Le Conseil d’État rejette la demande de suspension du Health Data Hub (HDH)

Le 13 octobre 2020, le Conseil d’État a jugé que le traitement des données de santé, hébergées dans l’Union européenne, par une plateforme liée par contrat à Microsoft, ne portait pas une "atteinte grave et manifestement illégale" au droit au respect de la vie privée, en raison de l’interdiction contractuelle des transferts de données hors Union européenne. Cependant, eu égard au risque de demandes de transferts des autorités américaines, le Conseil a ordonné au HDH d’adopter des garanties supplémentaires dans l’attente d’une solution pérenne.

Pour lire l'ordonnance du Conseil d’État

La transmission de données du fichier « OCEAN » à un parlementaire est illicite

Par deux délibérations du 3 septembre 2020, la formation restreinte de la CNIL a décidé que la communication, par un rectorat à une députée, de données personnelles recueillies aux fins de gestion des examens et concours scolaires est contraire au principe de licéité des traitements. La CNIL a considéré que la députée n’était pas autorisée à recevoir de telles données et que celles-ci ont été transmises "dans des conditions non sécurisées" et "sans forme de contrôle a priori". Les contrevenants ont été sanctionnés par un rappel à l’ordre.

Pour lire la première et la seconde délibérations de la CNIL

La CNIL publie une charte des contrôles

Le 1er septembre 2020, la CNIL a publié une charte rappelant, entre autres, les pouvoirs de la CNIL en matière de contrôle des règles relatives à la protection des données personnelles, le déroulement de la procédure ainsi que les droits et obligations des organismes contrôlés. Ces organismes doivent notamment coopérer avec les contrôleurs et communiquer toutes pièces et explications demandées dans des délais raisonnables.

Pour lire la charte de la CNIL

La CNIL rend un avis sur les traitements SI-DEP, ContactCovid et StopCovid

Dans un avis rendu public le 14 septembre 2020, la CNIL a considéré que dans l’ensemble, les dispositifs SI-DEP, ContactCovid et StopCovid respectaient les bonnes pratiques à adopter en cas de traitement de données et a rappelé que ces systèmes subsisteront tant que ces traitements seront nécessaires à la lutte contre la pandémie. La CNIL a également indiqué que ces dispositifs continueront de faire l’objet de contrôles afin de s’assurer de leur conformité au RGPD.

Pour lire l'avis de la CNIL

La CNIL publie un livre blanc sur les assistants vocaux

Le 7 septembre 2020, la CNIL a publié un livre blanc à destination des professionnels et des utilisateurs présentant les enjeux éthiques, techniques et juridiques de ces technologies. La voix étant une donnée biométrique, le livre blanc insiste notamment sur le respect de la vie privée et sur la protection des données personnelles. Afin de garantir la confidentialité de leurs échanges, les utilisateurs peuvent par exemple couper leur microphone ou supprimer l’historique des données enregistrées.

Pour lire le livre blanc de la CNIL

La CNIL a mis en demeure plusieurs entreprises pour utilisation de badgeuses photographiques

Dans un communiqué du 27 août 2020, la CNIL a annoncé avoir mis en demeure plusieurs organismes du secteur privé et du secteur public pour collecte excessive de données en raison de leur utilisation de badgeuses intégrant "une prise de photographie systématique à chaque pointage". La CNIL a notamment indiqué que l’usage de badgeuses photo afin de contrôler les horaires de travail des salariés est contraire au principe de minimisation prévu par le RGPD et n’est pas nécessaire au regard de cette finalité.

Pour lire le communiqué de la CNIL

La CNIL rappelle la législation concernant la « verbalisation par lecture automatisée des plaques d’immatriculation »

Le 25 août 2020, la CNIL a rappelé aux communes qu’en vertu de l’arrêté du 14 avril 2009, le recours à la "verbalisation automatisée reposant sur la photographie du véhicule et de sa plaque d’immatriculation pour la recherche et la constatation d’infractions" est interdit. La CNIL indique qu’un tel dispositif peut être mis en place par les communes dans le cadre du "contrôle du forfait de post-stationnement" mais non pour "l’exercice du pouvoir de police judiciaire par les communes". Les communes ne respectant ce cadre légal ont été mises en demeure.

Pour lire le communiqué de la CNIL

La Cour de justice de l’Union européenne (CJUE) invalide le Privacy Shield

Par arrêt préjudiciel du 16 juillet 2020, la CJUE a invalidé la décision de la Commission européenne ayant constaté l’adéquation de la protection des données personnelles offerte par le Privacy Shield. La CJUE a considéré que les Etats-Unis n’encadraient pas suffisamment l’accès par les autorités américaines aux données transférées et ne conféraient pas aux personnes concernées de droits opposables devant les tribunaux américains. Elle a toutefois considéré que les clauses contractuelles types demeuraient valides.

Pour lire l'arrêt de la CJUE

Une commune enjointe de cesser d’utiliser des caméras thermiques

Par ordonnance du 26 juin 2020, le Conseil d’État a considéré que les données recueillies par caméras thermiques, dès lors qu’elles concernent des personnes identifiables et qu’elles permettent d’apprécier leur état de santé, constituent des données personnelles. Il a donc ordonné à une commune, qui ne démontrait pas l’existence d’un intérêt public important et n’avait pas recueilli le consentement libre, spécifique et éclairé de ses administrés, de mettre fin à leur utilisation.

Pour lire la décision du Conseil d’État

La CNIL publie des recommandations sur l’anonymisation des données

Le 19 mai 2020, la CNIL a indiqué que les autorités européennes ont défini trois critères permettant de s’assurer de l’anonymisation de données : l’impossibilité d’individualiser une personne dans un jeu de données, l’impossibilité de corréler des jeux de données distincts sur une même personne, et l’impossibilité de déduire de nouvelles informations sur un individu. S’il ne peut remplir parfaitement ces trois critères, le responsable de traitement doit "démontrer (…) que le risque de ré-identification avec des moyens raisonnables est nul".

Pour lire le communiqué de la CNIL