• Français -fr 

Blog Archives

Prospection syndicale : pas d’exception à la loi.

En cette période de grève, les actions syndicales sont plus actives, y compris en terme de prospection.

Il semble utile de rappeler que le droit des données personnelles doit être respecté de la même façon que pour les autres organisations.

A titre d’illustration, une décision de la CNIL en date du 16 février 2012 avait été rendue à l’encontre d’un syndicat.

En l’espèce, le syndicat CGT des établissements d’enseignement supérieur de l’Académie de Lille avait envoyé plusieurs courriels de « prospection syndicale » (et non commerciale) non sollicités, sur les adresses de messagerie électronique professionnelle des salariés de l’Université de Lille 1.

Suite à ces envois, une des salariés a adressé au syndicat plusieurs demandes d’opposition. Le syndicat n’ayant donné aucune réponse à ses demandes, la salariée avait saisi la CNIL.

La CNIL avait mis en demeure le syndicat, par sa décision n° 2011-004 du 19 mai 2011, dans un délai d’un mois à compter de sa notification, de :

• préciser les moyens par lesquels il a pris connaissance de l’adresse électronique des personnels de l’Université de Lille 1 et veiller à ne pas collecter des données à caractère personnel de manière déloyale ou illicite, en particulier ne pas collecter d’adresse électronique à des fins de prospection syndicale à l’insu des personnes concernées ;
• préciser les raisons pour lesquelles le droit d’opposition de la plaignante n’a été pris en compte que tardivement ;
• prendre toute mesure de nature à garantir qu’il soit tenu compte, de manière immédiate et systématique, du droit d’opposition exercé par toute personne concernée en application de l’article 38 de la loi du 6 janvier 1978 ;
• etc.

La CNIL avait alors considéré que le syndicat avait commis plusieurs manquements, notamment au titre de la collecte loyale des données (article 6 1° LIL). A cet égard, la CNIL avait relevé que :

• il est établi que le syndicat a fait usage, à des fins de prospection syndicale, d’adresses de messageries électroniques professionnelles. Celles-ci constituent des données à caractère personnel au sens de la loi du 6 janvier 1978 modifiée, dès lors qu’elles contiennent des informations relatives à des personnes physiques identifiées ou qui peuvent être identifiées au sens de l’article 2 alinéa 2 de la loi précitée.
• sur le fond, en premier lieu, la formation restreinte constate qu’il ressort des termes de la plainte que l’intéressée n’a jamais sollicité d’envois de messages de prospection syndicale sur son adresse des messagerie professionnelle et qu’elle n’a jamais été informée préalablement à cette prospection. Elle considère, dès lors, qu’elle ne peut écarter le grief de collecte déloyale formulé à l’encontre du syndicat.

Avec l’application imminente du RGPD le 25 mai, la vigilance sur ces sujets doit être accrue ainsi qu’une gestion rigoureuse des droits des personnes concernées.

Cela suppose de mettre en place au plus vite des actions de sensibilisation pour toutes les organisations, quelle que soit leur taille.

Blandine POIDEVIN

CNIL : programme de contrôle 2017

 

La CNIL a dévoilé son programme de contrôle pour l’année 2017. Rappelons que les thématiques figurant dans ce programme représentent, en général, environ un quart de l’activité totale de la Commission.Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d’assurance : Rappelons qu’un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l’obligation de secret médical.
  • Les fichiers de renseignement. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l’Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l’Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).
  • Les télévisions connectées (« Smart TV »). Les informations recueillies par ces dispositifs sont en effet susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

 

La CNIL envisage également de continuer à entretenir une activité élevée de contrôle des dispositifs de vidéosurveillance et de vidéoprotection.

 

Assemblée Générale du Club DSI – GUN. Marc en Baroeul. Le 1er Mars 2017 à 9h

J’aurai le plaisir  de participer à l’Assemblée Générale du Club DSI Gun qui se tiendra le 1er mars à l’Hôtel Mercure de Marcq en Baroeul. J’aborderai le Règlement Général sur la Protection des Données (GDPR).

