Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

Le Conseil d’Etat annule la communication des algorithmes utilisés pour la sélection des étudiants

Une association étudiante avait demandé au Président d’une Université de lui communiquer les procédés algorithmiques et les codes sources utilisés par l’outil d’aide à la décision pour le traitement des candidatures d’entrée en licence via la plateforme Parcoursup. Par un arrêt du 12 juin 2019, le Conseil d’Etat a annulé le jugement du Tribunal administratif de la Guadeloupe du 4 février 2019 qui avait ordonné la communication de ces documents et a jugé que l’Université avait “pu légalement, (…) et dès lors que seuls les candidats sont susceptibles de se voir communiquer les informations relatives aux critères et modalités d’examen de leurs candidatures ainsi que les motifs pédagogiques qui justifient la décision prise, refuser à l’[association étudiante], qui n’avait pas la qualité de candidat (…), la communication des documents qu’elle sollicitait“. 

Pour lire l’arrêt du Conseil d’Etat

La Cour d’appel de Paris condamne un auteur pour contrefaçon du titre d’un ouvrage

A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.

Pour lire l’arrêt sur Légalis.net

Le Conseil d’Etat valide le fichier « Titres électroniques sécurisés »

Par un arrêt du 18 octobre 2018, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir qui avait été introduite à l’encontre du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Le Conseil a considéré que "la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé".

Pour lire l’arrêt sur Légifrance

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

Le Conseil d’Etat se prononce sur les propositions de lois relatives à la lutte contre les fausses informations

Après avoir reconnu que “l’état actuel du droit, notamment en matière électorale, ne permet[tait] pas nécessairement de répondre à l’intégralité des risques induits par [les plateformes numériques]”, le Conseil d’Etat a, par un avis du 19 avril 2018, notamment suggéré “d’harmoniser les différentes dispositions des propositions de loi pour ne retenir que la notion de ‘fausses informations’” et non celle de “fausses nouvelles”, et recommandé que “la lutte contre les fausses informations soit systématiquement circonscrite aux cas dans lesquels il est établi que la diffusion de telles informations procède d’une intention délibérée de nuire”.

Pour lire l’avis du Conseil d’Etat

Non-conformité de dispositifs de géolocalisation installés dans des véhicules de salariés

Une société sollicitait l’annulation pour excès de pouvoir d’une décision par laquelle la CNIL l’avait mise en demeure de cesser l’usage de données issues des dispositifs de géolocalisation installés sur les véhicules de ses salariés afin de contrôler leurs temps de travail. Dans un arrêt du 15 décembre 2017, le Conseil d’État a rejeté sa demande, considérant que "l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation", et estimant qu’en l’espèce elle disposait bien d’autres moyens pour ce faire.

Pour lire l’arrêt sur Légifrance

Indemnisation des FAI dans le cadre de la loi Hadopi

Par une décision du 23 décembre 2015, le Conseil d’Etat a annulé “la décision implicite par laquelle le Premier Ministre a refusé de prendre les mesures réglementaires qu’implique nécessairement l’application  (…) de l’article L. 34-1 du Code des postes et des communications électroniques” relatif à “la compensation des surcoûts identifiables et spécifiques des prestations assurées à la demande de la Hadopi par les opérateurs”. Saisi par Bouygues Télécom, le Conseil d’Etat a donc enjoint le Premier Ministre de prendre ce décret d’application dans un délai de 6 mois à compter de la notification de l’arrêt.

Décision non encore publiée

Consentement spécifique à la prospection directe électronique

Par un arrêt du 11 mars 2015, le Conseil d’Etat a rejeté la demande d’annulation d’une mise en demeure de la CNIL à l’encontre d’une société proposant des logiciels gratuits, dont l’installation, soumise à l’acceptation par l’utilisateur des conditions générales, entrainait en outre systématiquement l’installation du moteur de recherche, ainsi que l’envoi de publicités récurrentes ciblées, et la cession de ses données personnelles à des tiers. Le Conseil d’Etat a estimé que ce consentement donné “pour l’ensemble des finalités d’un traitement” ne valait pas “consentement spécifique” tel qu’exigé par la loi dans le cadre d’une prospection directe électronique, ce dernier ne pouvant résulter “que du consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles”.

Pour lire l’arrêt sur Légifrance

Suspension par le Conseil d’Etat de la mise en œuvre du fichier “STADE”  

Par une ordonnance du 13 mai 2015, le Conseil d’Etat a suspendu provisoirement la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé fichier “STADE”, autorisé par un arrêté ministériel du 15 avril 2015 et ayant pour objectif de prévenir les troubles à l’ordre public lors de manifestations sportives. En l’espèce, plusieurs associations de défense des intérêts des supporters avaient saisi le juge des référés du Conseil d’Etat d’un référé-suspension, affirmant que ce traitement de données à caractère personnel ne respectait pas les exigences de la Loi Informatique et Libertés en ne définissant pas avec une précision suffisante les personnes concernées et les catégories de données pouvant être enregistrées. Estimant qu’il existait un doute sérieux quant à la légalité de l’arrêté, les juges ont suspendu sa mise en œuvre jusqu’à ce qu’ils se prononcent sur la demande d’annulation dont ils ont été saisis.

Pour lire l’ordonnance du Conseil d’Etat