La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’Autorité de protection des données belge (APD) impose une amende relative à la fonction « inviter des contacts »

Le 14 mai 2020, l’APD a imposé une amende de 50 000 euros à un réseau social recueillant et traitant les données de contacts importés par les utilisateurs, en se fondant sur le consentement de ces derniers. Selon, l’APD ce traitement ne reposait pas sur une base légale valable, le consentement devant être donné par la personne concernée – en l’occurrence, les contacts importés. Les cases précochées lors de l’importation ne permettaient pas non plus d’obtenir un consentement libre et univoque des utilisateurs eux-mêmes.

Pour lire le communiqué de l’APD

Le contrôle d’accès au lycée par reconnaissance faciale est illégal

Le 27 février 2020, le Tribunal administratif de Marseille a annulé une délibération du conseil régional de PACA lançant l’expérimentation du contrôle d’accès par reconnaissance faciale. Le Tribunal a jugé que le consentement des lycéens au traitement de leurs données biométriques n’était pas assorti de garanties suffisantes eu égard à l’autorité exercée sur eux par les établissements, et que la région aurait dû démontrer que la fluidification et la sécurisation des contrôles ne pouvaient être atteintes par des moyens moins intrusifs.

Pour lire le jugement sur Legalis.net

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Absence de répression de la diffusion d’une photographie intime prise avec consentement

Par un arrêt du 16 mars 2016, la Cour de cassation a jugé, à l’occasion d’un litige qui opposait un particulier à son ex-compagne, que “n’est pas pénalement réprimé le fait de diffuser [sur internet], sans son accord, l’image d’une personne réalisée dans un lieu privé avec son consentement”. La Cour a considéré que la photographie, représentant l’ex-compagne nue, ayant été prise à l’époque de leur vie commune avec son consentement, sa diffusion ne pouvait être réprimée par les articles 226-1 et 226-2 du Code pénal, qui sanctionnent  la diffusion de l’image d’une personne prise dans un lieu privé et sans son consentement.

 Pour lire l’arrêt sur Legalis.net