• Français -fr 

vie privée

Question préjudicielle sur le droit au déréférencement

Le conseil d’Etat a décidé de s’en remettre à la Cour de Justice de l’Union Européenne au sujet , notamment, du rôle à jouer par les moteurs de recherche au sujet du droit au déréférencement.

Il a ainsi, par une décision du 24 février 2017, soumis à la CJUE, les questions suivantes :
– lorsqu’il constate que les pages web, vers lesquelles mènent les liens dont le déréférencement est demandé, comportent des données dont la publication est illicite, le moteur de recherche est-il obligé de supprimer ces liens de la liste des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur ou doit-il seulement prendre en compte cette circonstance pour apprécier le bien-fondé de la demande de déréférencement ?
– ou que cette circonstance est sans incidence sur l’appréciation qu’il doit porter ?

La décision attendue viendra compléter la jurisprudence de la CJUE qui dessine, petit à petit, les contours du droit au déréférencement.

Rappelons ainsi que, dans son arrêt du 13 mai 2014 (C-131/12), la Cour de justice de l’Union européenne avait dit pour droit que l’activité d’un moteur de recherche, consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné, devait être qualifiée de « traitement de données à caractère personnel ». En parallèle, elle consacrait ce fameux droit au déréférencement, obligeant le moteur de recherche à procéder à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant.

 

 

 

 

Enseignants, établissements scolaires : formez vos élèves à la protection des données personnelles!

Les enfants et adolescents sont les premiers utilisateurs des réseaux sociaux. Ils sont parfois moins conscients que leurs ainés de la nécessité de protéger leur vie privée.

Dans ce contexte, le référentiel de formation pratique dévoilé par la Conférence mondiale des autorités de protection des données apparaît comme un vrai outil dans la sensibilisation des plus jeunes à la préservation de leur intimité.

Qu’est ce qu’une donnée à caractère personnel? Comment fonctionne l’environnement numérique? Quelles sont les règles essentielles de la protection des données? Comment exercer ses droits? Comment maîtriser les paramètres de sécurité et de confidentialité des comptes et applications utilisés?

Il s’agit, en promouvant l’éducation à la protection des données dans les programmes scolaires, de « former de vrais citoyens numériques, responsables de leurs données et respectueux de celles des autres ».

Réseaux sociaux : attention à la collecte (parfois involontaire) de données sensibles

Il arrive parfois, dans le cadre de l’utilisation des réseaux sociaux, que des informations sensibles (vie sexuelle, santé, origine ethnique, croyance religieuse…) soient spontanément divulguées par les utilisateurs.
Dans cette situation, l’éditeur du réseau social est ainsi amené à traiter, parfois involontairement, des données sensibles au sens de l’article 8 de la loi Informatique et Libertés du 6 janvier 1978.

L’article 8 I de la loi précitée prohibe la collecte et le traitement des données à caractère personnel dites « sensibles ». L’éditeur d’un réseau social, qui collecte des données sensibles, ne peut donc le faire que parce que les personnes concernées ont donné leur « consentement exprès » en vertu de l’exception énoncée par l’article 8 II 1°.

 

Dans ce cadre, le consentement peut-il être considéré comme obtenu par la validation en ligne de conditions générales d’utilisation (CGU), dès lors que celles-ci sont explicites, détaillées et claires? Faute de quoi le consentement exprès ne pourrait être juridiquement caractérisé, ce qui rendrait le traitement illicite…

La CNIL vient de prendre deux décisions de sanctions précisant qu’il convient désormais de recueillir le consentement exprès des personnes concernées par la mise en place d’une case à cocher dédiée à l’autorisation de traitement de telles données sensibles.

 

 

Drones vs vie privée

La CNIL a publié quelques rappels, indispensables en ces périodes de fêtes où les drones ont largement trouvé leur place sous le sapin.

 

Outre les prescriptions de la Direction Générale de l’Aviation Civile (DGAC) relatives à la sécurité des personnes et des aéronefs, il convient en effet, en présence d’engins désormais capables de filmer ou photographier des personnes ou des endroits privés, d’être attentifs aux règles protégeant la vie privée.

 

Synthèse de la consultation publique sur le GDPR

Le règlement européen sur la protection des données (GDPR) adopté au printemps 2016, sera applicable en mail 2018. Il fixe des règles unifiées en matière de protection des données pour l’ensemble des pays européens.

Le G29, groupe des CNIL européennes, avait lancé une consultation destinée à permettre aux professionnels de soumettre les questions qu’ils se posent relativement à ce nouveau cadre juridique directement contraignant.

Cette consultation portait sur :

  • Le délégué à la protection  des données
  • Le droit à la portabilité
  • Les études d’impact sur la vie privée
  • La certification et les labels

La synthèse est désormais disponible ICI.

Dans le cadre de son prochain plan d’actions, le G29 publiera prochainement des lignes directrices destinées à accompagner de façon pragmatique les responsables de traitements, les sous-traitants et les futurs DPO, en réponse notamment aux différentes interrogations formulées en réponse à la consultation.

L’adresse IP est bien une donnée personnelle

Ainsi l’a jugé la Cour de cassation, dans un arrêt du 3 novembre 2016.

Mettant fin à un débat, la cour a retenu que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».

Atelier « Données de santé » – Eurasanté

Nous co-animons ce matin avec l’INSERM l’atelier organisé par le GIE Eurasanté sur les données et l’impact du règlement européen sur les données de santé.

Nous ferons part de notre lecture du règlement, de ce qu’il faut en retenir et des pièges à éviter, avec quelques focus sur l’impact en matière de e-santé.