Une banque française enjointe d’effacer les données de son client transmises par erreur à l’administration fiscale américaine

Une banque française avait transmis, par erreur, les données d’un de ses clients à l’administration fiscale américaine en application de la règlementation américaine FATCA (Foreign Account Tax Compliance Act). Afin de mettre en œuvre cette règlementation, les autorités françaises et américaines ont en effet conclu un accord imposant aux établissement bancaires français de déclarer à l’administration fiscale américaine les informations relatives à leurs clients soumis au droit fiscal américain. Par un arrêt du 12 mars 2019, la Cour d’appel de Grenoble a confirmé l’ordonnance de référé qui avait ordonné à la banque française auteure de cette erreur de procéder à “l’effacement total de toutes informations personnelles [du client] du traitement opéré en France dans le cadre de FATCA” et de “faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort” le client.

Pour lire l’arrêt sur Legalis.net

La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

Le TGI de Paris juge abusives 38 clauses des conditions d’utilisation et règles de confidentialité de Google

Par un jugement du 12 février 2019, le TGI de Paris a considéré abusives 38 clauses des conditions d’utilisation et règles de confidentialité relatives au réseau social Google+. Le Tribunal a notamment jugé que l’information relative à la collecte de données "ne permet[tait] pas en définitive à l’utilisateur de prendre initialement conscience des finalités réelles et par conséquent de l’ampleur de la collecte des données le concernant et de la portée de son propre engagement". Il a également déclaré abusive une clause relative aux conditions d’utilisation "qui prévo[yait] que l’utilisation, soit l’inscription suivie de la navigation sur le site, [valait] acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’[avait] pas pu avoir accès à celles-ci".

Pour lire le jugement sur Legalis.net

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

La CNIL prononce à l’encontre de Google une sanction record de 50 millions d’euros

Google s’est vu sanctionner par la CNIL à hauteur de 50 millions d’euros, le 21 janvier 2019, en raison de manquements à ses obligations de transparence, d’information et de recueil d’un consentement valable en matière de publicité ciblée. La CNIL lui reproche notamment "un défaut global d’accessibilité des informations délivrées" ne permettant pas aux utilisateurs d’être en mesure de comprendre l’ampleur des traitements mis en œuvre par Google, "particulièrement massifs et intrusifs". Au regard des finalités des traitements mis en œuvre par Google (notamment la publicité ciblée), la CNIL considère que le consentement recueilli n’est pas "libre, spécifique, éclairé et univoque". La CNIL rappelle que cette décision est notamment motivée par l’"ampleur des traitements déployés", et qu’au vu des "avantages [que Google] retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre".

Pour lire la délibération de la CNIL

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

L’accès aux données de connexion n’a pas à être limité aux cas d’infractions graves

A la suite d’une plainte déposée pour vol avec violence, la police espagnole avait “saisi le juge d’instruction d’une demande tendant à ordonner à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés [depuis le vol] avec le code relatif à l’identité internationale d’équipement mobile (…) du téléphone (…) volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires (…) des numéros de téléphone correspondant aux cartes SIM activées avec ce code”. Sur question préjudicielle de la juridiction de renvoi saisie par le Ministère public espagnol après que le juge d’instruction a refusé d’ordonner cette mesure, la CJUE, dans un arrêt du 2 octobre 2018, a considéré que "l’accès d’autorités publiques [à de telles données à caractère personnel] comporte une ingérence dans les droits fondamentaux [des personnes concernées], consacrés [dans] la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".

Pour lire l’arrêt sur Legalis.net

Audit international de 455 sites internet et applications mobiles

Le 24 octobre 2017, la CNIL a publié les résultats d’un audit réalisé dans le cadre du "Sweep Day 2017" par les "autorités de protection des données membres du Global Privacy Enforcement Network", et mené sur 455 sites internet et applications mobiles de différents secteurs, afin de vérifier "la qualité de l’information délivrée aux personnes". Au niveau national, la CNIL a concentré son audit sur les domaines du voyage et de la vente en ligne, constatant notamment que "82% des sites et applications inform[ai]ent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers". Il a permis aux autorités "de se préparer aux futures opérations conjointes qui pourront être réalisées (…) une fois le règlement européen sur la protection des données applicable".

 Pour lire le communiqué de presse de la CNIL