Obligation d’information lors du transfert de données personnelles entre organismes publics

Dans un arrêt du 1er octobre 2015, la CJUE a jugé que la directive 95/46 relative à la protection des données à caractère personnel s’oppose à “des mesures nationales (…) qui permettent à une administration publique de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’[en] aient été informées”. En l’espèce, l’administration fiscale roumaine avait transmis à l’organisme de sécurité sociale des données relatives aux revenus déclarés de particuliers, sur la base desquelles avait été exigé le paiement d’arriérés de contributions au régime d’assurance maladie. Or, la loi encadrant ce transfert ne visait pas expressément les données relatives aux revenus, ce qui pour la Cour ne constitue pas “une information préalable permettant de dispenser le responsable du traitement de son obligation d’inform[ation]”.

Pour lire l’arrêt de la CJUE

Constitutionnalité des articles 226-19 du Code pénal et L. 1223-3 du Code de la santé publique

Dans une décision du 19 septembre 2014, le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité, a jugé conforme à la Constitution le premier alinéa de l’article 226-19 du Code pénal incriminant le fait de mettre ou conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, et l’article L. 1223-3 du Code de la santé publique imposant aux établissements de transfusion sanguine de se "doter de bonnes pratiques dont les principes sont définis par décision de l'Agence nationale de sécurité du médicament et des produits de santé". Le Conseil a considéré qu’en prévoyant des exceptions dans les "cas prévus par la loi" au délit prévu à l’article 226-19 du Code pénal, cet article ne méconnaissait pas le principe de légalité des délits et des peines. Il a également considéré que les dispositions de l’article L. 1223-3 du Code de la santé publique "n'ont pas pour objet de définir une exception à cette incrimination", et qu’elles ne méconnaissaient aucun droit ou liberté que la Constitution garantit.

Pour lire la décision du Conseil constitutionnel

Google Glass : demande d’informations

Tel qu’annoncé dans une lettre adressée au président de Google et relayée le 18 juin 2013 par la CNIL, une initiative mondiale de coopération a été lancée par l’autorité de protection canadienne, le G29 et certaines autorités membres de l’APEC. Ces dernières ont fait part de leurs inquiétudes concernant le projet Glass de développement de lunettes à réalité augmentée par Google. Les autorités de contrôle de protection des données cherchent à obtenir des informations sur le fonctionnement de ces lunettes et leur conformité avec les lois de protection des données personnelles.

Pour lire la lettre sur le site de la CNIL

Actions répressives de six CNIL européennes contre Google

Le 2 avril 2013, six CNIL européennes ont décidé d’engager des actions répressives contre Google, chacune choisissant les modalités à mettre en œuvre au niveau national. En France, la CNIL a décidé d’ouvrir une procédure de contrôle de Google, couplée d’une procédure de coopération administrative avec les autres membres du G29 (réunion des CNIL européennes). Ces actions font suite aux recommandations du G29 en matière de protection des données sur les nouvelles règles de confidentialité de Google, recommandations restées sans effets.

Pour lire le communiqué de la CNIL.

Action répressive des CNIL européennes contre Google

Le 26 février 2013, le G29 (rassemblement des CNIL européennes) s’est prononcé en faveur de l’instauration d’un groupe de travail afin de coordonner une action répressive contre Google. En effet, suite à l’instauration de nouvelles règles de confidentialité par Google, le G29 avait formulé des recommandations, notamment sur une meilleure information des personnes, ainsi que sur la durée de conservation des données. La société américaine, qui avait jusqu’au 16 février pour s’y conformer, n’a fourni aucune réponse.

Pour lire le communiqué de la CNIL.

Les CNIL francophones pour une protection mondiale des données personnelles

Réunies à l’occasion de leur 6ème conférence annuelle, le 23 novembre 2012, les Autorités francophones de protection des données personnelles ont adopté une déclaration commune. Après avoir rappelé leur engagement à créer un « espace francophone du droit à la protection des données personnelles cohérent et harmonisé », elles y expriment leur souhait de voir adopter un « instrument mondial de protection des données personnelles » qui s’inscrirait dans la suite des standards internationaux adoptés lors de la conférence de Madrid en novembre 2009.

Pour lire la déclaration commune des CNIL francophones.