Décret sur les téléservices permettant la saisine de l’administration par voie électronique

Un décret du 27 mai 2016 aménage le cadre dans lequel l’Etat et ses établissements publics à caractère administratif peuvent créer des téléservices permettant aux usagers de les saisir par voie électronique dans le respect de la loi informatique et libertés. Le décret précise que l’accès aux données enregistrées et traitées dans les téléservices s’effectue par des agents habilités à instruire les saisines et procédures administratives transmises par voie électronique, et que la durée de conservation de ces données ne peut pas excéder de deux ans le délai d’instruction des saisines.

 Pour lire le décret sur Légifrance

Clôture de la mise en demeure de la CNIL à l’encontre d’un site de rencontre

Par une lettre du 30 mars 2016, la CNIL a clôturé la mise en demeure qu’elle avait adressée le 24 juin 2015 à une société éditrice d’un site de rencontre de se conformer aux dispositions de la Loi Informatique et Libertés. La CNIL a notamment constaté que la société avait inséré “des mentions d’information complètes sur tous ses formulaires de collecte de données”, qu’elle recueillait désormais “le consentement exprès des personnes à la collecte de données sensibles grâce à une case à cocher spécifique” et qu’elle avait également “modifié sa politique de conservation des données (…) afin d’assurer une suppression effective des profils des internautes ayant clôturé leur compte”.

Pour lire le communiqué de la CNIL

Analyse par le G29 des conséquences de la décision invalidant le Safe Harbor

Dans un communiqué du 3 février 2016, le G29 a salué l’annonce de la conclusion, dans le délai fixé, d’un accord politique entre les Etats-Unis et la Commission Européenne sur le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Le G29 a demandé à la Commission de lui communiquer l’accord avant la fin du mois de février pour l’analyser au regard des 4 garanties essentielles qu’il a identifiées dans la décision de la CJUE invalidant le Safe Harbor. Ainsi, le G29 rappelle que "les traitements doivent reposer sur des règles claires précises et compréhensibles", "la proportionnalité au regard de la finalité poursuivie doit être démontrée", "un mécanisme de contrôle indépendant doit exister" et "une possibilité de recours effectif doit être offerte aux citoyens".

Pour lire le communiqué du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Protection des données à caractère personnel des actes d’état civil lors d’une vérification par l’Administration

Un arrêté du 19 janvier 2016 relatif aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil a été publié le 28 janvier 2016. L’arrêté fixe les garanties auxquelles sont désormais soumises les procédures sécurisées relatives à la vérification par l’Administration des données à caractère personnel contenues dans les actes de l’état civil lorsqu’elles sont effectuées par voie électronique. Il énumère ainsi les mesures de sécurité que la plate-forme permettant la mise en œuvre de la procédure de communication électronique des données de l’état civil doit mettre en place.

Pour lire l’arrêté sur Légifrance  

Adoption définitive du projet de loi santé par l’Assemblée Nationale

L’Assemblée Nationale a définitivement adopté, le 17 décembre 2015, le projet de loi de modernisation du système de santé. Ce projet vise à “simplifier la législation en matière de traitement des données de santé à caractère personnel” en remplaçant notamment la procédure d’agrément des hébergeurs de données de santé par une procédure de certification et en encadrant les conditions de destruction des dossiers médicaux une fois ceux-ci numérisés. Il prévoit également la refonte du dossier médical partagé dans le respect du secret médical et renforce le droit au respect de la vie privée et du secret des informations concernant les personnes prises en charge par un professionnel de santé. Le texte a fait l’objet d’une saisine du Conseil constitutionnel en date du 21 décembre 2015.

Pour lire le projet de loi sur le site de l’Assemblée Nationale

Déclaration des autorités européennes sur l’enregistrement de la navigation d’internautes par Facebook

A la suite de la révision par Facebook de l’ensemble des conditions d’utilisation de ses services, un groupe de cinq autorités de protection des données personnelles européennes, dont la CNIL, a été créé au sein du G29. A l’occasion d’une déclaration commune du 7 décembre 2015, ce « Groupe de contact » a appelé Facebook à se conformer au jugement en référé du Tribunal de première instance de Bruxelles du 9 novembre 2015 qui impose à Facebook de cesser l’enregistrement, via les cookies et plug-ins, de la navigation des internautes belges ne disposant pas de compte Facebook, sans procéder à leur information préalable. Le groupe a rappelé que, sans préjudice du droit de Facebook de faire appel de ce jugement, il constitue “un moyen de contribuer au respect des obligations issues” du droit de l’Union européenne en matière de données personnelles.

Pour lire le communiqué de la CNIL

Mise en demeure par la CNIL d’une société de distribution pour commentaires excessifs sur ses clients

Par une décision du 26 juin 2015, la CNIL a mis en demeure une société spécialisée dans la vente de produits électroménagers de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. Elle a rappelé que “les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées” et a constaté en l’espèce la présence de 5828 commentaires non pertinents. Elle a également considéré que la société avait commis un manquement à l’obligation d’informer et d’obtenir l’accord des personnes accédant au site de la société avant de déposer des cookies sur leurs équipements ainsi qu’un manquement à l’obligation de définir et respecter une durée de conservation des données enregistrées dans certains cookies.

Pour lire la décision de la CNIL

Mise en demeure de la CNIL pour des données traitées par des sites de rencontre en ligne

Par huit décisions du 24 juin 2015, la CNIL a mis en demeure huit sites de rencontre de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. En effet, la CNIL a constaté que les sites n’avaient pas obtenu le consentement exprès des utilisateurs pour le traitement de leurs données sensibles relatives à leur vie sexuelle, leurs origines ethniques et leurs opinions religieuses. Elle a également estimé que les sites avaient commis des manquements à l’obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en n’ayant pas procédé à la suppression des données des utilisateurs après leurs demandes de désinscription.

Pour lire les décisions de la CNIL

Collecte d’adresses IP non constitutive d’un traitement de données à caractère personnel

Après avoir constaté la connexion sur son réseau informatique d’ordinateurs extérieurs à l’entreprise, une société a collecté des adresses IP aux fins d’obtenir des FAI les coordonnées correspondantes de leurs abonnés. Les adresses IP ont été localisées au sein d’une société concurrente, laquelle a contesté cette collecte, considérant qu’elle constituait un traitement de données à caractère personnel soumis à déclaration préalable auprès de la CNIL. Par un arrêt du 28 avril 2015, la Cour d’appel de Rennes a cependant considéré que “le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d’adresses IP […], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel”.

Arrêt non encore publié