Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

La CNIL publie des bonnes pratiques sur le « Bring Your Own Device » (BYOD)

Le 24 mars 2020, la CNIL a rappelé que l’utilisation d’outils personnels par des employés relevait d’un choix de l’employeur et que ce dernier restait "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique". La CNIL a proposé des mesures visant à sécuriser les appareils et à garantir le respect de la vie privée de leur utilisateur.

Pour lire les recommandations de la CNIL

L’envoi par le Gouvernement de SMS à la population est légal

Le 19 mars 2020, la CNIL a confirmé la légalité des SMS envoyés par le Gouvernement visant à "rappeler les consignes de sécurité à appliquer pour lutter contre la propagation du Covid-19". La CNIL a indiqué que l’article L.33-1 du Code des postes et des communications électroniques impose aux opérateurs de télécommunications de relayer les communications des autorités auprès de leurs abonnés en cas de danger imminent ou de catastrophe majeure. Aucun numéro de téléphone n’a été transmis au Gouvernement : ce sont les opérateurs qui se sont chargés d’envoyer ce message.

Pour lire le communiqué de la CNIL

La CNIL publie des fiches explicatives relatives à des outils de mise en conformité

Le 7 février 2020, la CNIL a publié des guides dédiés aux codes de conduite et aux règles d’entreprise contraignantes (BCR). Ces guides décrivent la finalité, le contenu et le processus de mise en place de ces outils de conformité. La CNIL a par ailleurs ouvert un téléservice permettant aux organismes de lui soumettre leurs projets de BCR.

Pour lire le communiqué de la CNIL

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL

Le fichier national biométrique des mineurs isolés validé par le Conseil d’État

Par une décision du 5 février 2020, le Conseil d’État a déclaré conforme à la loi le décret n°2019-57 du 30 janvier 2019 relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes. Il encadre cependant la mise en place de ce traitement en excluant une utilisation à des fins pénales.

Pour lire la décision du Conseil d’État

Le RGPD s’applique au Royaume-Uni jusqu’au 31 décembre 2020

Le 31 janvier 2020, la CNIL a indiqué, à l’occasion du Brexit, qu’“en application de l’accord de retrait, les dispositions du Règlement Général sur la Protection des Données continueront d’être applicables au Royaume-Uni jusqu’au 31 décembre 2020”. Jusqu’à cette date, aucune formalité additionnelle n’est donc requise pour les organismes établis en France ou au Royaume-Uni.

 Pour lire le communiqué de la CNIL

La collecte des données d’identification des utilisateurs de cartes SIM prépayées ne viole pas leur vie privée

Le 30 janvier 2020, la Cour européenne des droits de l’homme (CEDH) a jugé qu’une loi nationale imposant aux opérateurs de télécommunication de collecter les noms et adresses des utilisateurs de cartes SIM prépayées ne constituait pas une ingérence disproportionnée au droit à la vie privée. La Cour a notamment relevé que cette loi offrait des garanties pour les justiciables et des possibilités de recours.

Pour lire l'arrêt de la CEDH (en anglais)

La CNIL surveille la création d’un fichier sur les impayés

Le 24 janvier 2020, la CNIL a publié un communiqué relatif au projet de création d’un fichier des incidents de paiement dans le secteur du logement locatif par la Fédération Nationale de l’Immobilier (FNAIM).  La CNIL indique ainsi avoir adressé à la FNAIM un courrier afin “d’être en mesure d’apprécier si les garanties concrètement apportées aux locataires sont suffisantes au regard des exigences” de la réglementation applicable en matière de protection des données personnelles.

Pour lire le communiqué de la CNIL