A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.
Pour lire l’
arrêt sur Légalis.net
Par un arrêt du 18 octobre 2018, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir qui avait été introduite à l’encontre du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Le Conseil a considéré que "la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé".
Pour lire l’
arrêt sur Légifrance
Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"
Pour lire l’arrêt du Conseil d’Etat
Après avoir reconnu que “l’état actuel du droit, notamment en matière électorale, ne permet[tait] pas nécessairement de répondre à l’intégralité des risques induits par [les plateformes numériques]”, le Conseil d’Etat a, par un avis du 19 avril 2018, notamment suggéré “d’harmoniser les différentes dispositions des propositions de loi pour ne retenir que la notion de ‘fausses informations’” et non celle de “fausses nouvelles”, et recommandé que “la lutte contre les fausses informations soit systématiquement circonscrite aux cas dans lesquels il est établi que la diffusion de telles informations procède d’une intention délibérée de nuire”.
Pour lire l’avis du Conseil d’Etat
Une société sollicitait l’annulation pour excès de pouvoir d’une décision par laquelle la CNIL l’avait mise en demeure de cesser l’usage de données issues des dispositifs de géolocalisation installés sur les véhicules de ses salariés afin de contrôler leurs temps de travail. Dans un arrêt du 15 décembre 2017, le Conseil d’État a rejeté sa demande, considérant que "l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation", et estimant qu’en l’espèce elle disposait bien d’autres moyens pour ce faire.
Pour lire l’
arrêt sur Légifrance
Par une décision du 23 décembre 2015, le Conseil d’Etat a annulé “la décision implicite par laquelle le Premier Ministre a refusé de prendre les mesures réglementaires qu’implique nécessairement l’application (…) de l’article L. 34-1 du Code des postes et des communications électroniques” relatif à “la compensation des surcoûts identifiables et spécifiques des prestations assurées à la demande de la Hadopi par les opérateurs”. Saisi par Bouygues Télécom, le Conseil d’Etat a donc enjoint le Premier Ministre de prendre ce décret d’application dans un délai de 6 mois à compter de la notification de l’arrêt.
Décision non encore publiée
Par un arrêt du 11 mars 2015, le Conseil d’Etat a rejeté la demande d’annulation d’une mise en demeure de la CNIL à l’encontre d’une société proposant des logiciels gratuits, dont l’installation, soumise à l’acceptation par l’utilisateur des conditions générales, entrainait en outre systématiquement l’installation du moteur de recherche, ainsi que l’envoi de publicités récurrentes ciblées, et la cession de ses données personnelles à des tiers. Le Conseil d’Etat a estimé que ce consentement donné “pour l’ensemble des finalités d’un traitement” ne valait pas “consentement spécifique” tel qu’exigé par la loi dans le cadre d’une prospection directe électronique, ce dernier ne pouvant résulter “que du consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles”.
Pour lire l’arrêt sur Légifrance
Par une ordonnance du 13 mai 2015, le Conseil d’Etat a suspendu provisoirement la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé fichier “STADE”, autorisé par un arrêté ministériel du 15 avril 2015 et ayant pour objectif de prévenir les troubles à l’ordre public lors de manifestations sportives. En l’espèce, plusieurs associations de défense des intérêts des supporters avaient saisi le juge des référés du Conseil d’Etat d’un référé-suspension, affirmant que ce traitement de données à caractère personnel ne respectait pas les exigences de la Loi Informatique et Libertés en ne définissant pas avec une précision suffisante les personnes concernées et les catégories de données pouvant être enregistrées. Estimant qu’il existait un doute sérieux quant à la légalité de l’arrêté, les juges ont suspendu sa mise en œuvre jusqu’à ce qu’ils se prononcent sur la demande d’annulation dont ils ont été saisis.
Pour lire l’ordonnance du Conseil d’Etat
Par deux décisions du 16 mars 2015, le Conseil d’Etat a statué sur des recours formés par des acteurs du secteur pharmaceutique d’une part contre le décret du 31 décembre 2012 relatif à la lutte contre la falsification des médicaments, et d’autre part, contre l’arrêté ministériel du 20 juin 2013 relatif à la dispensation de médicaments vendus en ligne. Dans la première décision, le Conseil d’Etat a rejeté la demande d’annulation du décret considérant que la directive du 8 juin 2011 qui était invoquée autorisait les Etats membres à élargir le champ d’application des dispositifs anti-falsifications qu’elle avait introduits. Dans la seconde décision, le Conseil d’Etat a fait droit à la demande d’annulation, considérant que l’arrêté avait excédé le champ de l’habilitation conférée au Ministre chargé de la santé, dès lors qu’il ne se bornait pas à rappeler les dispositions applicables à la vente de médicaments sur internet, mais y avait ajouté plusieurs points.
Pour lire la première et la seconde décision du Conseil d’Etat
Par une décision du 11 mars 2015, le Conseil d’Etat a enjoint à la CNIL de procéder à l'anonymisation des mentions d'une délibération concernant un tiers à la procédure objet de cette délibération. En l’espèce, une société avait fait des observations au cours d’une procédure à laquelle elle n’avait pas été attraite et avait demandé à ce que les passages de la délibération la concernant ne soient pas publiés. La CNIL ayant rejeté cette demande, la société a formé un recours pour excès de pouvoir devant le Conseil d’Etat. La Haute juridiction a considéré que lorsqu’un tiers demande à ce qu’il ne soit pas procédé à la publication de mentions le concernant figurant dans une décision de sanction prononcée par la CNIL ou qu’il soit procédé à leur anonymisation, l’autorité est tenue de faire droit à cette demande. Elle a donc annulé la décision de rejet et a condamné la CNIL à verser 3000 euros au titre des frais irrépétibles.
Pour lire la décision sur Legalis.net
Les actualités du cabinet
Acheter sur