Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Délégation de compétence pour la réponse à une demande d’opposition

Par un arrêt du 27 juin 2016, le Conseil d’Etat a infirmé l’annulation de deux décisions par lesquelles un inspecteur de l’académie, directeur des services départementaux de l’éducation nationale, avait rejeté une demande d’opposition à traitement formulée par la mère de deux écoliers relativement à des traitements sur la gestion administrative et pédagogique de ces derniers. Le Conseil d’Etat a jugé que si en principe le responsable du traitement, en l’occurrence le ministre chargé de l’éducation, est la personne auprès de laquelle s’exerce le droit d’opposition, “ni [la loi Informatique et Libertés], ni le décret (…) pris pour son application ne font obstacle à ce qu’[il] délègue sa compétence en la matière”. En l’espèce, au regard des dispositions du code de l’éducation “la compétence en matière d’exercice du droit d’opposition [devait] être regardée comme étant exercée à l’échelon départemental”. L’arrêt du Conseil d’Etat énonce que la Cour administrative d’appel de Paris a commis une “erreur de droit en considérant que ni l’inspecteur d’académie, ni le recteur de l’académie de Paris n’avaient compétence pour rejeter l’opposition”.

Pour lire l’arrêt du Conseil d’Etat

Décret sur les téléservices permettant la saisine de l’administration par voie électronique

Un décret du 27 mai 2016 aménage le cadre dans lequel l’Etat et ses établissements publics à caractère administratif peuvent créer des téléservices permettant aux usagers de les saisir par voie électronique dans le respect de la loi informatique et libertés. Le décret précise que l’accès aux données enregistrées et traitées dans les téléservices s’effectue par des agents habilités à instruire les saisines et procédures administratives transmises par voie électronique, et que la durée de conservation de ces données ne peut pas excéder de deux ans le délai d’instruction des saisines.

 Pour lire le décret sur Légifrance

Clôture de la mise en demeure de la CNIL à l’encontre d’un site de rencontre

Par une lettre du 30 mars 2016, la CNIL a clôturé la mise en demeure qu’elle avait adressée le 24 juin 2015 à une société éditrice d’un site de rencontre de se conformer aux dispositions de la Loi Informatique et Libertés. La CNIL a notamment constaté que la société avait inséré “des mentions d’information complètes sur tous ses formulaires de collecte de données”, qu’elle recueillait désormais “le consentement exprès des personnes à la collecte de données sensibles grâce à une case à cocher spécifique” et qu’elle avait également “modifié sa politique de conservation des données (…) afin d’assurer une suppression effective des profils des internautes ayant clôturé leur compte”.

Pour lire le communiqué de la CNIL

Analyse par le G29 des conséquences de la décision invalidant le Safe Harbor

Dans un communiqué du 3 février 2016, le G29 a salué l’annonce de la conclusion, dans le délai fixé, d’un accord politique entre les Etats-Unis et la Commission Européenne sur le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Le G29 a demandé à la Commission de lui communiquer l’accord avant la fin du mois de février pour l’analyser au regard des 4 garanties essentielles qu’il a identifiées dans la décision de la CJUE invalidant le Safe Harbor. Ainsi, le G29 rappelle que "les traitements doivent reposer sur des règles claires précises et compréhensibles", "la proportionnalité au regard de la finalité poursuivie doit être démontrée", "un mécanisme de contrôle indépendant doit exister" et "une possibilité de recours effectif doit être offerte aux citoyens".

Pour lire le communiqué du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Protection des données à caractère personnel des actes d’état civil lors d’une vérification par l’Administration

Un arrêté du 19 janvier 2016 relatif aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil a été publié le 28 janvier 2016. L’arrêté fixe les garanties auxquelles sont désormais soumises les procédures sécurisées relatives à la vérification par l’Administration des données à caractère personnel contenues dans les actes de l’état civil lorsqu’elles sont effectuées par voie électronique. Il énumère ainsi les mesures de sécurité que la plate-forme permettant la mise en œuvre de la procédure de communication électronique des données de l’état civil doit mettre en place.

Pour lire l’arrêté sur Légifrance  

Adoption définitive du projet de loi santé par l’Assemblée Nationale

L’Assemblée Nationale a définitivement adopté, le 17 décembre 2015, le projet de loi de modernisation du système de santé. Ce projet vise à “simplifier la législation en matière de traitement des données de santé à caractère personnel” en remplaçant notamment la procédure d’agrément des hébergeurs de données de santé par une procédure de certification et en encadrant les conditions de destruction des dossiers médicaux une fois ceux-ci numérisés. Il prévoit également la refonte du dossier médical partagé dans le respect du secret médical et renforce le droit au respect de la vie privée et du secret des informations concernant les personnes prises en charge par un professionnel de santé. Le texte a fait l’objet d’une saisine du Conseil constitutionnel en date du 21 décembre 2015.

Pour lire le projet de loi sur le site de l’Assemblée Nationale