Le Conseil fédéral de la Suisse signe la Convention du Conseil de l’Europe sur la protection des données personnelles

Le 30 octobre 2019, le Conseil fédéral de la Suisse a signé un protocole d’amendement à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données personnelles. Ce texte “renforce la protection dont jouissent les Suisses lorsque leurs données personnelles sont traitées dans un Etat partie”. Son adoption devrait être prise en compte par l’Union européenne dans la future décision d'adéquation concernant le niveau de protection des données en Suisse.

 Pour lire le communiqué du Conseil fédéral de la Suisse

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

Précisions sur les conditions du droit au déréférencement en matière de données sensibles

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que “lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel [dites sensibles] sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, (…) vérifier (…), si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche”.

  Pour lire la décision de la Cour de justice de l’Union européenne

Le déréférencement opéré par un moteur de recherche doit couvrir l’ensemble du territoire de l’Union européenne

Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne a jugé que  “lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement (…), il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres  d’avoir accès (…) aux liens qui font l’objet de cette demande”

  Pour lire la décision de la Cour de justice de l’Union européenne

La Commission européenne adopte une décision d’adéquation relative au système japonais de protection des données personnelles

Par cette décision adoptée le 23 janvier 2019, la Commission européenne ouvre la voie au transfert sécurisé de données personnelles entre le Japon et l’Union européenne. Le Japon a en effet mis en place des garanties supplémentaires, notamment un ensemble de règles permettant de réduire les différences entre les deux systèmes de protection ainsi qu’un mécanisme de traitement des plaintes des Européens concernant l’accès à leurs données par les autorités japonaises. Cette décision d’adéquation assure aux responsables de traitement "que les données transférées de l'Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes". Tout comme la décision japonaise équivalente, elle est entrée en application ce 23 janvier 2019. Un premier réexamen conjoint aura lieu dans deux ans, afin de s’assurer du fonctionnement de ce cadre.

Pour lire le communiqué de presse de la Commission européenne

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance

Le Conseil d’Etat valide le fichier « Titres électroniques sécurisés »

Par un arrêt du 18 octobre 2018, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir qui avait été introduite à l’encontre du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Le Conseil a considéré que "la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé".

Pour lire l’arrêt sur Légifrance

Prédication de porte-à-porte : la communauté religieuse est responsable du traitement des données des personnes démarchées

Sur saisine de la Cour administrative suprême finlandaise, la CJUE a eu l’occasion, dans un arrêt du 10 juillet 2018, de juger que la notion de “fichier” au sens de la Directive de 1995 sur les données à caractère personnel couvrait bien un “ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées” et que la communauté religieuse devait être considérée comme responsable de ce traitement conjointement avec ses membres prédicateurs, “sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements”.

Pour lire l’arrêt sur Legalis.net

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Validation par la CEDH d’une interdiction de traiter et publier des masses de données fiscales

Dans un arrêt rendu par sa Grande Chambre le 27 juin 2017, la CEDH a confirmé les décisions rendues par les juridictions finlandaises au sujet de l’interdiction faite par les autorités finlandaises à l’encontre de deux sociétés de médias de traiter et de publier des données fiscales en quantité importante. La CEDH a ainsi estimé que si cette interdiction constituait une ingérence dans le droit des sociétés finlandaises au regard de l’article 10 de la CEDH relatif à la liberté d’expression, il n’y avait toutefois pas eu violation de cet article dès lors que cette ingérence était “prévue par la loi”, poursuivait un but légitime de “protection de la réputation ou des droits d’autrui” et était nécessaire dans une société démocratique, car elle ménageait un juste équilibre entre le droit à la vie privée et le droit à la liberté d’expression. Cependant, la Cour a conclu à la violation de l’article 6 § 1 de la CEDH relatif au droit à un procès équitable à raison de la durée excessive de la procédure, qui a duré plus de huit ans.

Pour lire l’arrêt de la CEDH