Le RGPD reste applicable au Royaume-Uni jusqu’au 1er juillet 2021

Le 1er janvier 2021, l’accord de commerce et de coopération conclu entre l’Union européenne et le Royaume-Uni est entré en application. Ce dernier prévoit que le RGPD restera applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. Ainsi, à moins qu’une décision d’adéquation ne soit accordée par la Commission européenne d’ici cette date butoir, les transferts de données personnelles vers le Royaume-Uni devront alors être encadrés par les autres outils prévus par le RGPD.

Pour lire l’accord

La CNIL sanctionne un groupe de grande distribution et sa filiale

Par deux délibérations du 18 novembre 2020, la formation restreinte de la CNIL a condamné un groupe de grande distribution et sa filiale à des amendes respectives de 2 250 000 euros et 800 000 euros pour non-respect de la réglementation relative à la protection des données. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de limitation de la durée de conservation et de traitement loyal des données, et de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies.

Pour lire la première et la seconde délibérations de la CNIL

Le Conseil d’État valide le décret sur l’Authentification en ligne certifiée sur mobile (Alicem)

Le 4 novembre 2020, le Conseil d’État a indiqué que le décret sur la solution d’identité numérique Alicem recourant à la reconnaissance faciale était conforme au RGPD et à la Loi Informatique et Libertés. En effet, le consentement des utilisateurs au traitement de données biométriques était libre car ceux "qui ne consentiraient pas au[dit] traitement peuvent accéder en ligne" aux téléservices, grâce à un identifiant unique généré par un dispositif n’utilisant pas la reconnaissance faciale. Ainsi, "le préjudice au sens du [RGPD]" n’est pas caractérisé.

Pour lire la décision du Conseil d’État

La CNIL publie sa position sur l’application « TousAntiCovid »

Le 23 octobre 2020, la CNIL a indiqué que le déploiement de l’application de traçage des cas contacts, remplaçant "StopCovid", "ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation [de la nouvelle application]". Celle-ci reprend en effet le protocole antérieur "conçu dans une logique de minimisation des données et de protection dès la conception".

Pour lire le communiqué de la CNIL

   

Application « StopCovid » : la CNIL met en demeure le Ministère des Solidarités et de la Santé

Le 16 juillet 2020, à la suite de trois contrôles portant sur le traitement des données personnelles dans le cadre de l’application "StopCovid", la CNIL a mis en demeure le Ministère des Solidarités et de la Santé de se conformer au RGPD. La CNIL a notamment constaté des manquements aux obligations "de traiter les données conformément au décret du 29 mai 2020", "d’informer les personnes concernées et d’obtenir [leur consentement]" et "d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants".

Pour lire la décision de la CNIL

L’obligation de dépôt des comptes annuels d’une SASU ne porte pas une atteinte disproportionnée aux données personnelles de son président

Le 24 juin 2020, la Cour de cassation a jugé que l’injonction faite au président-associé d’une société de déposer les comptes annuels de celle-ci ne porte pas une atteinte disproportionnée à ses données personnelles dans la mesure où le patrimoine de l’associé, au demeurant distinct de celui de la société, "n’est qu’indirectement et partiellement révélé". La Cour a donc considéré que l’atteinte était "proportionnée au but légitime de détection et de prévention des difficultés des entreprises".

Pour lire l'arrêt sur Légifrance

La CNIL publie un guide « tiers autorisés »

Le 10 juillet 2020, la CNIL a publié un guide pratique à destination des professionnels faisant l’objet de demandes de renseignements ou de documents de la part d’autorités. Afin qu’ils respectent les obligations de sécurité et de confidentialité des données qui leur incombent en tant que responsables de traitement, la CNIL leur recommande de vérifier le fondement légal et le périmètre des demandes ainsi que la qualité de leur émetteur, et d’y répondre de manière sécurisée.

Pour lire le guide et le recueil de procédures

La Cour de justice de l’Union européenne (CJUE) invalide le Privacy Shield

Par arrêt préjudiciel du 16 juillet 2020, la CJUE a invalidé la décision de la Commission européenne ayant constaté l’adéquation de la protection des données personnelles offerte par le Privacy Shield. La CJUE a considéré que les Etats-Unis n’encadraient pas suffisamment l’accès par les autorités américaines aux données transférées et ne conféraient pas aux personnes concernées de droits opposables devant les tribunaux américains. Elle a toutefois considéré que les clauses contractuelles types demeuraient valides.

Pour lire l'arrêt de la CJUE

La CNIL publie des fiches explicatives relatives à des outils de mise en conformité

Le 7 février 2020, la CNIL a publié des guides dédiés aux codes de conduite et aux règles d’entreprise contraignantes (BCR). Ces guides décrivent la finalité, le contenu et le processus de mise en place de ces outils de conformité. La CNIL a par ailleurs ouvert un téléservice permettant aux organismes de lui soumettre leurs projets de BCR.

Pour lire le communiqué de la CNIL

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL