Deux traitements de données personnelles autorisés pour identifier et suivre les personnes infectées

Le décret n°2020-551 du 12 mai 2020 relatif aux systèmes d'information mentionnés à l'article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire a été publié. Il autorise les traitements "Contact Covid" et "SI-DEP" permettant d’identifier les chaînes de contamination au Covid-19 et d’assurer le suivi des personnes infectées. Saisie pour avis, la CNIL avait jugé le projet de décret conforme au RGPD sous réserve du respect de certaines garanties de protection de la vie privée et d’une réévaluation régulière du dispositif.

Pour lire le décret sur Légifrance et l’avis de la CNIL

La surveillance par drone du respect des règles sanitaires doit cesser sans délai

Le 18 mai 2020, le Conseil d’Etat a enjoint à l’Etat de "cesser sans délai de procéder aux mesures de surveillance par drone" visant à faire respecter les règles de sécurité sanitaire. Ce dispositif constituait un traitement de données personnelles réalisé pour le compte de l’Etat, ce qui imposait une autorisation par un texte réglementaire encadrant les modalités de son utilisation et définissant les garanties qui l’entourent. En l’absence d’un tel texte, le dispositif caractérisait "une atteinte grave et manifestement illégale au droit au respect de la vie privée".

Pour lire l’ordonnance du Conseil d’Etat

La CNIL s’engage dans un objectif de sobriété numérique

Le 5 mai 2020, la CNIL s’est associée à huit autorités indépendantes pour déterminer leurs rôles dans le cadre de l’Accord de Paris signé en 2015. Selon la CNIL, l’application du RGPD produirait des externalités positives sur l’environnement car "la minimisation de la collecte des données et la limitation de la durée de conservation (…) peuvent avoir pour effet de contribuer aux objectifs de sobriété numérique". La CNIL joue également un rôle de sensibilisation sur l’impact environnemental du numérique.

Pour lire le document de travail des autorités

Le Health Data Hub autorisé à collecter davantage de données de santé pour lutter contre le Covid-19

L’arrêté du 21 avril 2020 complétant l’arrêté du 23 mars 2020 prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire établit les catégories de données personnelles que le Health Data Hub et la Caisse nationale de l’assurance maladie sont autorisés à se faire transmettre. Il s’agit notamment des données de pharmacie, de certains résultats d’examens biologiques, des diagnostics ou des données déclaratives de symptômes.

Pour lire l’arrêté sur Légifrance

La CNIL lance une consultation publique sur les droits des mineurs dans l’environnement numérique

Le 21 avril 2020, la CNIL a lancé une consultation publique préalable à l’adoption de recommandations pour clarifier le cadre applicable à la protection des données personnelles des mineurs. Cette consultation, ouverte à tous jusqu’au 1er juin 2020, vise notamment à recueillir des contributions sur "la capacité juridique d’un mineur à effectuer seul certains actes sur Internet, la mise en place d’un système de vérification de l’âge des usagers et de recueil du consentement et l’exercice par les mineurs de leurs droits sur leurs données".

Pour lire le communiqué de presse de la CNIL

La CNIL publie des conseils pour l’utilisation de la visioconférence

Le 9 avril 2020, la CNIL a édicté des conseils pour le bon usage des outils de visioconférence. La CNIL recommande de rester vigilant sur les informations fournies aux applications, la collecte de données pouvant s’étendre à d’autres types de données techniques. Elle conseille de sécuriser le réseau Wi-Fi par un mot de passe robuste, de ne pas télécharger l’application depuis une source inconnue, ou encore de limiter les informations fournies lors de l’inscription.

Pour lire l'article de la CNIL

Un décret autorise un projet d’algorithme visant à évaluer l’indemnisation des préjudices corporels

Le décret n°2020-356 portant création d'un traitement automatisé de données à caractère personnel dénommé "DataJust" est entré en vigueur le 30 mars 2020. Il autorise le développement d’un algorithme ayant pour finalité d’évaluer les politiques publiques en matière de responsabilité civile ou administrative, d’élaborer un référentiel indicatif d’indemnisation des préjudices corporels et d’informer les parties et les juges sur l’évaluation du montant des indemnisations en matière de préjudices corporels.

Pour lire le décret sur Légifrance

Le déréférencement au-delà du territoire de l’Union européenne n’est pas automatique

Le 27 mars 2020, le Conseil d’État a annulé la sanction imposée par la CNIL à Google pour refus de procéder à un déréférencement de portée mondiale. Le Conseil d’État a relevé qu’aucune disposition légale ne permettait d’ordonner un déréférencement en dehors de l’Union européenne, et qu’une telle injonction aurait nécessité "une mise en balance entre (…) le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et (…) le droit à la liberté d’information".

Pour lire l’arrêt du Conseil d’État

La CNIL publie des bonnes pratiques sur le « Bring Your Own Device » (BYOD)

Le 24 mars 2020, la CNIL a rappelé que l’utilisation d’outils personnels par des employés relevait d’un choix de l’employeur et que ce dernier restait "responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique". La CNIL a proposé des mesures visant à sécuriser les appareils et à garantir le respect de la vie privée de leur utilisateur.

Pour lire les recommandations de la CNIL

L’envoi par le Gouvernement de SMS à la population est légal

Le 19 mars 2020, la CNIL a confirmé la légalité des SMS envoyés par le Gouvernement visant à "rappeler les consignes de sécurité à appliquer pour lutter contre la propagation du Covid-19". La CNIL a indiqué que l’article L.33-1 du Code des postes et des communications électroniques impose aux opérateurs de télécommunications de relayer les communications des autorités auprès de leurs abonnés en cas de danger imminent ou de catastrophe majeure. Aucun numéro de téléphone n’a été transmis au Gouvernement : ce sont les opérateurs qui se sont chargés d’envoyer ce message.

Pour lire le communiqué de la CNIL