Clôture de la mise en demeure de la CNIL à l’encontre d’un site de rencontre

Par une lettre du 30 mars 2016, la CNIL a clôturé la mise en demeure qu’elle avait adressée le 24 juin 2015 à une société éditrice d’un site de rencontre de se conformer aux dispositions de la Loi Informatique et Libertés. La CNIL a notamment constaté que la société avait inséré “des mentions d’information complètes sur tous ses formulaires de collecte de données”, qu’elle recueillait désormais “le consentement exprès des personnes à la collecte de données sensibles grâce à une case à cocher spécifique” et qu’elle avait également “modifié sa politique de conservation des données (…) afin d’assurer une suppression effective des profils des internautes ayant clôturé leur compte”.

Pour lire le communiqué de la CNIL

Données biométriques : conservation et utilisation au-delà de la finalité du traitement

Par un arrêt du 16 avril 2015, la CJUE a statué à titre préjudiciel sur l’interprétation du règlement du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et documents de voyage délivrés par les Etats membres. En l’espèce, des citoyens néerlandais avaient refusé de fournir leurs empreintes digitales pour la délivrance de leurs passeports et cartes d’identité, estimant que la saisie et la conservation de celles-ci sur trois supports distincts, et pas uniquement sur le support intégré dans les papiers d’identité, ainsi que le fait que les autorités “pourraient utiliser à l’avenir les données biométriques à d’autres fins que celles pour lesquelles ils les ont fournies”, constituaient une “atteinte importante à leur intégrité physique et à leur droit à la protection de la vie privée”. La CJUE a considéré que le règlement n’était pas applicable aux cartes d’identité et qu’il n’obligeait pas un Etat membre “à garantir, dans sa législation, que les données biométriques ne [seraient] ni utilisées ni conservées par cet Etat à des fins autres que la délivrance du passeport”.

Pour lire l’arrêt de la CJUE

Légalité du décret sur la conservation des données d’identification

Dans un arrêt du 20 novembre 2013, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir d’articles du décret du 25 février 2011 « relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne ». Ce décret fixe la liste des données devant être conservées par les FAI et les hébergeurs au titre de l’article 6.II de la LCEN, ainsi que les modalités de leur conservation. En application de l’article 32 de la loi « informatique et libertés » qui prévoit des exceptions au principe d’obligation d’information des personnes dont les données sont collectées, notamment dans le cadre de réquisitions judiciaires ou administratives, le Conseil d’Etat a précisé que c’était à bon droit que le décret « ne prévo[yait] ni d’informer, ni de recueillir le consentement des personnes concernées ».

Pour lire l’arrêt sur Légifrance.

Conservation des empreintes de personnes non condamnées : atteinte à la vie privée

Dans un arrêt du 18 avril 2013, la CEDH a considéré que le fait, pour la France, de conserver les empreintes digitales de personnes soupçonnées d’avoir commis des infractions, mais non condamnées, constituait une violation du droit au respect de la vie privée prévu par l’article 8 de la CESDH. Si la Cour a reconnu le but légitime de la prévention des infractions pénales, elle a en revanche estimé que la possibilité de demander un effacement de ses empreintes du fichier n’était pas effective et que la durée de conservation maximum de vingt-cinq ans pouvait être considérée comme une durée indéfinie eu égard aux chances de succès des demandes d’effacement. La CEDH a donc conclu qu’il s’agissait d’une atteinte disproportionnée au droit à la vie privée.

Pour lire la décision de la CEDH

E-commerce : nécessité de garanties renforcées pour la protection des données bancaires

Le 19 juillet 2012, la CNIL a prononcé un avertissement à l’égard d’une société de e-commerce pour avoir manqué à ses obligations de protection des données de ses clients. La Commission a ainsi constaté un manquement aux obligations de sécurité et de confidentialité des données, ainsi qu’au respect d’une durée de conservation des données bancaires proportionnée à la finalité du traitement, aucune durée, ni purge, n’ayant été définie. Celle-ci ne respectait pas non plus son obligation de recueillir le consentement des clients à la conservation de leurs données bancaires en mettant en place un « portefeuille électronique », cette conservation allant au-delà d’une prestation de vente en ligne.

Pour lire le communiqué sur le site de la CNIL

Avis de la Cnil sur les conditions de conservation des données d’identification

La délibération du 20 décembre 2007, portant avis sur le projet de décret  relatif à la conservation d'informations par les hébergeurs et les Fournisseurs d'Accès Internet (FAI), a été publiée le 3 mars 2011. La Cnil souligne notamment l’imprécision du texte sur les catégories des personnes assujetties à cette obligation de conservation.

Pour consulter l’avis sur le site de la Cnil

 

Règles de conservation des données d’identification précisée par décret

Le décret d’application de la loi pour la confiance dans l’économie numérique de 2004 (LCEN) portant sur l’obligation de conservation des données d’identification par les créateurs de contenus en ligne a été publié au Journal officiel du 1er mars 2011. Il précise les informations qui doivent être conservées pour chaque opération, qu’il s’agisse de création initiale, de modification de contenus ou de suppression.

Pour consulter le décret sur le site de Légifrance