L’Information Commissioner’s Office (ICO) annonce son intention de sanctionner deux multinationales

Par deux déclarations publiées les 8 et 9 juillet 2019, l’autorité de contrôle pour la protection des données britannique a annoncé son intention de condamner une compagnie aérienne et une chaîne hôtelière pour manquements aux obligations de sécurité issues du RGPD. Ces amendes font suite à des incidents de sécurité ayant conduit à la fuite de centaines de millions de données personnelles concernant les clients des sociétés concernées. Le montant des amendes s’élève à plus de 183 millions et 99 millions de livres.

 Pour lire les déclarations sur le site de l’ICO (en anglais)

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net

Sweep Day 2018 : la CNIL publie ses observations à l’issue de l’audit réalisé dans le secteur des prestataires de services en informatique

Dans le cadre des travaux d’audit du Global Privacy Enforcement Network, qui rassemble plusieurs autorités de protection des données européennes, et dont le thème 2018 était la "responsabilisation des acteurs en matière de protection données personnelles", la CNIL a audité les pratiques mises en œuvre dans le secteur des prestataires de services en informatique. Le 5 mars 2019, elle a fait part de ses observations, parmi lesquelles les bonnes pratiques mises en œuvre par les entreprises de ce secteur telles que des "actions de sensibilisation de leurs salariés à la protection des données", l’étude de "leur qualité de sous-traitant ou de co-responsable de traitement" ou encore la prise en compte "de la protection des données dès la phase de conception dans leurs méthodologies de projet". La CNIL identifie également "des marges de progression" devant "impérativement être accomplis pour respecter les exigences du nouveau cadre juridique".

Pour lire le communiqué de la CNIL

Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

Publication du décret d’application de la loi relative à la protection des données personnelles

Le 3 août 2018 a été publié le décret n°2018-687 du 1er août pris en application de la Loi Informatique et Libertés du 6 janvier 1978 telle que modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Il achève la mise en conformité au RGPD du droit national en encadrant sa mise en œuvre concrète, précise certaines dispositions de la loi et fixe les délais et procédures applicables aux missions de la CNIL.

Pour lire le décret sur Légifrance

Le Conseil constitutionnel valide la loi adaptant la législation française au RGPD

Le 12 juin 2018 le Conseil constitutionnel a notamment décidé que si "le législateur [avait] fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résult[ait] pas une inintelligibilité de la loi", et a ainsi écarté les arguments des sénateurs qui arguaient de l'inconstitutionnalité de la loi. Le Conseil s'est également prononcé sur l'emploi d'algorithmes “auto-apprenants” par l'administration, c’est-à-dire "susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement", en lui interdisant de les utiliser "comme fondement exclusif d’une décision administrative individuelle". La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018.

Pour lire la décision du Conseil constitutionnel

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Avis de la CNIL sur le projet de loi d’adaptation du droit national au droit de l’UE

Après avoir été saisie par la Ministre de la Justice, la CNIL a rendu le 30 novembre 2017 une délibération portant avis sur le projet de loi visant à mettre en conformité le droit national avec le paquet européen de protection des données comprenant le Règlement Général sur la Protection des Données (RGPD) et la directive du 27 avril 2016 relative aux traitements de données personnelles dans la sphère pénale. Ainsi, selon la CNIL, bien que "le projet (…) rempli[sse] globalement [cet] objectif principal" et "semble faire un usage raisonnable [des marges de manœuvre ouvertes aux États par le Règlement]", il y a un "risque réel de non-respect des délais de mise en œuvre du paquet européen".

Pour lire la délibération de la CNIL