Le Conseil d’Etat valide le fichier « Titres électroniques sécurisés »

Par un arrêt du 18 octobre 2018, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir qui avait été introduite à l’encontre du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Le Conseil a considéré que "la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé".

Pour lire l’arrêt sur Légifrance

Prédication de porte-à-porte : la communauté religieuse est responsable du traitement des données des personnes démarchées

Sur saisine de la Cour administrative suprême finlandaise, la CJUE a eu l’occasion, dans un arrêt du 10 juillet 2018, de juger que la notion de “fichier” au sens de la Directive de 1995 sur les données à caractère personnel couvrait bien un “ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées” et que la communauté religieuse devait être considérée comme responsable de ce traitement conjointement avec ses membres prédicateurs, “sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements”.

Pour lire l’arrêt sur Legalis.net

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Validation par la CEDH d’une interdiction de traiter et publier des masses de données fiscales

Dans un arrêt rendu par sa Grande Chambre le 27 juin 2017, la CEDH a confirmé les décisions rendues par les juridictions finlandaises au sujet de l’interdiction faite par les autorités finlandaises à l’encontre de deux sociétés de médias de traiter et de publier des données fiscales en quantité importante. La CEDH a ainsi estimé que si cette interdiction constituait une ingérence dans le droit des sociétés finlandaises au regard de l’article 10 de la CEDH relatif à la liberté d’expression, il n’y avait toutefois pas eu violation de cet article dès lors que cette ingérence était “prévue par la loi”, poursuivait un but légitime de “protection de la réputation ou des droits d’autrui” et était nécessaire dans une société démocratique, car elle ménageait un juste équilibre entre le droit à la vie privée et le droit à la liberté d’expression. Cependant, la Cour a conclu à la violation de l’article 6 § 1 de la CEDH relatif au droit à un procès équitable à raison de la durée excessive de la procédure, qui a duré plus de huit ans.

Pour lire l’arrêt de la CEDH

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Délégation de compétence pour la réponse à une demande d’opposition

Par un arrêt du 27 juin 2016, le Conseil d’Etat a infirmé l’annulation de deux décisions par lesquelles un inspecteur de l’académie, directeur des services départementaux de l’éducation nationale, avait rejeté une demande d’opposition à traitement formulée par la mère de deux écoliers relativement à des traitements sur la gestion administrative et pédagogique de ces derniers. Le Conseil d’Etat a jugé que si en principe le responsable du traitement, en l’occurrence le ministre chargé de l’éducation, est la personne auprès de laquelle s’exerce le droit d’opposition, “ni [la loi Informatique et Libertés], ni le décret (…) pris pour son application ne font obstacle à ce qu’[il] délègue sa compétence en la matière”. En l’espèce, au regard des dispositions du code de l’éducation “la compétence en matière d’exercice du droit d’opposition [devait] être regardée comme étant exercée à l’échelon départemental”. L’arrêt du Conseil d’Etat énonce que la Cour administrative d’appel de Paris a commis une “erreur de droit en considérant que ni l’inspecteur d’académie, ni le recteur de l’académie de Paris n’avaient compétence pour rejeter l’opposition”.

Pour lire l’arrêt du Conseil d’Etat

Décret sur les téléservices permettant la saisine de l’administration par voie électronique

Un décret du 27 mai 2016 aménage le cadre dans lequel l’Etat et ses établissements publics à caractère administratif peuvent créer des téléservices permettant aux usagers de les saisir par voie électronique dans le respect de la loi informatique et libertés. Le décret précise que l’accès aux données enregistrées et traitées dans les téléservices s’effectue par des agents habilités à instruire les saisines et procédures administratives transmises par voie électronique, et que la durée de conservation de ces données ne peut pas excéder de deux ans le délai d’instruction des saisines.

 Pour lire le décret sur Légifrance