La CNIL publie des recommandations sur l’anonymisation des données

Le 19 mai 2020, la CNIL a indiqué que les autorités européennes ont défini trois critères permettant de s’assurer de l’anonymisation de données : l’impossibilité d’individualiser une personne dans un jeu de données, l’impossibilité de corréler des jeux de données distincts sur une même personne, et l’impossibilité de déduire de nouvelles informations sur un individu. S’il ne peut remplir parfaitement ces trois critères, le responsable de traitement doit "démontrer (…) que le risque de ré-identification avec des moyens raisonnables est nul".

Pour lire le communiqué de la CNIL

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat

La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai

La CNIL émet des recommandations sur la réutilisation de données à des fins de prospection commerciale

Le 30 avril 2020, à la suite de plaintes d’internautes, la CNIL a indiqué les règles applicables à la collecte de données personnelles publiquement accessibles en ligne (issues notamment de petites annonces ou d’annuaires) et à leur réutilisation à des fins de démarchage. La CNIL rappelle notamment que la licéité de telles pratiques est conditionnée à l’information des personnes concernées lors de la prise de contact, au recueil de leur consentement et au respect de leur droit d’opposition.

Pour lire le communiqué de la CNIL

Le Conseil fédéral de la Suisse signe la Convention du Conseil de l’Europe sur la protection des données personnelles

Le 30 octobre 2019, le Conseil fédéral de la Suisse a signé un protocole d’amendement à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données personnelles. Ce texte “renforce la protection dont jouissent les Suisses lorsque leurs données personnelles sont traitées dans un Etat partie”. Son adoption devrait être prise en compte par l’Union européenne dans la future décision d'adéquation concernant le niveau de protection des données en Suisse.

 Pour lire le communiqué du Conseil fédéral de la Suisse

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

Précisions sur les conditions du droit au déréférencement en matière de données sensibles

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que “lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel [dites sensibles] sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, (…) vérifier (…), si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche”.

  Pour lire la décision de la Cour de justice de l’Union européenne

Le déréférencement opéré par un moteur de recherche doit couvrir l’ensemble du territoire de l’Union européenne

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que  “lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement (…), il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres  d’avoir accès (…) aux liens qui font l’objet de cette demande”

  Pour lire la décision de la Cour de justice de l’Union européenne

La Commission européenne adopte une décision d’adéquation relative au système japonais de protection des données personnelles

Par cette décision adoptée le 23 janvier 2019, la Commission européenne ouvre la voie au transfert sécurisé de données personnelles entre le Japon et l’Union européenne. Le Japon a en effet mis en place des garanties supplémentaires, notamment un ensemble de règles permettant de réduire les différences entre les deux systèmes de protection ainsi qu’un mécanisme de traitement des plaintes des Européens concernant l’accès à leurs données par les autorités japonaises. Cette décision d’adéquation assure aux responsables de traitement "que les données transférées de l'Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes". Tout comme la décision japonaise équivalente, elle est entrée en application ce 23 janvier 2019. Un premier réexamen conjoint aura lieu dans deux ans, afin de s’assurer du fonctionnement de ce cadre.

Pour lire le communiqué de presse de la Commission européenne

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance