La CNIL rend un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées

Le 29 octobre 2019, la CNIL a annoncé avoir rendu un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées menée par la région PACA. La CNIL a considéré que le dispositif n’apparaissait ni nécessaire, ni proportionné pour atteindre les objectifs de sécurisation et de fluidification des entrées, relevant notamment que ces finalités pouvaient être atteintes “par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge”.

  Pour lire la publication de la CNIL

La CNIL publie une liste des traitements qui ne requièrent pas d’analyse d’impact

Par une délibération du 12 septembre 2019, la CNIL a publié une liste non exhaustive d'opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Sont notamment concernés, les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ou encore des traitements ayant pour finalité la gestion des relations fournisseurs.

  Pour lire la délibération de la CNIL

Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL

Une fiche “Google My Business” ne peut être supprimée sans motif légitime

Par une ordonnance du 11 juillet 2019, le Tribunal de grande instance de Paris, statuant en référé, a rejeté une demande, formulée par une dentiste, tendant à la suppression des données personnelles la concernant reprise par le moteur de recherche dans une fiche Google My Business. Le Tribunal a notamment relevé que le traitement poursuivait “des finalités légitimes au sens [du RGPD], permettant l’accès rapide des internautes à des informations pratiques sur les professionnels de santé” et était nécessaire à la liberté d’expression et d’information, de sorte que la demanderesse ne pouvait exiger l’effacement des données, sauf à invoquer une raison particulière tenant à sa situation.

  Pour lire la décision sur Legalis.net

Un traitement de données illicite constitue un obstacle légitime au prononcé d’une mesure d’instruction

Par une ordonnance du 2 août 2019, le Tribunal de grande instance de Paris a rejeté la demande d’une société de production tendant à ce que soit ordonné à un fournisseur d’accès de communiquer l’identité des propriétaires des adresses IP collectées à partir d’une plateforme de téléchargement illicite. Il a notamment été reproché au demandeur d’avoir procédé à une collecte de données personnelles, en l’occurrence les adresses IP, en violation de la réglementation applicable en matière de données personnelles. Le Tribunal a jugé que le caractère illicite du traitement constituait un « obstacle légitime » au prononcé de la mesure d’instruction.

  Pour lire l’ordonnance sur Legalis.Net

La Federal Trade Commission (FTC) condamne une plateforme de vidéos en ligne à une amende de 170 millions de dollars

Le 4 septembre 2019, une plateforme de vidéos en ligne a trouvé un accord amiable avec la FTC pour le paiement d’une amende record de 170 millions de dollars, pour avoir enfreint des dispositions de la loi Coppa (Children’s Online Privacy Protection Act, 1998), en exposant les enfants à des vidéos inappropriées ou en collectant des données personnelles les concernant, dans un but de ciblage publicitaire, à l’insu de leurs parents.

  Pour lire le communiqué de la FTC

Un site internet ayant inséré un bouton « j’aime » est responsable conjoint du traitement

Par un arrêt du 29 juillet 2019, la Cour de justice de l’Union européenne a jugé, sur question préjudicielle allemande, que le gestionnaire d’un site internet ayant inséré un bouton « j’aime », était responsable conjointement avec le fournisseur du bouton, la société Facebook Ireland, des opérations de collecte et de communication des données des internautes. La Cour a considéré qu’"en insérant un tel module social sur son site Internet, [le gestionnaire] influ[ait], (…), de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, (…), qui, en l’absence de l’insertion dudit module, n’auraient pas lieu".

  Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL sanctionne une société d’intermédiation en assurance

Par une délibération du 18 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre d’une société d’intermédiation en assurance pour atteinte à la sécurité des données de ses clients. La CNIL a constaté un défaut de sécurité et une violation des données relatives aux clients de la société telles que des copies de permis de conduire, des relevés d’identité bancaire ou des données relatives à des infractions commises par les personnes concernées et a condamné la société en raison de l’absence de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du RGPD.

  Pour lire la délibération de la CNIL

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance