ci a consenti qui est déterminante afin d’apprécier la portée de ce consentement”, de telle sorte qu’il n’y a pas lieu “de formuler la demande de consentement (…) de manière distincte selon l’État membre vers lequel les données le concernant peuvent être transmises”.

Pour lire l’arrêt de la CJUE