Le règlement général sur la protection des données s’enrichit de nouvelles lignes directrices sur l’analyse d’impact

Après avoir analysé les contributions reçues dans le cadre de la consultation publique sur la première version de ses lignes directrices explicitant les notions d’autorité chef de file, de délégué à la protection des données et de droit à la portabilité, le G29 a adopté le 5 avril 2017 leurs versions définitives. Lire la suite

Données personnelles : la défense du droit à la vie privée face à la volonté des Etats membres d’imposer une surveillance généralisée

La Cour de justice de l’Union européenne (CJUE) vient d’affirmer une nouvelle fois sa volonté de garantir les droits fondamentaux des personnes dans le monde numérique en complétant l’édifice législatif établi en matière de protection des données (CJUE, 21 décembre 2016, C-203/15 et C-698/15).

Lire la suite

De la communication dans l’e-banking

La digitalisation de notre économie pousse parfois les banques à vouloir concentrer la communication avec leurs clients dans l’espace virtuel qu’elles créent pour ces derniers, notamment au moyen de boîtes mail dédiées et sécurisées. On s’interroge parfois sur l’opposabilité au client de cette forme de communication, puisque la prise de connaissance implique une démarche active du client (le log in).
Lire la suite

L’anonymisation des données personnelles devant le Conseil d’Etat

La loi n°78-17 du 6 janvier 1978 dite « informatique et libertés » modifiée s’applique aux « traitements automatisés de données à caractère personnel » : elle prévoit de lourdes obligations à la charge des personnes physiques ou morales déterminant les finalités et moyens de ces traitements, notamment en termes de sécurité, d’information ou encore de respect des droits des personnes. Le règlement européen 2016/679 du 27 avril 2016 dit « règlement général sur la protection des données » renforce encore ces obligations ainsi que les sanctions afférentes ; il s’appliquera à compter du 25 mai 2018.

Lire la suite

Données personnelles : modification des clauses contractuelles types et décisions d’adéquation de la Commission européenne

Par deux décisions d’exécution en date du 16 décembre 2016 (n°2016/2295 et n°2016/2297), la Commission européenne a modifié les clauses contractuelles types et les décisions d’adéquation afin de prendre en considération certaines critiques émises par l’arrêt « Schrems » de la Cour de justice de l’Union européenne (arrêt C-361/14 du 6 octobre 2015; voir notre présentation).

Lire la suite

Adresses IP dynamiques et données à caractère personnel

Le 19 octobre 2016, la Cour de justice de l’Union européenne (CJUE) a rendu une importante décision relative à la qualification de données à caractère personnel des adresses de protocole Internet dynamiques (« adresses IP dynamiques »), en détaillant ses conséquences (CJUE, 19 octobre 2016, C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland).

Lire la suite

Droit à l’oubli et au déréférencement : mise en balance avec la liberté d’expression et le traitement des données à des fins journalistiques

Les juges ont de plus en plus souvent à connaître de demandes de particuliers visant à obtenir le déréférencement d’articles contenant des données préjudiciables les concernant. Il appartient aux juges, au cas par cas, de mettre en balance les droits fondamentaux au respect de la vie privée et le droit de s’opposer au traitement de données personnelles avec la liberté d’expression et le droit du public à l’information. Deux décisions récentes illustrent les critères retenus dans la recherche de cet équilibre délicat.
Lire la suite

Lancement du bouclier de protection des données UE-Etats-Unis : une protection renforcée pour le flux de données transatlantiques

Depuis 2000, les modalités de transfert des données à caractère personnel entre la France et les Etats-Unis étaient encadrées par l’accord Safe harbor. Or, par un arrêt du 6 octobre 2015, cet accord a été invalidé par la Cour de … Lire la suite

Windows 10 : la CNIL met Microsoft en demeure

Le 30 juin 2016, après avoir effectué des vérifications relatives aux traitements entrepris dans le cadre du système d’exploitation Windows 10, la Commission nationale de l’informatique et des libertés (CNIL) a mis Microsoft en demeure de se conformer à la réglementation française concernant la protection des données à caractère personnel (décision n°2016-058 du 30 juin 2016). Elle décide par ailleurs que cette décision devrait être rendue publique compte tenu de l’importance des infractions en cause.

Lire la suite

L’hébergement des données de santé par un prestataire agréé désormais obligatoire pour tous les professionnels du secteur médical, social et médico-social

La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé a profondément modifié le Code de la santé publique et notamment son article L.1111-8 relatif à l’hébergement des données de santé.

Lire la suite

Droit à l’oubli : CNIL = 1/Google = 0

Depuis la décision de la Cour de justice de l’Union européenne du 13 mai 2014 (CJUE, 13 mai 2014, C-131/12, Google Spain SL, Google Inc. : voir notre commentaire paru dans la lettre des propriétés intellectuelles de juillet 2014), les moteurs de recherches sont contraints de mettre en œuvre le droit au déréférencement des internautes. Cela conduit, par exemple lorsqu’une demande est faite via un formulaire mis à disposition par un moteur de recherches, à ce que certains résultats n’apparaissent pas dans la liste produite par ledit moteur à la suite d’une requête nominative.

