La CNIL publie sa position sur l’application « TousAntiCovid »

Le 23 octobre 2020, la CNIL a indiqué que le déploiement de l’application de traçage des cas contacts, remplaçant "StopCovid", "ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation [de la nouvelle application]". Celle-ci reprend en effet le protocole antérieur "conçu dans une logique de minimisation des données et de protection dès la conception".

Pour lire le communiqué de la CNIL

   

La CNIL adopte un référentiel relatif à l’agrément des organismes de contrôle des codes de conduite

Le 24 juillet 2020, la CNIL a publié un référentiel concernant les organismes chargés du contrôle des codes de conduite. Afin qu’ils puissent obtenir l’agrément leur permettant d’effectuer de tels contrôles, la CNIL indique qu’ils doivent notamment satisfaire à des exigences relatives à l’indépendance, à l’absence de conflit d’intérêts, au niveau d’expertise requis ou au traitement des plaintes. La durée de cet agrément est fixée à cinq ans, renouvelables après "un réexamen de l’éligibilité de l’organisme" par la CNIL.

Pour lire la délibération de la CNIL

Application « StopCovid » : la CNIL met en demeure le Ministère des Solidarités et de la Santé

Le 16 juillet 2020, à la suite de trois contrôles portant sur le traitement des données personnelles dans le cadre de l’application "StopCovid", la CNIL a mis en demeure le Ministère des Solidarités et de la Santé de se conformer au RGPD. La CNIL a notamment constaté des manquements aux obligations "de traiter les données conformément au décret du 29 mai 2020", "d’informer les personnes concernées et d’obtenir [leur consentement]" et "d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants".

Pour lire la décision de la CNIL

La CNIL publie un guide « tiers autorisés »

Le 10 juillet 2020, la CNIL a publié un guide pratique à destination des professionnels faisant l’objet de demandes de renseignements ou de documents de la part d’autorités. Afin qu’ils respectent les obligations de sécurité et de confidentialité des données qui leur incombent en tant que responsables de traitement, la CNIL leur recommande de vérifier le fondement légal et le périmètre des demandes ainsi que la qualité de leur émetteur, et d’y répondre de manière sécurisée.

Pour lire le guide et le recueil de procédures

Le fonctionnement du Health Data Hub validé par le Conseil d’État

Le 19 juin 2020, le Conseil d’État, saisi en référé, a jugé que l’arrêté autorisant la Plateforme des données de Santé à recevoir des données relatives à la santé des personnes concernées pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire ne porte pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles. Néanmoins, le Health Data Hub devra fournir à la CNIL tous éléments relatifs aux procédés de pseudonymisation utilisés.

Pour lire la décision du Conseil d’État

La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’application StopCovid peut être mise en œuvre

Le 25 mai 2020, la CNIL a indiqué que ses recommandations du 24 avril avaient été prises en compte dans le projet de décret relatif à l’application, notamment la pseudonymisation des données, l’absence de recours à la géolocalisation et la mise en œuvre de mesures de sécurité. Elle estime "que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre", mais relève toutefois que l’intégralité des mentions légales d’information doit être mise à disposition de l’utilisateur au sein même de l’application.

Pour lire la délibération de la CNIL

Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités