Absence d’autorisation pour le traçage de déplacements piétonniers

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser une expérimentation visant à comptabiliser des flux de piétons au motif de l’insuffisance du procédé d’anonymisation. Une société souhaitait procéder à un traitement de données visant à comptabiliser des déplacements piétonniers par la collecte des adresses des terminaux mobiles des personnes passant à proximité de ses mobiliers urbains. Or, d’une part, le traçage ne satisfaisait pas à l’obligation d’information et aux droits d’opposition, d’accès et de rectification des personnes concernées par le traitement. D’autre part, s’agissant du procédé d’anonymisation, la technique empêchait certes les tiers d’accéder aux données, mais le responsable de traitement pouvait toujours identifier les individus, de telle sorte que les données ne pouvaient être regardées comme rendues anonymes. Enfin, “les objectifs mêmes de la collecte des données (…) étaient incompatibles avec une anonymisation des informations recueillies”, dès lors que le traitement avait “pour objet d’identifier les déplacements des personnes et leur répétition”.

Pour lire l’arrêt sur Legalis.net

Nouvelle procédure de certification des hébergeurs de données de santé

L’article 1er de l’ordonnance du 12 janvier 2017, relative à l’hébergement de données de santé à caractère personnel, a modifié l’article L. 1111-8 du Code de la santé publique. Désormais, les hébergeurs de données de santé sur support électronique devront être titulaires d’un certificat de conformité dont un décret en Conseil d’Etat fixera les conditions de délivrance. Par ailleurs, le nouvel article reprend les obligations auxquelles les hébergeurs sont soumis, telles que l’interdiction de cession à titre onéreux des données de santé, l’interdiction d’utilisation de celles-ci à des fins autres que la mission d’hébergement et la soumission de ces hébergeurs au secret professionnel. L’ordonnance entrera en vigueur à une date fixée par décret et au plus tard le 1er janvier 2019. Les agréments obtenus avant cette date continueront de produire leurs effets jusqu’à leur terme, et les hébergeurs dont les agréments arriveront à terme dans les douze mois suivant l’entrée en vigueur du nouvel article disposeront d’un délai minimum – qui sera fixé par décret – pour se mettre en conformité.

Pour lire l’ordonnance sur Légifrance

Rapport sur les modalités de régulation des algorithmes de traitement des contenus  

Le 15 décembre 2016, le Conseil Général de l’Economie a remis à la secrétaire d’Etat chargée du numérique le rapport “Modalités de régulations des algorithmes de traitement des contenus”, relatif aux algorithmes “utilisés sur le web pour filtrer des contenus, ordonner des réponses à une recherche, sélectionner les informations pertinentes, faire des recommandations, calculer un score, prévenir un événement ou un risque”. Le rapport ne “propose pas une nouvelle régulation sectorielle” mais incite néanmoins à développer la capacité à “tester et contrôler les algorithmes eux-mêmes”, tout en préservant l’innovation. Pour y parvenir, le rapport émet cinq propositions, notamment la création d’une plateforme collaborative scientifique de développement d’outils logiciels et de méthodes de test d’algorithmes et la création d’un “bureau des technologies de contrôle de l’économie numérique” au sein de la DGCCRF.

Pour lire le rapport sur le site du Ministère de l’économie

Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

Modification de la norme simplifiée gestion de clients et prospects

Par une délibération du 21 juillet 2016, la CNIL a modifié la norme simplifiée NS-048 portant sur les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Cette modification vise à prendre en compte les nouvelles obligations en application du code de la consommation, notamment celle de soumettre ses fichiers de prospection à BLOCTEL, nouvelle liste anti-démarchage téléphonique. La norme ainsi modifiée apporte également des précisions sur la durée de conservation des données, mais aussi sur l’information, le consentement, l’exercice des droits des personnes et les obligations de sécurité des responsables de traitement. Les organismes ayant effectué une déclaration simplifiée en référence à cette norme et ne respectant pas ces nouvelles conditions disposent de 12 mois pour se mettre en conformité.

Pour lire la délibération de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Cybersurveillance : la règlementation à venir des drones civils

Le Sénat a voté en première lecture le 17 mai 2016, une proposition de loi sur le renforcement de la sécurité sur les drones civils. L’objectif est de répondre à des risques croissants, en améliorant l’information et la formation des télépilotes, et de faciliter la détection, voire la neutralisation de drones potentiellement dangereux. Le texte prévoit une amende de 15 000 euros pour le fait de faire survoler par maladresse ou négligence un drone au-dessus d’une zone interdite du territoire français. Par ailleurs, le texte prévoit également que le télépilote qui se rendrait coupable de l’infraction d’atteinte volontaire à l’intimité de la vie privée d’autrui réprimée à l’article 226-1 du Code pénal, encourrait une peine complémentaire de confiscation du drone ayant servi à commettre l'infraction.

Pour lire la proposition de loi sur le site du Sénat

Cookies : extension du contrôle de la CNIL aux professionnels non éditeurs de sites

Par un communiqué du 27 juillet 2016, la CNIL a annoncé étendre ses contrôles relatifs aux cookies auprès des professionnels non éditeurs de sites afin de “tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée”. En effet, certains cookies sont liés à l’activité de tiers partenaires de l’éditeur du site concerné, activité sur laquelle ce dernier ne dispose d’aucune maîtrise. La CNIL a ainsi rappelé qu’en leur qualité de responsables de traitement, ces partenaires doivent respecter les principes de la loi Informatique et Libertés. A ce titre, elle a proposé que soit mise à disposition sur chaque site une liste actualisée de ces partenaires afin de permettre aux internautes d’identifier les responsables de traitement et que cette liste comporte pour chacun d’entre eux un lien renvoyant à une page dédiée qui informerait les internautes sur les collectes effectuées.

Pour lire le communiqué sur le site de la CNIL ---

Avis de la CNIL sur la vidéosurveillance dans les cellules de détention

La CNIL a rendu le 19 mai 2016 un avis sur un arrêté encadrant la mise en œuvre par l’administration pénitentiaire d’une vidéosurveillance permanente de certains détenus dont l’évasion ou le suicide pourrait avoir un impact important sur l’ordre public. Elle a tout d’abord rappelé que ce type de dispositif intrusif devait reposer sur une base légale suffisante, que les détenus concernés devaient être strictement définis et que ces dispositifs ne pouvaient être mis en œuvre qu’à titre exceptionnel. L’arrêté, publié le 12 juin 2016, simultanément à l’avis de la CNIL, a pris en compte ces observations.

Pour lire la délibération sur Légifrance et l’arrêté

Accès aux données de personnes décédées

Par un arrêt du 8 juin 2016, le Conseil d’Etat a confirmé la décision par laquelle la CNIL avait elle-même confirmé le refus opposé par le dernier employeur d’une personne décédée de communiquer le relevé de ses appels téléphoniques professionnels à ses ayants droit. Le Conseil a tout d’abord jugé que la loi informatique et libertés “ne prévo[yait] la communication des données à caractère personnel qu’à la personne concernée par ces données” et que les ayants droit ne pouvaient être regardés comme des “personnes concernées”. Il a également considéré qu’il ne résultait pas de l’article 2 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, relatif au droit à la vie, un droit pour les ayants droit d’un défunt à la communication des données à caractère personnel de ce dernier.

Pour lire l’arrêt sur Légifrance