Le 13 octobre 2020, le Conseil d’État a jugé que le traitement des données de santé, hébergées dans l’Union européenne, par une plateforme liée par contrat à Microsoft, ne portait pas une "atteinte grave et manifestement illégale" au droit au respect de la vie privée, en raison de l’interdiction contractuelle des transferts de données hors Union européenne. Cependant, eu égard au risque de demandes de transferts des autorités américaines, le Conseil a ordonné au HDH d’adopter des garanties supplémentaires dans l’attente d’une solution pérenne.
Pour lire l'ordonnance du Conseil d’État
Par ordonnance du 26 juin 2020, le Conseil d’État a considéré que les données recueillies par caméras thermiques, dès lors qu’elles concernent des personnes identifiables et qu’elles permettent d’apprécier leur état de santé, constituent des données personnelles. Il a donc ordonné à une commune, qui ne démontrait pas l’existence d’un intérêt public important et n’avait pas recueilli le consentement libre, spécifique et éclairé de ses administrés, de mettre fin à leur utilisation.
Pour lire la
décision du Conseil d’État
Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls".
Pour lire la décision du Conseil d’État
Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".
Pour lire l’ordonnance du Conseil d’Etat
Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".
Pour lire l’arrêt du Conseil d’État
Par une décision du 5 février 2020, le Conseil d’État a déclaré conforme à la loi le décret n°2019-57 du 30 janvier 2019 relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes. Il encadre cependant la mise en place de ce traitement en excluant une utilisation à des fins pénales.
Pour lire la décision du Conseil d’État
Par une série de 13 arrêts du 6 décembre 2019, le Conseil d’État a précisé le cadre du déréférencement sur internet en application de la réglementation applicable en matière de protection des données personnelles. Il a ainsi jugé qu’une balance devait être effectuée entre le droit à la vie privée et le droit à l’information du public en tenant compte de la sensibilité des données, du rôle social du demandeur et des conditions dans lesquelles les données ont été publiées.
Pour lire les décisions du Conseil d’État
Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.
Pour lire la décision du Conseil d’État
Une association étudiante avait demandé au Président d’une Université de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision pour le traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un arrêt du 12 juin 2019, le Conseil d’Etat a annulé le jugement du Tribunal administratif de la Guadeloupe du 4 février 2019 qui avait ordonné la communication de ces documents et a jugé que l’Université avait “pu légalement, (…) et dès lors que seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise, refuser à l’[association étudiante], qui n’avait pas la qualité de candidat (…), la communication des documents qu’elle sollicitait“.
Pour lire
l’arrêt du Conseil d’Etat
A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.
Pour lire l’
arrêt sur Légalis.net
Acheter sur