• Français -fr 

RGPD

Maître Viviane GELLES interviendra au NDDCAMP 2018 ce 21 juin 2018

« Les obligations juridiques des éditeurs de sites : hébergement, référencement, RGPD… »

Découvrez le programme ici

Maître Charlotte RIAUD a animé ce mardi 22 mai 2018 l’atelier RGPD de « Val de Lys Entreprendre »

Val de Lys – Invitation

« Le Règlement européen sur la protection des données personnelles (RGDP) entre en vigueur le 25 mai 2018.

Il impacte toutes les entreprises, pour tous leurs traitements de données personnelles, que ce soit à l’égard de leurs clients, mais aussi de leurs salariés.
Venez découvrir ce qu’est le RGDP, son périmètre d’application et les mesures à prendre !»

Prospection syndicale : pas d’exception à la loi.

En cette période de grève, les actions syndicales sont plus actives, y compris en terme de prospection.

Il semble utile de rappeler que le droit des données personnelles doit être respecté de la même façon que pour les autres organisations.

A titre d’illustration, une décision de la CNIL en date du 16 février 2012 avait été rendue à l’encontre d’un syndicat.

En l’espèce, le syndicat CGT des établissements d’enseignement supérieur de l’Académie de Lille avait envoyé plusieurs courriels de « prospection syndicale » (et non commerciale) non sollicités, sur les adresses de messagerie électronique professionnelle des salariés de l’Université de Lille 1.

Suite à ces envois, une des salariés a adressé au syndicat plusieurs demandes d’opposition. Le syndicat n’ayant donné aucune réponse à ses demandes, la salariée avait saisi la CNIL.

La CNIL avait mis en demeure le syndicat, par sa décision n° 2011-004 du 19 mai 2011, dans un délai d’un mois à compter de sa notification, de :

• préciser les moyens par lesquels il a pris connaissance de l’adresse électronique des personnels de l’Université de Lille 1 et veiller à ne pas collecter des données à caractère personnel de manière déloyale ou illicite, en particulier ne pas collecter d’adresse électronique à des fins de prospection syndicale à l’insu des personnes concernées ;
• préciser les raisons pour lesquelles le droit d’opposition de la plaignante n’a été pris en compte que tardivement ;
• prendre toute mesure de nature à garantir qu’il soit tenu compte, de manière immédiate et systématique, du droit d’opposition exercé par toute personne concernée en application de l’article 38 de la loi du 6 janvier 1978 ;
• etc.

La CNIL avait alors considéré que le syndicat avait commis plusieurs manquements, notamment au titre de la collecte loyale des données (article 6 1° LIL). A cet égard, la CNIL avait relevé que :

• il est établi que le syndicat a fait usage, à des fins de prospection syndicale, d’adresses de messageries électroniques professionnelles. Celles-ci constituent des données à caractère personnel au sens de la loi du 6 janvier 1978 modifiée, dès lors qu’elles contiennent des informations relatives à des personnes physiques identifiées ou qui peuvent être identifiées au sens de l’article 2 alinéa 2 de la loi précitée.
• sur le fond, en premier lieu, la formation restreinte constate qu’il ressort des termes de la plainte que l’intéressée n’a jamais sollicité d’envois de messages de prospection syndicale sur son adresse des messagerie professionnelle et qu’elle n’a jamais été informée préalablement à cette prospection. Elle considère, dès lors, qu’elle ne peut écarter le grief de collecte déloyale formulé à l’encontre du syndicat.

Avec l’application imminente du RGPD le 25 mai, la vigilance sur ces sujets doit être accrue ainsi qu’une gestion rigoureuse des droits des personnes concernées.

Cela suppose de mettre en place au plus vite des actions de sensibilisation pour toutes les organisations, quelle que soit leur taille.

Blandine POIDEVIN

Maître Viviane GELLES interviendra lors de la Conférence RGPD du Pôle Plastium ce jeudi 19 avril 2018

Données personnelles : Google condamnée à supprimer la fiche « Google My Business » d’un chirurgien-dentiste

TGI Paris Ordonnance du 06/04/2018 – Monsieur X / Google France et Google LLC  : Lien

En l’espèce, un chirurgien-dentiste a constaté que la formulation d’une recherche portant sur ses nom et prénom faisait ressortir une fiche « Google My Business » relative à son activité professionnelle, créée sans son consentement, et contenant ses nom, prénom, l’adresse et les horaires d’ouverture de son cabinet et des avis de patients.

Il a sollicité la suppression de cette fiche auprès de Google France et Google LLC, ce qui lui a été refusé. Devant ce refus, il a saisi le Tribunal de Grande Instance de Paris en référé et a sollicité la suppression de cette fiche sur le fondement de la Loi Informatique et Libertés, de la LCEN et des articles 226-16 et suivants du Code pénal.

Le Tribunal de Grande Instance de Paris a fait droit à sa demande, sur le fondement de l’article 226-18-1 du Code pénal notamment, qui dispose : « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Le Tribunal a estimé que les conditions d’application de cet article étaient réunies en l’espèce et qu’il y avait donc lieu de faire cesser un trouble manifestement illicite, dans la mesure où :

  1. Toute information qui permet l’identification d’une personne physique, comme ses nom et prénom, son adresse ou son numéro de téléphone, est constitutive d’une donnée à caractère personnel. La circonstance que de telles données soient relatives à l’activité professionnelle de la personne en question est donc sans incidence sur cette qualification.
  2. Le chirurgien-dentiste a d’abord accepté l’existence de cette fiche, créée sans son autorisation, mais s’y est ensuite opposé en demandant sa suppression.
  3. L’existence de cette fiche implique l’envoi par Google de courriels à des fins de prospection commerciale puisqu’il est proposé au chirurgien-dentiste de payer pour des annonces publicitaires sur la fiche « Google My Business » afin « d’améliorer ses performances », par le biais de Google AdWords Express.

Christine VROMAN

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

RGPD : « Les citoyens connaissent de mieux en mieux leurs droits en matière de données personnelles. Et ils sont bien décidés à les faire respecter ! »

Lire l’interview

RGPD : des citoyens mieux armés pour protéger leurs données

Lien vers l’article