Le référencement de contenus relatifs aux infractions doit être strictement nécessaire à la liberté d’information

Un expert-comptable, condamné par le passé pour escroquerie, avait demandé le déréférencement de deux compte-rendu d’audience relatant cette condamnation. Par un arrêt du 27 novembre 2019, la Cour de cassation a cassé l’arrêt d’appel qui avait rejeté la demande, reprochant ainsi aux juges de ne pas avoir recherché si “l’inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès aux pages internet concernées”.

 Pour lire l’arrêt de la Cour de cassation

Droit d’accès : Le ministre de l’intérieur n’est pas tenu de délivrer une copie des données

Par une décision du 24 octobre 2019, le Conseil d’État a jugé que "dans le cadre du droit d’accès indirect aux données personnelles contenues dans l’un des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique, le responsable du traitement communique les informations à la personne concernée selon les modalités qu’il définit". Le ministre de l’Intérieur n’était donc pas tenu de délivrer une copie des données sollicitées et a ainsi valablement exécuté son obligation en s’assurant que le requérant puisse les consulter sur place.

  Pour lire la décision du Conseil d’État

La CNIL rend un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées

Le 29 octobre 2019, la CNIL a annoncé avoir rendu un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées menée par la région PACA. La CNIL a considéré que le dispositif n’apparaissait ni nécessaire, ni proportionné pour atteindre les objectifs de sécurisation et de fluidification des entrées, relevant notamment que ces finalités pouvaient être atteintes “par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge”.

  Pour lire la publication de la CNIL

La CNIL publie une liste des traitements qui ne requièrent pas d’analyse d’impact

Par une délibération du 12 septembre 2019, la CNIL a publié une liste non exhaustive d'opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Sont notamment concernés, les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ou encore des traitements ayant pour finalité la gestion des relations fournisseurs.

  Pour lire la délibération de la CNIL

Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL

Une fiche “Google My Business” ne peut être supprimée sans motif légitime

Par une ordonnance du 11 juillet 2019, le Tribunal de grande instance de Paris, statuant en référé, a rejeté une demande, formulée par une dentiste, tendant à la suppression des données personnelles la concernant reprise par le moteur de recherche dans une fiche Google My Business. Le Tribunal a notamment relevé que le traitement poursuivait “des finalités légitimes au sens [du RGPD], permettant l’accès rapide des internautes à des informations pratiques sur les professionnels de santé” et était nécessaire à la liberté d’expression et d’information, de sorte que la demanderesse ne pouvait exiger l’effacement des données, sauf à invoquer une raison particulière tenant à sa situation.

  Pour lire la décision sur Legalis.net

Un traitement de données illicite constitue un obstacle légitime au prononcé d’une mesure d’instruction

Par une ordonnance du 2 août 2019, le Tribunal de grande instance de Paris a rejeté la demande d’une société de production tendant à ce que soit ordonné à un fournisseur d’accès de communiquer l’identité des propriétaires des adresses IP collectées à partir d’une plateforme de téléchargement illicite. Il a notamment été reproché au demandeur d’avoir procédé à une collecte de données personnelles, en l’occurrence les adresses IP, en violation de la réglementation applicable en matière de données personnelles. Le Tribunal a jugé que le caractère illicite du traitement constituait un « obstacle légitime » au prononcé de la mesure d’instruction.

  Pour lire l’ordonnance sur Legalis.Net

La Federal Trade Commission (FTC) condamne une plateforme de vidéos en ligne à une amende de 170 millions de dollars

Le 4 septembre 2019, une plateforme de vidéos en ligne a trouvé un accord amiable avec la FTC pour le paiement d’une amende record de 170 millions de dollars, pour avoir enfreint des dispositions de la loi Coppa (Children’s Online Privacy Protection Act, 1998), en exposant les enfants à des vidéos inappropriées ou en collectant des données personnelles les concernant, dans un but de ciblage publicitaire, à l’insu de leurs parents.

  Pour lire le communiqué de la FTC

Un site internet ayant inséré un bouton « j’aime » est responsable conjoint du traitement

Par un arrêt du 29 juillet 2019, la Cour de justice de l’Union européenne a jugé, sur question préjudicielle allemande, que le gestionnaire d’un site internet ayant inséré un bouton « j’aime », était responsable conjointement avec le fournisseur du bouton, la société Facebook Ireland, des opérations de collecte et de communication des données des internautes. La Cour a considéré qu’"en insérant un tel module social sur son site Internet, [le gestionnaire] influ[ait], (…), de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, (…), qui, en l’absence de l’insertion dudit module, n’auraient pas lieu".

  Pour lire la décision de la Cour de justice de l’Union européenne