Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’application StopCovid peut être mise en œuvre

Le 25 mai 2020, la CNIL a indiqué que ses recommandations du 24 avril avaient été prises en compte dans le projet de décret relatif à l’application, notamment la pseudonymisation des données, l’absence de recours à la géolocalisation et la mise en œuvre de mesures de sécurité. Elle estime "que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre", mais relève toutefois que l’intégralité des mentions légales d’information doit être mise à disposition de l’utilisateur au sein même de l’application.

Pour lire la délibération de la CNIL

Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités

La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai

La CNIL émet des recommandations sur la réutilisation de données à des fins de prospection commerciale

Le 30 avril 2020, à la suite de plaintes d’internautes, la CNIL a indiqué les règles applicables à la collecte de données personnelles publiquement accessibles en ligne (issues notamment de petites annonces ou d’annuaires) et à leur réutilisation à des fins de démarchage. La CNIL rappelle notamment que la licéité de telles pratiques est conditionnée à l’information des personnes concernées lors de la prise de contact, au recueil de leur consentement et au respect de leur droit d’opposition.

Pour lire le communiqué de la CNIL

La CNIL lance une consultation publique sur les droits des mineurs dans l’environnement numérique

Le 21 avril 2020, la CNIL a lancé une consultation publique préalable à l’adoption de recommandations pour clarifier le cadre applicable à la protection des données personnelles des mineurs. Cette consultation, ouverte à tous jusqu’au 1er juin 2020, vise notamment à recueillir des contributions sur "la capacité juridique d’un mineur à effectuer seul certains actes sur Internet, la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement et l’exercice par les mineurs de leurs droits sur leurs données".

Pour lire le communiqué de presse de la CNIL

La CNIL publie un référentiel relatif à la gestion des ressources humaines

Le 15 avril 2020, la CNIL a publié un référentiel à destination des entités publiques et privées qui traitent des données personnelles à des fins de gestion des ressources humaines, de la paye et du recrutement. Ce référentiel apporte des indications sur l’identification des bases légales des traitements RH et sur les hypothèses dans lesquelles une analyse d’impact est requise.

Pour lire le référentiel de la CNIL

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

La CNIL publie des bonnes pratiques sur le « Bring Your Own Device » (BYOD)

Le 24 mars 2020, la CNIL a rappelé que l’utilisation d’outils personnels par des employés relevait d’un choix de l’employeur et que ce dernier restait "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique". La CNIL a proposé des mesures visant à sécuriser les appareils et à garantir le respect de la vie privée de leur utilisateur.

Pour lire les recommandations de la CNIL