Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

Détermination de la loi applicable au traitement de données à caractère personnel

Par un arrêt du 1er octobre 2015, la CJUE, saisie de questions préjudicielles relatives à l’interprétation de l’article 4§1 de la directive 95/46 sur la loi applicable aux traitements de données à caractère personnel, a estimé que cet article “permet[tait] l’application de la législation relative à la protection des données à caractère personnel d’un Etat membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d’une installation stable sur le territoire de cet Etat membre, une activité effective et réelle même minime, dans le cadre de laquelle ce traitement est effectué”. Elle a précisé que pour caractériser une telle “installation stable” la juridiction de renvoi peut tenir compte du fait “que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet Etat membre et rédigés dans la langue de celui-ci” et “que ce responsable dispose d’un représentant dans ledit Etat membre”.

Pour lire l’arrêt de la CJUE

Absence d’un seuil minimal de données ou de fichiers pour l’application de la loi Informatique et Libertés

Dans un arrêt du 8 septembre 2015, la chambre criminelle de la Cour de cassation a retenu qu’était “réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi [Informatique et Libertés du 6 janvier 1978] qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers”. En l’espèce, un employé d’un établissement avait porté plainte du chef de traitement automatisé de données à caractère personnel sans autorisation après que deux notes de son responsable, destinées à son directeur, contenant des appréciations personnelles sur lui aient été enregistrées sur un répertoire informatique accessible à l’ensemble de l’établissement. La Cour a donc cassé l’arrêt de la Cour d’appel de Colmar qui avait considéré que ces notes n’étaient pas soumises à la Loi Informatique et Libertés.

Pour lire l’arrêt sur Légifrance

Déréférencement : mise en demeure de Google par la CNIL

Dans une délibération du 20 mai 2015, la CNIL a mis Google en demeure de procéder à des déréférencements sur toutes les extensions du nom de domaine de son moteur de recherche sous un délai de quinze jours. À la suite d’une première demande formulée par la CNIL, Google France avait indiqué avoir procédé au blocage des liens mis en cause au sein des résultats affichés par les extensions européennes du moteur de recherche. La CNIL a considéré que le refus de Google de déréférencer ces liens sur toutes ses extensions constituait un manquement aux droits d’opposition et d’effacement reconnus aux personnes visées par un traitement de données personnelles et rendait ineffectif leur droit au déréférencement, tel que consacré par la CJUE, dès lors que les liens demeuraient “accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche”.

Pour lire la délibération de la CNIL

Refus de mise en œuvre d’un traitement en matière d’infractions pédopornographiques par une société privée

Dans un arrêt du 11 mai 2015, le Conseil d’Etat a rejeté un recours pour excès de pouvoir formulé par une société à l’encontre d’une décision de la CNIL ne l’autorisant pas à mettre en œuvre un “traitement de données personnelles de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés”. En l’espèce, l’employeur souhaitait rapprocher les consultations de sites et chargements opérés à partir des postes des salariés avec un fichier correspondant à des contenus pédopornographiques communiqué par les autorités de police, afin, en cas de coïncidence, de saisir les autorités compétentes d’une infraction suspectée. Le Conseil d’Etat a relevé que la société n’était pas habilitée par la loi à créer de tels traitements, et que le fait que le traitement litigieux soit au nombre de ceux soumis à autorisation de la CNIL “ne saurait (…) lui ouvrir droit à la création de ce traitement”, de telle sorte qu’elle “n’était pas fondée à soutenir que la CNIL aurait fait une inexacte application” des textes.

Pour lire l’arrêt sur Légifrance

Dispositif biométrique et suivi du temps de travail

Par une délibération du 5 mars 2015, la CNIL a refusé d’accorder à une banque l’autorisation de mettre en œuvre un traitement automatisé de données personnelles reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle a constaté qu’aucune circonstance exceptionnelle n’était démontrée, que le dispositif “ne résult[ait] pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques”, et que le traitement envisagé ne relevait donc pas d’une finalité de sécurité justifiant un recours impératif à la biométrie. Elle a en outre relevé “l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif” et a donc considéré que le recours exclusif à un tel dispositif n’apparaissait “ni adapté ni proportionné à la finalité poursuivie”.

Pour lire la délibération de la CNIL

Suspension par le Conseil d’Etat de la mise en œuvre du fichier “STADE”  

Par une ordonnance du 13 mai 2015, le Conseil d’Etat a suspendu provisoirement la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé fichier “STADE”, autorisé par un arrêté ministériel du 15 avril 2015 et ayant pour objectif de prévenir les troubles à l’ordre public lors de manifestations sportives. En l’espèce, plusieurs associations de défense des intérêts des supporters avaient saisi le juge des référés du Conseil d’Etat d’un référé-suspension, affirmant que ce traitement de données à caractère personnel ne respectait pas les exigences de la Loi Informatique et Libertés en ne définissant pas avec une précision suffisante les personnes concernées et les catégories de données pouvant être enregistrées. Estimant qu’il existait un doute sérieux quant à la légalité de l’arrêté, les juges ont suspendu sa mise en œuvre jusqu’à ce qu’ils se prononcent sur la demande d’annulation dont ils ont été saisis.

Pour lire l’ordonnance du Conseil d’Etat