Le gouvernement publie un décret autorisant le système d’information « Vaccin Covid »

Le décret n°2020-1690 du 25 décembre 2020 autorise un traitement de données personnelles relatif aux vaccinations contre la Covid-19. Ce traitement a pour finalité d’assurer l’organisation et le suivi de la campagne vaccinale, motif d’intérêt public justifiant le traitement de données de santé au sens de l’article 9 du RGPD. Le décret assure notamment le droit à l’information des personnes concernées et l’exercice, sous conditions, de leur droit d’opposition. Le droit à l’effacement des données est néanmoins inapplicable à ce traitement.

Pour lire le décret sur Légifrance

Le Conseil d’Etat suspend l’utilisation de drones à des fins de police administrative

Le 22 décembre 2020, le Conseil d’Etat a enjoint à la préfecture de police de Paris de cesser de surveiller les manifestations par drones. Il a jugé que le fait que seules des images floutées parviennent au centre de commandement ne changeait pas le caractère personnel des données traitées et que, faute d’un texte autorisant ce traitement, il existait un doute sérieux sur la légalité du dispositif. Il a jugé urgent de suspendre cette pratique eu égard au nombre de personnes concernées et à l’atteinte susceptible d’être portée à la liberté de manifestation.

Pour lire la décision du Conseil d’Etat

L’adresse IP d’un salarié peut constituer une preuve illicite

Dans un arrêt du 25 novembre 2020 rendu sous l’empire de la Loi Informatique et Libertés dans sa version antérieure au RGPD, la Cour de cassation a jugé que l’adresse IP d’un salarié doit être considérée comme une donnée personnelle dont le traitement doit être déclaré à la CNIL. En l’absence de déclaration, la production de l’adresse IP d’un salarié pour justifier son licenciement constitue un moyen de preuve illicite, qui peut cependant être recevable si sa production est indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.

Pour lire l'arrêt de la Cour de cassation

Le Conseil d’État rejette le recours d’une plateforme de location immobilière

Le 4 novembre 2020, le Conseil d’État a confirmé la sanction de 400 000 euros prononcée par la CNIL à l’égard d’une plateforme de location immobilière. En effet, le défaut de sécurité du site de la société a permis à des tiers non autorisés d’accéder, par simple modification des adresses URL, à "plusieurs centaines de milliers de documents" comportant des données personnelles des candidats à la location de logement. Ces données étaient également conservées pour une durée excessive au regard de la finalité poursuivie par leur traitement.

Pour lire la décision du Conseil d’État

Le Conseil d’État valide le décret sur l’Authentification en ligne certifiée sur mobile (Alicem)

Le 4 novembre 2020, le Conseil d’État a indiqué que le décret sur la solution d’identité numérique Alicem recourant à la reconnaissance faciale était conforme au RGPD et à la Loi Informatique et Libertés. En effet, le consentement des utilisateurs au traitement de données biométriques était libre car ceux "qui ne consentiraient pas au[dit] traitement peuvent accéder en ligne" aux téléservices, grâce à un identifiant unique généré par un dispositif n’utilisant pas la reconnaissance faciale. Ainsi, "le préjudice au sens du [RGPD]" n’est pas caractérisé.

Pour lire la décision du Conseil d’État

La CNIL publie sa position sur l’application « TousAntiCovid »

Le 23 octobre 2020, la CNIL a indiqué que le déploiement de l’application de traçage des cas contacts, remplaçant "StopCovid", "ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation [de la nouvelle application]". Celle-ci reprend en effet le protocole antérieur "conçu dans une logique de minimisation des données et de protection dès la conception".

Pour lire le communiqué de la CNIL

   

La Cour de justice de l’Union européenne (CJUE) invalide le Privacy Shield

Par arrêt préjudiciel du 16 juillet 2020, la CJUE a invalidé la décision de la Commission européenne ayant constaté l’adéquation de la protection des données personnelles offerte par le Privacy Shield. La CJUE a considéré que les Etats-Unis n’encadraient pas suffisamment l’accès par les autorités américaines aux données transférées et ne conféraient pas aux personnes concernées de droits opposables devant les tribunaux américains. Elle a toutefois considéré que les clauses contractuelles types demeuraient valides.

Pour lire l'arrêt de la CJUE

Une commune enjointe de cesser d’utiliser des caméras thermiques

Par ordonnance du 26 juin 2020, le Conseil d’État a considéré que les données recueillies par caméras thermiques, dès lors qu’elles concernent des personnes identifiables et qu’elles permettent d’apprécier leur état de santé, constituent des données personnelles. Il a donc ordonné à une commune, qui ne démontrait pas l’existence d’un intérêt public important et n’avait pas recueilli le consentement libre, spécifique et éclairé de ses administrés, de mettre fin à leur utilisation.

Pour lire la décision du Conseil d’État

La CNIL publie des recommandations sur l’anonymisation des données

Le 19 mai 2020, la CNIL a indiqué que les autorités européennes ont défini trois critères permettant de s’assurer de l’anonymisation de données : l’impossibilité d’individualiser une personne dans un jeu de données, l’impossibilité de corréler des jeux de données distincts sur une même personne, et l’impossibilité de déduire de nouvelles informations sur un individu. S’il ne peut remplir parfaitement ces trois critères, le responsable de traitement doit "démontrer (…) que le risque de ré-identification avec des moyens raisonnables est nul".

Pour lire le communiqué de la CNIL

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat