Prédication de porte-à-porte : la communauté religieuse est responsable du traitement des données des personnes démarchées

Sur saisine de la Cour administrative suprême finlandaise, la CJUE a eu l’occasion, dans un arrêt du 10 juillet 2018, de juger que la notion de “fichier” au sens de la Directive de 1995 sur les données à caractère personnel couvrait bien un “ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées” et que la communauté religieuse devait être considérée comme responsable de ce traitement conjointement avec ses membres prédicateurs, “sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements”.

Pour lire l’arrêt sur Legalis.net

Sanction par la CNIL d’un responsable de traitement pour manquement à l’obligation de sécurité

Dans une délibération du 8 janvier 2018, la formation restreinte de la CNIL a prononcé à l’encontre d’une société spécialisée dans la vente d’appareils électroménagers une sanction pécuniaire de 100 000 euros et la publicité de sa décision pour manquement à l’obligation d’assurer la sécurité des données de clients, après l’avoir qualifiée de responsable de traitement au motif notamment que si le traitement était mis en œuvre par un sous-traitant, il avait une “finalité unique de suivi des demandes de service après-vente adressées à cette société”.

Pour lire la délibération de la CNIL

Obligation de suppression de données à caractère personnel par Google

Dans un arrêt du 13 mai 2014, la CJUE s’est prononcée à titre préjudiciel sur la question de savoir si l'activité d'un moteur de recherche doit être qualifiée de "traitement de données à caractère personnel" au sens de l'article 2 de la directive du 24 octobre 1995 sur les données personnelles. En l'espèce, un internaute demandait à ce qu'il soit ordonné à Google "de supprimer ou d'occulter" ses informations personnelles, liées à une saisie pratiquée en recouvrement de dettes dont il avait fait l'objet seize ans plus tôt. La Cour y a répondu par l'affirmative en soulignant d'une part, que l'activité d'un moteur de recherche consiste à indexer de manière automatique et à stocker temporairement des informations publiées ou placées sur internet par des tiers, ainsi qu'à les mettre à disposition des internautes selon un ordre de préférence donné. Elle considère d'autre part Google comme "responsable" dudit traitement. La Cour en conclut que, dans un tel cas, celui-ci "est obligé de supprimer de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne" et ce, "même lorsque leur publication en elle-même sur lesdites pages est licite".

Pour lire l'arrêt de la CJUE

Précisions sur la qualification de responsable de traitement entre holding et filiales

Dans un arrêt du 12 mars 2014, le Conseil d’Etat a confirmé le statut de responsable de traitement d’une holding et la sanction de la CNIL à son encontre. En l’espèce, une holding spécialisée dans l’administration de biens immobiliers avait reçu un avertissement de la CNIL pour avoir exploité un traitement recensant les biens immobiliers disponibles pour des opérations de vente et de location en méconnaissance de la loi Informatique et Libertés. La holding a formé un recours en annulation de cette sanction devant le Conseil d’Etat, soutenant qu’elle ne pouvait être regardée comme un responsable de traitement. Le Conseil d’Etat a constaté que la holding, qui avait mis le traitement à disposition de ses filiales, avait ‘‘décidé de la nature des données collectées et déterminé le droit d’accès à celles-ci’’ puis en avait fixé la durée de conservation. Le Conseil d’Etat a ajouté que le fait que les filiales aient désigné un CIL, n’avait pas pour effet de rendre celles-ci responsables de traitement.

Pour lire l’arrêt sur Légifrance.

Mise en demeure par la Cnil des sociétés d’auteurs et de leur sous-traitant

A la suite d’un contrôle effectué les 17 et 18 mai 2011 dans les locaux de la société TMG, sous-traitant des sociétés de perception et de répartition des droits d’auteur (SRPD) dans la mise en œuvre du dispositif de riposte graduée, la Cnil a constaté plusieurs manquements à leurs obligations de sécurité dans le traitement des données. Elle a notamment relevé un manque de rigueur dans la mise à jour des équipements informatiques, la défaillance des mesures de sécurité physique ainsi que l’absence de procédure permettant d’en garantir la bonne application. Les SRPD, qui ont obtenu l’autorisation de mise en œuvre du traitement, demeurent responsables. Elles disposent de trois mois pour s’assurer que la société TMG garantisse de manière suffisante la sécurité des données traitées.

Pour consulter l’article sur le site de la Cnil

Google soumis à la loi informatique et liberté

Une ordonnance du TGI de Montpellier a fait application de la Loi Informatique et Liberté dans un litige mettant en cause le moteur de recherche Google auquel il était demandé de supprimer des liens renvoyant à une vidéo à caractère pornographique. Le Tribunal a considéré en l’espèce que Google et Google Inc étaient responsables de traitement et a fait application des dispositions de compétence territoriale prévues à l’article 5 de la loi de 1978.

Pour consulter l’ordonnance sur le site legalis.net

Réforme du crédit à la consommation et des fichiers de crédits

Un projet de loi sur le crédit à la consommation est actuellement examiné par le Parlement. Il prévoit une modification du fichier national des incidents de crédits aux particuliers (FICP) afin de permettre de nouvelles possibilités de consultation. Ainsi, les établissements de crédit auraient l'obligation de le consulter avant l'octroi d'un crédit et la faculté de le consulter avant l'octroi d'un moyen de paiement. Il envisage également la création d'un Comité de préfiguration chargé d'étudier les modalités de mise en place d'un registre national des crédits. La CNIL avait, dès 2005, fait part de la nécessité d'une loi dans le domaine du crédit à la consommation afin de garantir les droits des personnes concernées. Elle annonce donc qu'elle suivra avec attention ce projet de loi. Voir le communiqué de la CNIL