La CNIL modifie sa recommandation en matière de paiement en ligne par carte bancaire

Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite "le consentement libre, spécifique, éclairé et univoque des personnes" concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.

Pour lire le communiqué et la recommandation de la CNIL

La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

Sanction d’une société de VTC pour manquement à son obligation d’assurer la sécurité des données

Une société de VTC s’est vue sanctionner par la CNIL à hauteur de 400 000 euros le 19 décembre 2018, pour avoir manqué à son obligation, en tant que responsable de traitement, "de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un "manque de précautions généralisé" dès lors qu’elle n’avait pas mis en place "certaines mesures élémentaires de sécurité" telles qu’une "mesure d’authentification multifactorielle" ou un "filtrage des adresses IP" afin d’"éviter toute connexion illicite, en sécurisant les échanges de données".

  Pour lire la décision de la CNIL

Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

Consultation publique de la CNIL sur des projets de référentiels relatifs à la gestion commerciale et aux impayés

La CNIL a annoncé le 29 novembre 2018 le lancement d’une consultation publique sur deux projets de référentiels destinés à actualiser les normes et autorisations uniques antérieures à l’entrée en vigueur du RGPD pour accompagner les organismes dans leur mise en conformité. Le premier projet "encadre la mise en œuvre de fichiers "clients" et "prospects"" à l’exclusion des "traitements établis par les établissements de santé ou d’éducation, les établissements bancaires ou assimilés, les entreprises d'assurances et les opérateurs soumis à l’agrément de l’Autorité de régulation des jeux en ligne". Le second projet "encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion d’impayés avérés" à l’exclusion des "traitements visant à détecter un risque d’impayé ou à recenser des manquements autres que pécuniaires". La CNIL invite toute personne concernée à présenter ses observations sur ces sujets avant le 11 janvier 2019 et à "illustrer [ses] réponses avec des exemples concrets".

Pour lire le communiqué de presse de la CNIL

Adoption de la liste des traitements pour lesquels l’analyse d’impact relative à la protection des données est obligatoire

La CNIL a adopté le 11 octobre 2018 la liste définitive prévoyant "quatorze types d’opérations de traitement pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données " (AIPD). Il ne s’agit pas d’une liste exhaustive puisque "des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD", notamment lorsqu’ils sont "susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29". L’adoption d’une liste prévoyant les traitements pour lesquels aucune AIPD n’est cette fois-ci requise est également attendue.

Pour lire le communiqué de presse de la CNIL et la délibération portant adoption de la liste des types d’opérations nécessitant une AIPD

Mise en demeure d’une société de ciblage publicitaire via des applications mobiles par la Présidente de la CNIL

Le 8 octobre 2018, la Présidente de la CNIL a mis en demeure une société qui a pour activité "d’afficher des publicités pour le compte d’annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation" et de "mesurer les visites des mobinautes dans les points de vente de ses clients" de se conformer à la loi Informatique et Libertés dans un délai de trois mois. En effet, la Présidente de la CNIL a constaté en particulier que la société manquait à son obligation de disposer d’une base légale pour la mise en œuvre du traitement, puisqu’elle indiquait qu’il s’agissait  du consentement des personnes concernées, or il ressortait du contrôle opéré par la délégation de la CNIL que "les personnes [n’étaient] pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire" et qu’elles ne fournissaient un consentement ni spécifique puisque seulement global, ni univoque puisqu’il ne leur était pas proposé "clairement de refuser la collecte et le traitement de [leurs] données à caractère personnel".

Pour lire la décision de la Présidente de la CNIL

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat