CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL

Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL

Délégation de compétence pour la réponse à une demande d’opposition

Par un arrêt du 27 juin 2016, le Conseil d’Etat a infirmé l’annulation de deux décisions par lesquelles un inspecteur de l’académie, directeur des services départementaux de l’éducation nationale, avait rejeté une demande d’opposition à traitement formulée par la mère de deux écoliers relativement à des traitements sur la gestion administrative et pédagogique de ces derniers. Le Conseil d’Etat a jugé que si en principe le responsable du traitement, en l’occurrence le ministre chargé de l’éducation, est la personne auprès de laquelle s’exerce le droit d’opposition, “ni [la loi Informatique et Libertés], ni le décret (…) pris pour son application ne font obstacle à ce qu’[il] délègue sa compétence en la matière”. En l’espèce, au regard des dispositions du code de l’éducation “la compétence en matière d’exercice du droit d’opposition [devait] être regardée comme étant exercée à l’échelon départemental”. L’arrêt du Conseil d’Etat énonce que la Cour administrative d’appel de Paris a commis une “erreur de droit en considérant que ni l’inspecteur d’académie, ni le recteur de l’académie de Paris n’avaient compétence pour rejeter l’opposition”.

Pour lire l’arrêt du Conseil d’Etat

Droit d’opposition et déréférencement d’un lien

Par une ordonnance de référé du 13 mai 2016, le Président du TGI de Paris a fait injonction à Google Inc. de déréférencer ou supprimer de la liste des résultats générés par son moteur de recherche le lien renvoyant vers un site dénonçant la prétendue attirance sexuelle du requérant pour les mineurs et évoquant sa situation professionnelle. Il a considéré que “la page web à laquelle il [était] renvoyé a[vait], à l’évidence, été écrite (…) dans l’intention de nuire personnellement [au requérant], en mettant en cause son emploi, alors même que cet emploi [était] sans aucun rapport avec les faits dénoncés” et que “le demandeur démontr[ait] que le référencement de ce lien (…) a[vait] directement porté atteinte au droit à la protection de ses données personnelles, sans [qu’elle] soit légitimée par le droit à l’information légitime du public”.

Pour lire l'ordonnance sur Legalis.net

Droit d’opposition et liberté de la presse

Par un arrêt du 12 mai 2016, la Cour de cassation a rejeté la demande de deux personnes ayant sollicité, au fondement de l’article 38 de la Loi informatique et libertés relatif au droit d’opposition au traitement de données à caractère personnel, la suppression d’informations identifiantes les concernant sur le moteur de recherche du site internet d’un journal qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que “le fait d’imposer à un organe de presse (…) de supprimer du site internet dédié à l’archivage  de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse”.

 Pour lire l’arrêt sur Légifrance

Déréférencement : mise en demeure de Google par la CNIL

Dans une délibération du 20 mai 2015, la CNIL a mis Google en demeure de procéder à des déréférencements sur toutes les extensions du nom de domaine de son moteur de recherche sous un délai de quinze jours. À la suite d’une première demande formulée par la CNIL, Google France avait indiqué avoir procédé au blocage des liens mis en cause au sein des résultats affichés par les extensions européennes du moteur de recherche. La CNIL a considéré que le refus de Google de déréférencer ces liens sur toutes ses extensions constituait un manquement aux droits d’opposition et d’effacement reconnus aux personnes visées par un traitement de données personnelles et rendait ineffectif leur droit au déréférencement, tel que consacré par la CJUE, dès lors que les liens demeuraient “accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche”.

Pour lire la délibération de la CNIL

La Cnil rassemblée en séance plénière pour examiner les « primaires » du Parti socialiste

La Cnil, réunie en séance plénière, a examiné le 5 mai 2011 si les principes de protection des données personnelles seront bien respectés dans la préparation, l’organisation et le déroulement des « primaires » du Parti Socialiste (PS) en octobre prochain. La Commission constatant que la majorité de ses recommandations avaient été suivies a délivré au PS le récépissé de déclaration mais a néanmoins demandé des améliorations notamment en ce qui concerne l’information qui sera donnée au grand public sur leur droit d’opposition ou sur la nécessité de prévoir des mesures de sécurité supplémentaires des fichiers.  

Pour consulter l’article sur le site de la CNIL