Obligation de suppression de données à caractère personnel par Google

Dans un arrêt du 13 mai 2014, la CJUE s’est prononcée à titre préjudiciel sur la question de savoir si l'activité d'un moteur de recherche doit être qualifiée de "traitement de données à caractère personnel" au sens de l'article 2 de la directive du 24 octobre 1995 sur les données personnelles. En l'espèce, un internaute demandait à ce qu'il soit ordonné à Google "de supprimer ou d'occulter" ses informations personnelles, liées à une saisie pratiquée en recouvrement de dettes dont il avait fait l'objet seize ans plus tôt. La Cour y a répondu par l'affirmative en soulignant d'une part, que l'activité d'un moteur de recherche consiste à indexer de manière automatique et à stocker temporairement des informations publiées ou placées sur internet par des tiers, ainsi qu'à les mettre à disposition des internautes selon un ordre de préférence donné. Elle considère d'autre part Google comme "responsable" dudit traitement. La Cour en conclut que, dans un tel cas, celui-ci "est obligé de supprimer de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne" et ce, "même lorsque leur publication en elle-même sur lesdites pages est licite".

Pour lire l'arrêt de la CJUE

Précisions sur la qualification de responsable de traitement entre holding et filiales

Dans un arrêt du 12 mars 2014, le Conseil d’Etat a confirmé le statut de responsable de traitement d’une holding et la sanction de la CNIL à son encontre. En l’espèce, une holding spécialisée dans l’administration de biens immobiliers avait reçu un avertissement de la CNIL pour avoir exploité un traitement recensant les biens immobiliers disponibles pour des opérations de vente et de location en méconnaissance de la loi Informatique et Libertés. La holding a formé un recours en annulation de cette sanction devant le Conseil d’Etat, soutenant qu’elle ne pouvait être regardée comme un responsable de traitement. Le Conseil d’Etat a constaté que la holding, qui avait mis le traitement à disposition de ses filiales, avait ‘‘décidé de la nature des données collectées et déterminé le droit d’accès à celles-ci’’ puis en avait fixé la durée de conservation. Le Conseil d’Etat a ajouté que le fait que les filiales aient désigné un CIL, n’avait pas pour effet de rendre celles-ci responsables de traitement.

Pour lire l’arrêt sur Légifrance.

Mise en demeure par la Cnil des sociétés d’auteurs et de leur sous-traitant

A la suite d’un contrôle effectué les 17 et 18 mai 2011 dans les locaux de la société TMG, sous-traitant des sociétés de perception et de répartition des droits d’auteur (SRPD) dans la mise en œuvre du dispositif de riposte graduée, la Cnil a constaté plusieurs manquements à leurs obligations de sécurité dans le traitement des données. Elle a notamment relevé un manque de rigueur dans la mise à jour des équipements informatiques, la défaillance des mesures de sécurité physique ainsi que l’absence de procédure permettant d’en garantir la bonne application. Les SRPD, qui ont obtenu l’autorisation de mise en œuvre du traitement, demeurent responsables. Elles disposent de trois mois pour s’assurer que la société TMG garantisse de manière suffisante la sécurité des données traitées.

Pour consulter l’article sur le site de la Cnil

Google soumis à la loi informatique et liberté

Une ordonnance du TGI de Montpellier a fait application de la Loi Informatique et Liberté dans un litige mettant en cause le moteur de recherche Google auquel il était demandé de supprimer des liens renvoyant à une vidéo à caractère pornographique. Le Tribunal a considéré en l’espèce que Google et Google Inc étaient responsables de traitement et a fait application des dispositions de compétence territoriale prévues à l’article 5 de la loi de 1978.

Pour consulter l’ordonnance sur le site legalis.net

Réforme du crédit à la consommation et des fichiers de crédits

Un projet de loi sur le crédit à la consommation est actuellement examiné par le Parlement. Il prévoit une modification du fichier national des incidents de crédits aux particuliers (FICP) afin de permettre de nouvelles possibilités de consultation. Ainsi, les établissements de crédit auraient l'obligation de le consulter avant l'octroi d'un crédit et la faculté de le consulter avant l'octroi d'un moyen de paiement. Il envisage également la création d'un Comité de préfiguration chargé d'étudier les modalités de mise en place d'un registre national des crédits. La CNIL avait, dès 2005, fait part de la nécessité d'une loi dans le domaine du crédit à la consommation afin de garantir les droits des personnes concernées. Elle annonce donc qu'elle suivra avec attention ce projet de loi. Voir le communiqué de la CNIL