La CNIL a mis en demeure plusieurs entreprises pour utilisation de badgeuses photographiques

Dans un communiqué du 27 août 2020, la CNIL a annoncé avoir mis en demeure plusieurs organismes du secteur privé et du secteur public pour collecte excessive de données en raison de leur utilisation de badgeuses intégrant "une prise de photographie systématique à chaque pointage". La CNIL a notamment indiqué que l’usage de badgeuses photo afin de contrôler les horaires de travail des salariés est contraire au principe de minimisation prévu par le RGPD et n’est pas nécessaire au regard de cette finalité.

Pour lire le communiqué de la CNIL

La CNIL rappelle la législation concernant la « verbalisation par lecture automatisée des plaques d’immatriculation »

Le 25 août 2020, la CNIL a rappelé aux communes qu’en vertu de l’arrêté du 14 avril 2009, le recours à la "verbalisation automatisée reposant sur la photographie du véhicule et de sa plaque d’immatriculation pour la recherche et la constatation d’infractions" est interdit. La CNIL indique qu’un tel dispositif peut être mis en place par les communes dans le cadre du "contrôle du forfait de post-stationnement" mais non pour "l’exercice du pouvoir de police judiciaire par les communes". Les communes ne respectant ce cadre légal ont été mises en demeure.

Pour lire le communiqué de la CNIL

La Cour de justice de l’Union européenne (CJUE) invalide le Privacy Shield

Par arrêt préjudiciel du 16 juillet 2020, la CJUE a invalidé la décision de la Commission européenne ayant constaté l’adéquation de la protection des données personnelles offerte par le Privacy Shield. La CJUE a considéré que les Etats-Unis n’encadraient pas suffisamment l’accès par les autorités américaines aux données transférées et ne conféraient pas aux personnes concernées de droits opposables devant les tribunaux américains. Elle a toutefois considéré que les clauses contractuelles types demeuraient valides.

Pour lire l'arrêt de la CJUE

Une commune enjointe de cesser d’utiliser des caméras thermiques

Par ordonnance du 26 juin 2020, le Conseil d’État a considéré que les données recueillies par caméras thermiques, dès lors qu’elles concernent des personnes identifiables et qu’elles permettent d’apprécier leur état de santé, constituent des données personnelles. Il a donc ordonné à une commune, qui ne démontrait pas l’existence d’un intérêt public important et n’avait pas recueilli le consentement libre, spécifique et éclairé de ses administrés, de mettre fin à leur utilisation.

Pour lire la décision du Conseil d’État

La CNIL publie des recommandations sur l’anonymisation des données

Le 19 mai 2020, la CNIL a indiqué que les autorités européennes ont défini trois critères permettant de s’assurer de l’anonymisation de données : l’impossibilité d’individualiser une personne dans un jeu de données, l’impossibilité de corréler des jeux de données distincts sur une même personne, et l’impossibilité de déduire de nouvelles informations sur un individu. S’il ne peut remplir parfaitement ces trois critères, le responsable de traitement doit "démontrer (…) que le risque de ré-identification avec des moyens raisonnables est nul".

Pour lire le communiqué de la CNIL

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat

La CNIL émet des recommandations relatives aux traitements de données pour la distribution des masques

Le 28 avril 2020, la CNIL a indiqué quels fichiers les communes pouvaient utiliser et quelles données pouvaient être traitées pour l’organisation et le suivi de la distribution de masques, et pour l’information des administrés. Les communes peuvent notamment utiliser les listes électorales et les registres d’alerte et d’information. Le 1ermai 2020, la CNIL a admis l’extraction de certaines données du fichier de la taxe d’habitation (identité, adresse, composition du foyer) aux fins de l’envoi des masques.

Pour lire les communiqués des 28 avril et 1ermai

La CNIL émet des recommandations sur la réutilisation de données à des fins de prospection commerciale

Le 30 avril 2020, à la suite de plaintes d’internautes, la CNIL a indiqué les règles applicables à la collecte de données personnelles publiquement accessibles en ligne (issues notamment de petites annonces ou d’annuaires) et à leur réutilisation à des fins de démarchage. La CNIL rappelle notamment que la licéité de telles pratiques est conditionnée à l’information des personnes concernées lors de la prise de contact, au recueil de leur consentement et au respect de leur droit d’opposition.

Pour lire le communiqué de la CNIL

Le Conseil fédéral de la Suisse signe la Convention du Conseil de l’Europe sur la protection des données personnelles

Le 30 octobre 2019, le Conseil fédéral de la Suisse a signé un protocole d’amendement à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données personnelles. Ce texte “renforce la protection dont jouissent les Suisses lorsque leurs données personnelles sont traitées dans un Etat partie”. Son adoption devrait être prise en compte par l’Union européenne dans la future décision d'adéquation concernant le niveau de protection des données en Suisse.

 Pour lire le communiqué du Conseil fédéral de la Suisse

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne