Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL

Mise à disposition de données personnelles d’abonnés téléphoniques

Une société belge fournissant des services d’annuaire et de renseignements téléphoniques avait demandé à des opérateurs téléphoniques néerlandais de lui fournir des données relatives à leurs abonnés dans le cadre de la mise en œuvre de ses services, ce qu’ils avaient refusé. Par un arrêt du 15 mars 2017, la CJUE a répondu aux questions préjudicielles du juge néerlandais portant sur l’interprétation de la directive “service universel”. Pour la Cour, cette directive impose aux opérateurs de répondre de manière équitable et non discriminatoire “à toutes les demandes raisonnables de mise à disposition” des données de leurs abonnés aux fins de la fourniture de tels services, y compris lorsqu’elles émanent d’entreprises établies dans d’autres Etats membres. Elle estime en outre que “c’est la finalité de la première publication des données personnelles de l’abonné à laquelle celui-ci a consenti qui est déterminante afin d’apprécier la portée de ce consentement”, de telle sorte qu’il n’y a pas lieu “de formuler la demande de consentement (…) de manière distincte selon l’État membre vers lequel les données le concernant peuvent être transmises”.

Pour lire l’arrêt de la CJUE

Sort des données personnelles inscrites dans un registre des sociétés

Par un arrêt du 9 mars 2017, la CJUE a eu à statuer sur une question préjudicielle de la Cour de cassation italienne portant sur un litige opposant l’administrateur d’une société qui reprochait à une chambre de commerce d’avoir refusé d’effacer des données inscrites dans le registre des sociétés et le liant à la faillite d’une société depuis radiée. Après avoir rappelé que les informations portant sur les personnes ayant le pouvoir d’engager les sociétés à l’égard des tiers, obligatoirement publiées conformément à la directive du 9 mars 1968, étaient bien des données à caractère personnel, la CJUE a estimé qu’il était “impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire” au regard de la finalité de cette directive. Toutefois, la Cour a considéré que des situations particulières pouvaient justifier la limitation de l’accès aux données personnelles figurant dans les registres des sociétés aux tiers justifiant d’un intérêt spécifique à leur consultation, mais qu’il appartenait alors aux juridictions nationales de les déterminer au cas par cas.

Pour lire l’arrêt sur le site de la CJUE

Modification de la norme simplifiée gestion de clients et prospects

Par une délibération du 21 juillet 2016, la CNIL a modifié la norme simplifiée NS-048 portant sur les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Cette modification vise à prendre en compte les nouvelles obligations en application du code de la consommation, notamment celle de soumettre ses fichiers de prospection à BLOCTEL, nouvelle liste anti-démarchage téléphonique. La norme ainsi modifiée apporte également des précisions sur la durée de conservation des données, mais aussi sur l’information, le consentement, l’exercice des droits des personnes et les obligations de sécurité des responsables de traitement. Les organismes ayant effectué une déclaration simplifiée en référence à cette norme et ne respectant pas ces nouvelles conditions disposent de 12 mois pour se mettre en conformité.

Pour lire la délibération de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Collecte des données personnelles des supporters du PSG

Par un arrêt du 13 juin 2016, le Conseil d’Etat a annulé la partie de la délibération du 30 janvier 2014 par laquelle la CNIL avait interdit au PSG de conserver les données relatives aux impayés des abonnés au-delà de la date de remboursement de leur dette. Le Conseil d’Etat a néanmoins validé l’autorisation de la CNIL de mettre en place la collecte de données nominatives des abonnés ayant violé les conditions générales de vente et enfreint le règlement intérieur du Parc des Princes, “dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le Code du sport, en légitime la collecte ”. En revanche, il a interdit le PSG de recueillir les données d’abonnés relatives à des infractions, condamnations et mesures de sûreté, leur traitement étant réservé à des personnes strictement énumérées par la loi Informatique et Libertés.

Pour lire l’arrêt sur Légifrance

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Autorisation unique de la CNIL pour les traitements de gestion de contentieux

Par délibération du 14 janvier 2016, publiée au Journal officiel le 12 février 2016, la CNIL a adopté une autorisation unique n°46 qui a pour but de simplifier la collecte et les traitements de données à caractère personnel mis en œuvre par les organismes publics et privés afin de préparer, exercer et suivre une action disciplinaire ou un recours juridictionnel et exécuter les décisions rendues. Dans un tel contexte, et sous réserve du respect des dispositions de l’autorisation unique, ces organismes pourront traiter des données relatives aux infractions et condamnations pénales, aux sanctions disciplinaires et aux mesures de sûreté afférentes aux personnes dont les données sont traitées.

Pour lire la délibération sur Légifrance

Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance