21
avril
2020
Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques
Author:
teamtaomanews
Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.
À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :
Un rappel des principes fondamentaux assurant la licéité des traitements
Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.
Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)
Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements
Un focus sur les traitements réalisés par les employeurs
Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.
Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :
Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
Un focus sur les traitements de données de géolocalisation des téléphones mobiles
Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.
À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).
À l’échelle nationale, la CNIL a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.
Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :
les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).
Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.
La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.
Parmi les mesures les plus significatives, on notera :
Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.
Eugénie Lebelle
Elève-avocate
Anita Delaage
Avocate
Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19
20
juin
2019
La CNIL confirme son pouvoir de sanction sans mise en demeure : condamnation de SERGIC à 400 000 euros pour violation grave de l’obligation de sécurité
Author:
teamtaomanews
Fin Avril, le Conseil d’État confirmait la capacité de la CNIL à sanctionner les violations des règles de sécurité des données personnelles sans forcément recourir à une préalable mise en demeure destinée à laisser la possibilité au contrevenant de corriger son comportement (note : voir notre news sur l’affaire OPTICAL CENTER).
Dans sa délibération du 28 mai 2019, l’autorité de contrôle confirme sa volonté d’exercer ce pouvoir.
L’entreprise ciblée est la société SERGIC, spécialisée dans le secteur immobilier qui avait fait l’objet d’une plainte par un utilisateur, étonné que la simple modification d’un nombre dans l’adresse URL du site web de la société lui permette d’accéder aux dossiers et pièces justificatives de candidats à la location.
Un contrôle en septembre 2018 met en lumière un manquement flagrant à la sécurité des données sur le plan du volume des données concernées et de la durée de la violation. Il est en effet question du téléchargement de plus de 9000 documents incluant « des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers ».
En outre malgré un signalement antérieur, le défaut de protection des données a persisté pendant une durée de plus de 6 mois avant que des mesures y mettent un terme.
Enfin la violation est aggravée par le fait que, de l’aveu de la société, les données des candidats à la location ne sont pas effacées une fois leur dossier classé et la candidature acceptée ou refusée.
Dans sa délibération du 28 mai, la CNIL constate donc un manquement à l’article 32(1) du RGPD, concernant les mesures raisonnables de protection des données. Elle insiste sur la durée du manquement, sur le grand nombre et l’aspect sensible et intime des données laissées sans protection.
En outre, la CNIL constate une violation des dispositions de l’article 5-1-e) du règlement relatif à la proportionnalité des délais de conservation des données ; pour l’autorité de contrôle, la société incriminée a aggravé son cas en conservant bien au-delà de la finalité originale les données relatives aux candidats n’ayant pas accédé à la location, qui auraient dû être supprimées dès la clôture de leur dossier.
Au vu de la gravité de ces manquements et du manque de diligence de la société dans leur gestion, la CNIL condamne cette dernière au paiement d’une amende de 400 000 euros, et à la publication de ladite sanction, sans mise en demeure préalable, et donc sans permettre à SERGIC de corriger les errements avant de décider de la sanction.
A ce sujet, la CNIL rappelle dans sa délibération qu’une mise en demeure n’est aucunement rendue obligatoire par les dispositions de la loi informatique et libertés de 1978 qui régit son action. Cette décision est ainsi à placer dans la continuité de l’affaire OPTICAL CENTER.
Le message de la CNIL est clair : pas de rattrapage pour les violations graves, la vigilance des responsables de traitement s’impose au plus fort.
Lire la délibération
14
juin
2019
Sanction de la CNIL : pas d’obligation de mise en demeure préalable confirmée par le Conseil d’Etat
Author:
teamtaomanews
Dans un arrêt du 17 avril 2019, l’autorité administrative suprême a refusé d’infirmer les sanctions prises par la CNIL contre la société OPTICAL CENTER, au motif que ces dernières n’auraient pas été précédées d’une mise en demeure permettant à la société de corriger les problèmes.
En 2017, une enquête de la CNIL initiée suite à plusieurs plaintes concernant OPTICAL CENTER a mis à jour le fait que la simple entrée d’URL dans un navigateur permettait l’accès à de nombreuses factures et bons de commande des clients de la société faute de restriction de l’accès aux données par la connexion à un espace personnel.
La CNIL a pris la décision de sanctionner d’une amende de 250.000 euros cette grave faille de sécurité, qui méconnaissait l’article 34 de la Loi Informatique et Libertés, sans mise en demeure permettant à la société de corriger les errements et alors que cette société avait déjà pris les mesures nécessaires à la correction du problème.
Cette décision a été portée devant le Conseil d’Etat qui, dans son arrêt du 17 avril 2019, a confirmé la décision et rappelé que la mise en demeure n’est pas une étape obligatoire préalable à la sanction et que l’article 45 de la loi du 6 janvier 1978 dispose que « Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues ».
Le Conseil en déduit la possibilité pour la CNIL d’outrepasser l’étape de la mise en demeure lorsque cette dernière est clairement inutile ; soit que le manquement incriminé ne puisse être corrigé, soit, comme c’était le cas en l’espèce, qu’il y ait déjà été remédié.
Le Conseil d’État réduit toutefois la sanction d’OPTICAL CENTER, en jugeant que la CNIL, ne tenant pas compte de la promptitude de la société à réagir à ses demandes, a prononcé une sanction disproportionnée ; cette dernière sera donc ramenée à 200.000 euros.
