La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

L’accès aux données de connexion n’a pas à être limité aux cas d’infractions graves

A la suite d’une plainte déposée pour vol avec violence, la police espagnole avait “saisi le juge d’instruction d’une demande tendant à ordonner à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés [depuis le vol] avec le code relatif à l’identité internationale d’équipement mobile (…) du téléphone (…) volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires (…) des numéros de téléphone correspondant aux cartes SIM activées avec ce code”. Sur question préjudicielle de la juridiction de renvoi saisie par le Ministère public espagnol après que le juge d’instruction a refusé d’ordonner cette mesure, la CJUE, dans un arrêt du 2 octobre 2018, a considéré que "l’accès d’autorités publiques [à de telles données à caractère personnel] comporte une ingérence dans les droits fondamentaux [des personnes concernées], consacrés [dans] la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".

Pour lire l’arrêt sur Legalis.net

Audit international de 455 sites internet et applications mobiles

Le 24 octobre 2017, la CNIL a publié les résultats d’un audit réalisé dans le cadre du "Sweep Day 2017" par les "autorités de protection des données membres du Global Privacy Enforcement Network", et mené sur 455 sites internet et applications mobiles de différents secteurs, afin de vérifier "la qualité de l’information délivrée aux personnes". Au niveau national, la CNIL a concentré son audit sur les domaines du voyage et de la vente en ligne, constatant notamment que "82% des sites et applications inform[ai]ent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers". Il a permis aux autorités "de se préparer aux futures opérations conjointes qui pourront être réalisées (…) une fois le règlement européen sur la protection des données applicable".

 Pour lire le communiqué de presse de la CNIL

Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL

Mise à disposition de données personnelles d’abonnés téléphoniques

Une société belge fournissant des services d’annuaire et de renseignements téléphoniques avait demandé à des opérateurs téléphoniques néerlandais de lui fournir des données relatives à leurs abonnés dans le cadre de la mise en œuvre de ses services, ce qu’ils avaient refusé. Par un arrêt du 15 mars 2017, la CJUE a répondu aux questions préjudicielles du juge néerlandais portant sur l’interprétation de la directive “service universel”. Pour la Cour, cette directive impose aux opérateurs de répondre de manière équitable et non discriminatoire “à toutes les demandes raisonnables de mise à disposition” des données de leurs abonnés aux fins de la fourniture de tels services, y compris lorsqu’elles émanent d’entreprises établies dans d’autres Etats membres. Elle estime en outre que “c’est la finalité de la première publication des données personnelles de l’abonné à laquelle celui-ci a consenti qui est déterminante afin d’apprécier la portée de ce consentement”, de telle sorte qu’il n’y a pas lieu “de formuler la demande de consentement (…) de manière distincte selon l’État membre vers lequel les données le concernant peuvent être transmises”.

Pour lire l’arrêt de la CJUE

Sort des données personnelles inscrites dans un registre des sociétés

Par un arrêt du 9 mars 2017, la CJUE a eu à statuer sur une question préjudicielle de la Cour de cassation italienne portant sur un litige opposant l’administrateur d’une société qui reprochait à une chambre de commerce d’avoir refusé d’effacer des données inscrites dans le registre des sociétés et le liant à la faillite d’une société depuis radiée. Après avoir rappelé que les informations portant sur les personnes ayant le pouvoir d’engager les sociétés à l’égard des tiers, obligatoirement publiées conformément à la directive du 9 mars 1968, étaient bien des données à caractère personnel, la CJUE a estimé qu’il était “impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire” au regard de la finalité de cette directive. Toutefois, la Cour a considéré que des situations particulières pouvaient justifier la limitation de l’accès aux données personnelles figurant dans les registres des sociétés aux tiers justifiant d’un intérêt spécifique à leur consultation, mais qu’il appartenait alors aux juridictions nationales de les déterminer au cas par cas.

Pour lire l’arrêt sur le site de la CJUE

Modification de la norme simplifiée gestion de clients et prospects

Par une délibération du 21 juillet 2016, la CNIL a modifié la norme simplifiée NS-048 portant sur les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Cette modification vise à prendre en compte les nouvelles obligations en application du code de la consommation, notamment celle de soumettre ses fichiers de prospection à BLOCTEL, nouvelle liste anti-démarchage téléphonique. La norme ainsi modifiée apporte également des précisions sur la durée de conservation des données, mais aussi sur l’information, le consentement, l’exercice des droits des personnes et les obligations de sécurité des responsables de traitement. Les organismes ayant effectué une déclaration simplifiée en référence à cette norme et ne respectant pas ces nouvelles conditions disposent de 12 mois pour se mettre en conformité.

Pour lire la délibération de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Collecte des données personnelles des supporters du PSG

Par un arrêt du 13 juin 2016, le Conseil d’Etat a annulé la partie de la délibération du 30 janvier 2014 par laquelle la CNIL avait interdit au PSG de conserver les données relatives aux impayés des abonnés au-delà de la date de remboursement de leur dette. Le Conseil d’Etat a néanmoins validé l’autorisation de la CNIL de mettre en place la collecte de données nominatives des abonnés ayant violé les conditions générales de vente et enfreint le règlement intérieur du Parc des Princes, “dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le Code du sport, en légitime la collecte ”. En revanche, il a interdit le PSG de recueillir les données d’abonnés relatives à des infractions, condamnations et mesures de sûreté, leur traitement étant réservé à des personnes strictement énumérées par la loi Informatique et Libertés.

Pour lire l’arrêt sur Légifrance