Lire la suite

Données de géolocalisation : le loueur de voitures est qualifié de responsable du traitement

Dans un arrêt rendu le 18 décembre 2015, le Conseil d’Etat a approuvé la Commission nationale de l’informatique et des libertés (CNIL) d’avoir considéré qu’un loueur de véhicules équipés d’un dispositif de géolocalisation de ses clients répondait à la qualification de responsable du traitement de données à caractère personnel (CE, 18 décembre 2015, n°384794).

Lire la suite

Mise en demeure de la CNIL : les nombreux manquements de Facebook à la loi « informatique et libertés »

Par une décision n°2016-007 du 26 janvier 2016, la présidente de la CNIL a mis en demeure Facebook Inc. et Facebook Ireland Limited de remédier à de nombreux manquements à la loi dite « informatique et libertés » du 6 janvier 1978.

Lire la suite

Légalité de l’effacement des adresses IP un an après la dernière connexion

La société ETAI, qui commercialise notamment une revue « RTA », a constaté que celle-ci était mise à disposition gratuitement et sans son accord sur le forum d’un site Internet. Par ordonnance du tribunal de commerce de Paris, l’hébergeur et éditeur du site Internet Car&Boat Média, a été condamné à communiquer tous renseignements en sa possession concernant l’utilisateur du pseudonyme diffusant le lien gratuit vers la revue.
Lire la suite

Open Data : le premier décret d’application est paru

Pour mémoire, la loi n°2015-1779 du 28 décembre 2015 relative à la gratuité et aux modalités de la réutilisation des informations du secteur public a été adoptée dans le but d’assurer la transposition de la directive 2013/37/UE du 26 juin 2013.

Lire la suite

Privacy shield : les premières pierres de l’édifice

Les modalités de transfert de données personnelles entre la France et les Etats-Unis étaient encadrées depuis 2000 par une décision de la Commission européenne. Ce cadre juridique, dit « Safe harbor« , a toutefois été remis en cause à l’automne 2015 par la Cour de justice de l’Union européenne. Prises de court, les entreprises concernées ont donc dû mettre en place des dispositifs transitoires, afin que les transferts de données puissent continuer dans l’attente de l’adoption de mesures pérennes. La Commission européenne a ensuite proposé, fin février 2016, un nouveau cadre de réglementation pour ces transferts, sur lequel le G29 a produit ses premières observations le 13 avril 2016.

Lire la suite

Données personnelles : faille de sécurité chez un sous-traitant, vous êtes responsable

Chaque responsable de traitement doit veiller à ce que son sous-traitant et même le sous-traitant de son sous-traitant assure la sécurité des données à caractère personnel qui lui sont confiées. C’est ce qu’a rappelé le Conseil d’Etat dans un arrêt du 30 décembre 2015, en confirmant la sanction infligée par la CNIL à Orange, dans sa délibération du 7 août 2014, en raison d’une faille de sécurité dans le système d’information de son sous-traitant secondaire.

Lire la suite

Proposition de règlement « données personnelles » : dernière ligne droite !

A la suite de la proposition de règlement pour la protection des données à caractère personnel de la Commission européenne, déposée le 25 janvier 2012, certains points de dissension avaient pu naître entre le Parlement européen et le Conseil de l’Union européenne. Lire la suite

Sur la possibilité d’appliquer la loi nationale sur la protection des données à une société étrangère

La société Weltimmo, immatriculée en Slovaquie, publiait via son site Internet des annonces immobilières de biens situés en Hongrie. Ce faisant, elle traitait les données personnelles des annonceurs. La publication des annonces était gratuite pendant un mois et devenait payante passé ce délai.

Lire la suite

Interdiction du traçage des internautes non-membres de Facebook en Belgique. Quid en France ?

Bien que la décision commentée ait été prononcée par une juridiction belge, la question se pose de savoir si –à supposer des faits similaires– la même décision aurait pu être prononcée par des juridictions françaises.
Lire la suite

Défaut de sécurité de données clients : sanction de 50 000 € à l’encontre d’Optical center

Malgré les scandales récents liés à la captation de données, nombre d’entreprises n’ont toujours pas pris la pleine mesure de la nécessité de protéger leurs données ou celles de leurs clients. En témoigne la délibération récente de la Commission nationale de l’informatique et des libertés (CNIL) à l’encontre d’Optical center (délibération de la formation restreinte n°2015-379 du 5 novembre 2015).

Lire la suite

Sanction pénale pour traitement non déclaré à la CNIL : le nombre des données concernées est sans incidence

En vertu de l’article L.226-16 du Code pénal, est réprimé le fait, y compris par négligence, de procéder ou faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi n°78-17 du 6 janvier 1978. Lire la suite