Lire la décision complète
24
mai
2019
Compteurs Linky et RGPD, le courant passe bien
Author:
teamtaomanews
La Société Enedis devrait dans les prochaines semaines passer le cap des 20 millions d’unités en service pour le compteur électrique connecté Linky. Un chiffre symbolique quand on sait les réticences qu’a suscité cet appareil et les nombreux contentieux dont il a fait l’objet.
Dernier épisode dans la saga juridique du compteur, le juge des référés du TGI de Bordeaux a rejeté le recours collectif formé par plus de 200 personnes qui considéraient que l’appareil leur causait un trouble manifestement illicite ou les exposait un dommage imminent notamment eu égard au droit de la consommation et au principe de précaution en matière environnementale. Un troisième moyen était fondé sur la violation du Règlement général sur la protection des données (« RGPD ») et ses principes de transparence et de consentement éclairé. Les demandeurs soutenaient que la collecte et le traitement des données personnelles des utilisateurs du compteur seraient effectués sans leur consentement, et pour une utilisation qu’ils qualifiaient d’ « opaque ».
Le juge justifie son rejet de ce moyen en expliquant que les données collectées par Linky font l’objet d’« une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative ». Elles perdraient donc ainsi leur caractère personnel, identifié ou identifiable, nécessaire à l’application des mesures du Règlement. Le juge estime par ailleurs que les demandeurs n’ont pas apporté la preuve suffisante d’un traitement illicite des données collectées par Enedis. Seule victoire pour ces derniers, la pose d’un compteur dans un immeuble où résident des personnes hypersensibles aux ondes électromagnétiques devra s’accompagner d’un système de filtrage.
Cette ordonnance constitue, après les déboires de l’appareil avec la CNIL, une nouvelle validation de sa conformité avec le droit des données personnelles. Il a en effet été reproché l’an dernier à la société Direct Énergie (partenaire d’Enedis) de manquer à ses obligations quant au recueillement d’un consentement libre, éclairé et spécifique, au sens de l’article 7 de la loi Informatique et Libertés[1]. La société avait par la suite rectifié le tir, ce qui avait résulté en une clôture de la mise en demeure par la Commission[2].
Après cette décision qui adoubait Linky comme conforme à la Loi Informatique et Libertés, Le juge des référés du TGI de Bordeaux rejoint donc l’autorité de contrôle en reconnaissant la conformité du traitement au règlement, assurant sa légalité auprès de la nouvelle législation. Une décision à forte portée symbolique pour un appareil qui aura, dès sa conception, fait l’objet d’inquiétudes et d’un suivi particulièrement attentif sur le plan du traitement de données.
Référence et date : Tribunal de grande instance de Bordeaux, 23 avril 2019
Lire la décision sur Legalis
[1] CNIL, Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE
[2] CNIL, Décision du 24 octobre 2018, Clôture de la décision n°MED-2018-007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE
07
mai
2019
Avis négatifs sur Google: liberté d’expression vs protection des données
Author:
teamtaomanews
Dans une ordonnance du 12 avril 2019, le juge des référés du TGI de Paris a refusé la suppression de la fiche Google « MyBusiness » d’une dentiste et des avis allégués de dénigrement qui y avaient été publiés par ses patients. Ce service est consultable par les utilisateurs de Google Maps qui y recherchent les coordonnées d’une entité qui y est répertoriée (de tout type : boulangerie, musée, étude de notaires, siège social de multinationale ou salle de sport…).
La dentiste avait demandé au juge des référés de considérer que la fiche et les commentaires qui y étaient publiés constituaient un traitement illicite de ses données personnelles et un trouble manifestement illicite.
Le juge des référés (après avoir rappelé que seule la société Google LLC pouvait être mise en cause et non la société Google France, qui n’est pas l’exploitante du service « MyBusiness » et donc n’est pas le responsable du traitement) a confirmé que les données servant à l’identification d’un professionnel libéral constituent bien des données à caractère personnel.
Cette solution semble contraire à une précédente ordonnance rendue par le juge des référés du même tribunal, qui avait ordonné la suppression de la fiche « MyBusiness » d’un autre dentiste pour la simple raison qu’il en souhaitait la suppression et retirait ainsi son consentement[1]. Il semble en effet contestable de considérer que des données personnelles relatives à un professionnel libéral, puissent être librement traitées par un tiers qui s’y opposerait, sous le seul prétexte qu’elles seraient disponibles sur des annuaires professionnels.
Concernant, à présent, les avis des patients sur les prestations du dentiste, le juge a indiqué que l’ »intérêt légitime d’information du consommateur » permet à Google de relier des commentaires à l’identification d’un médecin et que l’abus de la liberté d’expression relève d’autres fondements que ceux invoqués par la demanderesse, à savoir ceux offerts par la loi du 29 juillet 1881 sur la presse en cas d’injure ou de diffamation[2] et l’article 1240 du code civil permettant d’agir contre des propos dénigrants. La suppression pure et simple de la fiche contenant les avis, en vertu du droit d’opposition concédé par la loi du 6 janvier 1978 « Informatique et libertés », constituerait une atteinte disproportionnée à la liberté d’expression, en tout cas lorsqu’une telle demande est formulée en référé.
La portée de cette décision en matière d’appréciation des données à caractère personnel d’un professionnel libéral devra être confirmée par la solution que retiendra le juge du fond si l’affaire se présente devant lui. Mais cette ordonnance rappelle à juste titre que les actions intentées à l’encontre de propos considérés diffamants ou injurieux doivent observer les règles prévues par la loi de 1881 et ne sauraient être fondées sur le droit des données personnelles.
[1]TGI de Paris, ordonnance de référé du 6 avril 2018
[2]Pour aller plus loin
Load more
Loading...