Sanction pécuniaire prononcée par la CNIL à l’encontre de Google

Par une délibération du 10 mars 2016, la CNIL a prononcé une sanction pécuniaire publique à l’encontre de la société Google pour non-respect de la mise en demeure publique du 21 mai 2015 qui l’enjoignait de mettre en œuvre la procédure de déréférencement sur l’intégralité des extensions du nom de domaine de son moteur de recherche. La CNIL a constaté que la solution proposée par Google consistant à circonscrire le déréférencement sur l’intégralité des extensions de son moteur de recherche aux seules requêtes émanant du pays du demandeur, “déterminé (…) par l’adresse IP de l’utilisateur”, demeure incomplète. Selon la CNIL, “seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche, sans distinction entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche” permettrait de rendre effectif le droit au déréférencement.

 Pour lire la délibération de la CNIL

Déréférencement : mise en demeure de Google par la CNIL

Dans une délibération du 20 mai 2015, la CNIL a mis Google en demeure de procéder à des déréférencements sur toutes les extensions du nom de domaine de son moteur de recherche sous un délai de quinze jours. À la suite d’une première demande formulée par la CNIL, Google France avait indiqué avoir procédé au blocage des liens mis en cause au sein des résultats affichés par les extensions européennes du moteur de recherche. La CNIL a considéré que le refus de Google de déréférencer ces liens sur toutes ses extensions constituait un manquement aux droits d’opposition et d’effacement reconnus aux personnes visées par un traitement de données personnelles et rendait ineffectif leur droit au déréférencement, tel que consacré par la CJUE, dès lors que les liens demeuraient “accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche”.

Pour lire la délibération de la CNIL

Dispositif biométrique et suivi du temps de travail

Par une délibération du 5 mars 2015, la CNIL a refusé d’accorder à une banque l’autorisation de mettre en œuvre un traitement automatisé de données personnelles reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle a constaté qu’aucune circonstance exceptionnelle n’était démontrée, que le dispositif “ne résult[ait] pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques”, et que le traitement envisagé ne relevait donc pas d’une finalité de sécurité justifiant un recours impératif à la biométrie. Elle a en outre relevé “l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif” et a donc considéré que le recours exclusif à un tel dispositif n’apparaissait “ni adapté ni proportionné à la finalité poursuivie”.

Pour lire la délibération de la CNIL

La CNIL contrainte d’anonymiser le nom d’un tiers dans une délibération

Par une décision du 11 mars 2015, le Conseil d’Etat a enjoint à la CNIL de procéder à l'anonymisation des mentions d'une délibération concernant un tiers à la procédure objet de cette délibération. En l’espèce, une société avait fait des observations au cours d’une procédure à laquelle elle n’avait pas été attraite et avait demandé à ce que les passages de la délibération la concernant ne soient pas publiés. La CNIL ayant rejeté cette demande, la société a formé un recours pour excès de pouvoir devant le Conseil d’Etat. La Haute juridiction a considéré que lorsqu’un tiers demande à ce qu’il ne soit pas procédé à la publication de mentions le concernant figurant dans une décision de sanction prononcée par la CNIL ou qu’il soit procédé à leur anonymisation, l’autorité est tenue de faire droit à cette demande. Elle a donc annulé la décision de rejet et a condamné la CNIL à verser 3000 euros au titre des frais irrépétibles.

Pour lire la décision sur Legalis.net