La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CEDH constate la violation du droit à la vie privée d’un militant fiché dans une base de données tenue par la police britannique

Par un arrêt du 24 janvier 2019, la CEDH a jugé que le traitement par les services de police anglais des données personnelles d’un militant politique au moyen d’un fichier recensant les individus liés à “l’extrémisme national” était contraire au droit au respect de la vie privée garanti par l’article 8 de la CEDH. Le requérant avait saisi la CEDH en invoquant ce droit au respect de la vie privée après s’être vu refuser sa demande d’effacement de ses données personnelles. La CEDH a relevé que les données personnelles traitées révélaient les opinions politiques des personnes concernées de sorte qu’elles nécessitaient une protection accrue. Elle a ainsi condamné le Royaume-Uni après avoir constaté l’ambiguïté de la base légale sur laquelle reposait le traitement de données et leur durée de conservation potentiellement illimitée.

Pour lire l’arrêt de la CEDH (en anglais)

Le TGI de Paris juge abusives 38 clauses des conditions d’utilisation et règles de confidentialité de Google

Par un jugement du 12 février 2019, le TGI de Paris a considéré abusives 38 clauses des conditions d’utilisation et règles de confidentialité relatives au réseau social Google+. Le Tribunal a notamment jugé que l’information relative à la collecte de données "ne permet[tait] pas en définitive à l’utilisateur de prendre initialement conscience des finalités réelles et par conséquent de l’ampleur de la collecte des données le concernant et de la portée de son propre engagement". Il a également déclaré abusive une clause relative aux conditions d’utilisation "qui prévo[yait] que l’utilisation, soit l’inscription suivie de la navigation sur le site, [valait] acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’[avait] pas pu avoir accès à celles-ci".

Pour lire le jugement sur Legalis.net

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

La CNIL prononce à l’encontre de Google une sanction record de 50 millions d’euros

Google s’est vu sanctionner par la CNIL à hauteur de 50 millions d’euros, le 21 janvier 2019, en raison de manquements à ses obligations de transparence, d’information et de recueil d’un consentement valable en matière de publicité ciblée. La CNIL lui reproche notamment "un défaut global d’accessibilité des informations délivrées" ne permettant pas aux utilisateurs d’être en mesure de comprendre l’ampleur des traitements mis en œuvre par Google, "particulièrement massifs et intrusifs". Au regard des finalités des traitements mis en œuvre par Google (notamment la publicité ciblée), la CNIL considère que le consentement recueilli n’est pas "libre, spécifique, éclairé et univoque". La CNIL rappelle que cette décision est notamment motivée par l’"ampleur des traitements déployés", et qu’au vu des "avantages [que Google] retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre".

Pour lire la délibération de la CNIL

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

L’accès aux données de connexion n’a pas à être limité aux cas d’infractions graves

A la suite d’une plainte déposée pour vol avec violence, la police espagnole avait “saisi le juge d’instruction d’une demande tendant à ordonner à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés [depuis le vol] avec le code relatif à l’identité internationale d’équipement mobile (…) du téléphone (…) volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires (…) des numéros de téléphone correspondant aux cartes SIM activées avec ce code”. Sur question préjudicielle de la juridiction de renvoi saisie par le Ministère public espagnol après que le juge d’instruction a refusé d’ordonner cette mesure, la CJUE, dans un arrêt du 2 octobre 2018, a considéré que "l’accès d’autorités publiques [à de telles données à caractère personnel] comporte une ingérence dans les droits fondamentaux [des personnes concernées], consacrés [dans] la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave".

Pour lire l’arrêt sur Legalis.net

Audit international de 455 sites internet et applications mobiles

Le 24 octobre 2017, la CNIL a publié les résultats d’un audit réalisé dans le cadre du "Sweep Day 2017" par les "autorités de protection des données membres du Global Privacy Enforcement Network", et mené sur 455 sites internet et applications mobiles de différents secteurs, afin de vérifier "la qualité de l’information délivrée aux personnes". Au niveau national, la CNIL a concentré son audit sur les domaines du voyage et de la vente en ligne, constatant notamment que "82% des sites et applications inform[ai]ent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers". Il a permis aux autorités "de se préparer aux futures opérations conjointes qui pourront être réalisées (…) une fois le règlement européen sur la protection des données applicable".

 Pour lire le communiqué de presse de la CNIL

Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE