La Commission européenne adopte une décision d’adéquation relative au système japonais de protection des données personnelles

Par cette décision adoptée le 23 janvier 2019, la Commission européenne ouvre la voie au transfert sécurisé de données personnelles entre le Japon et l’Union européenne. Le Japon a en effet mis en place des garanties supplémentaires, notamment un ensemble de règles permettant de réduire les différences entre les deux systèmes de protection ainsi qu’un mécanisme de traitement des plaintes des Européens concernant l’accès à leurs données par les autorités japonaises. Cette décision d’adéquation assure aux responsables de traitement "que les données transférées de l'Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes". Tout comme la décision japonaise équivalente, elle est entrée en application ce 23 janvier 2019. Un premier réexamen conjoint aura lieu dans deux ans, afin de s’assurer du fonctionnement de ce cadre.

Pour lire le communiqué de presse de la Commission européenne

La Cour de cassation rappelle les conditions de la géolocalisation des salariés

Dans un arrêt du 19 décembre 2018, la Cour de cassation a rappelé que selon l’article L.1121-1 du code du travail, "nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché". Un syndicat de postiers contestait la licéité d’un système de géolocalisation enregistrant "la localisation des distributeurs toutes les dix secondes au moyen d’un boîtier mobile que les distributeurs portent sur eux lors de leur tournée et qu’ils activent eux-mêmes". La Cour a souligné que l’utilisation d’un tel moyen de contrôle de la durée du travail n’était licite que s’il ne pouvait être opéré par un autre moyen, "fût-il moins efficace que la géolocalisation". Elle a également jugé que le recours à un tel système ne pouvait être justifié "lorsque le salarié dispose d’une liberté dans l’organisation de son travail".

 Pour lire l’arrêt sur Légifrance

Le Conseil d’Etat valide le fichier « Titres électroniques sécurisés »

Par un arrêt du 18 octobre 2018, le Conseil d’Etat a rejeté la demande d’annulation pour excès de pouvoir qui avait été introduite à l’encontre du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Le Conseil a considéré que "la collecte des images numérisées du visage et des empreintes digitales des titulaires de passeports ou de cartes nationales d'identité, sans que soit requis le consentement mentionné à l'article 6 de la loi du 6 janvier 1978, et la centralisation de leur traitement informatisé, compte tenu des restrictions et précautions dont ce traitement est assorti, sont en adéquation avec les finalités légitimes du traitement ainsi institué et ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l'ordre public en vue desquels ce traitement a été créé".

Pour lire l’arrêt sur Légifrance

Prédication de porte-à-porte : la communauté religieuse est responsable du traitement des données des personnes démarchées

Sur saisine de la Cour administrative suprême finlandaise, la CJUE a eu l’occasion, dans un arrêt du 10 juillet 2018, de juger que la notion de “fichier” au sens de la Directive de 1995 sur les données à caractère personnel couvrait bien un “ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées” et que la communauté religieuse devait être considérée comme responsable de ce traitement conjointement avec ses membres prédicateurs, “sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements”.

Pour lire l’arrêt sur Legalis.net

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Validation par la CEDH d’une interdiction de traiter et publier des masses de données fiscales

Dans un arrêt rendu par sa Grande Chambre le 27 juin 2017, la CEDH a confirmé les décisions rendues par les juridictions finlandaises au sujet de l’interdiction faite par les autorités finlandaises à l’encontre de deux sociétés de médias de traiter et de publier des données fiscales en quantité importante. La CEDH a ainsi estimé que si cette interdiction constituait une ingérence dans le droit des sociétés finlandaises au regard de l’article 10 de la CEDH relatif à la liberté d’expression, il n’y avait toutefois pas eu violation de cet article dès lors que cette ingérence était “prévue par la loi”, poursuivait un but légitime de “protection de la réputation ou des droits d’autrui” et était nécessaire dans une société démocratique, car elle ménageait un juste équilibre entre le droit à la vie privée et le droit à la liberté d’expression. Cependant, la Cour a conclu à la violation de l’article 6 § 1 de la CEDH relatif au droit à un procès équitable à raison de la durée excessive de la procédure, qui a duré plus de huit ans.

Pour lire l’arrêt de la CEDH

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Publication du référentiel d’exigences applicables aux prestataires en matière de cloud

Le 8 décembre 2016, l’ANSSI a publié une version finalisée de son référentiel d’exigences “niveau Essentiel” applicables aux prestataires de services d’informatique en nuage. Ce document a pour objet la qualification de ces prestataires et permet d’attester de leurs compétences et de la qualité de leurs prestations par leur conformité aux exigences du référentiel. Ce référentiel, qui correspond à “un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client”, sera complété par un second document, de “niveau Avancé“, qui concernera les incidents ayant une conséquence importante pour le client. Parmi les dispositions du référentiel, on trouve notamment l’exigence d’un hébergement et d’un traitement des données du client au sein de l’Union européenne ainsi que l’obligation pour le prestataire de réviser annuellement sa politique de sécurité de l’information et l’appréciation des risques, cette révision devant également se faire “à chaque changement majeur pouvant avoir un impact sur le service”.

Pour lire le communiqué  sur le site de l’ANSSI

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)