Invitation

« Protection des données personnelles ». Cabinet Jurisexpert. 13 juin 2016

Ce que l’adoption du Règlement du 27 avril 2016 va changer pour les entreprises.

Nous avons eu le plaisir d’organiser un petit déjeuner sur ce thème. Nous y avons abordé les thèmes, entre autres, suivants: Sanctions, DPO, analyse d’impact, tenue du registre, failles de sécurité…

Nous avons eu l’occasion de faire un tour d’horizon des nouvelles contraintes devant être intégrées par les entreprises avant l’application du Règlement en 2018.

 

DES PRATIQUES DISCRIMINATOIRES EN MATIERE DE DONNEES PERSONNELLES

Chaque entreprise dispose aujourd’hui de bases de données informatiques, qu’ils s’agissent de traitements relatifs à ses clients, à ses prospects ou salariés.

S’agissant d’informations générales propres à la commande, à la gestion des ressources humaines, …, certaines informations, une fois enregistrées et exploitées par un logiciel, peuvent avoir pour effet d’exclure des personnes du bénéfice d’un droit ou d’un contrat.

Il peut, par exemple, s’agir d’une inscription dans un fichier en tant que mauvais payeur, client à problème, à risque…

La loi informatique et libertés n° 78-17 du 6 janvier 1978 qui encadre strictement les traitements mis en place par les entreprises dispose en son article 25 I.4 que « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire » sont soumis à autorisation préalable de la CNIL.

C’est ainsi que la CNIL a eu l’occasion d’interdire l’exploitation de fichiers relatifs à des mauvais payeurs dans le domaine de la téléphonie. Sont souvent en cause certains outils de scoring.

Plus récemment, le LOSC et le PSG se sont fait épinglés à ce sujet.

En effet, des procédures sont en cours d’instruction auprès de la CNIL, suite à des plaintes des supporters.

S’agissant du LOSC, se trouve en cause sa pratique de filtrage géographique des adresses IP des internautes lors de l’achat de billet. Ainsi, les acheteurs identifiés comme provenant géographiquement de Paris et des alentours se voyaient interdire l’achat de billet, lors de la rencontre LOSC / PSG.

S’agissant du PSG, est en cause son fichier des interdits de stade qui conserverait l’identité des supporters pour une durée supérieure à la durée de l’interdiction.

Rappelons que de par la loi, les entreprises peuvent disposer du droit de procéder à certains traitements, c’est le cas des clubs de football s’agissant des traitements des interdictions de stade judiciaires ou administratives.

Toutefois, ces traitements, même autorisés par la loi, font l’objet de conditions strictes.

Tout autre traitement doit respecter les conditions de l’article 6 de la loi informatique et libertés, concernant notamment la loyauté de la collecte, la légitimité de la finalité et une durée de conservation non excessive.

Le PSG avait déjà fait l’objet d’une mise en demeure de la part de la CNIL en septembre 2013 pour avoir détenu un fichier sous forme de liste d’exclusion de supporters.

La prise en compte par les entreprises du cadre juridique qui leur est applicable en matière de données personnelles est pourtant aujourd’hui indispensable et doit être mis à jour régulièrement.

Ainsi, la présidence lettone de l’Union Européenne a confirmé, début janvier, son intention d’arriver en accord au sujet du nouveau règlement relatif aux données personnelles au conseil des affaires intérieures des 12 et 13 mars 2015.

Utilisez votre droit à l’oubli numérique !

Article paru sur Direct Matin, n° 2142 du 2 septembre 2014.

LIRE L’ARTICLE 

Le droit à l’oubli numérique

Fâché de constater qu’une requête effectuée sur ses noms et prénoms dans le moteur de recherche GOOGLE présentait des liens vers deux pages d’un quotidien paru en 1998 et qui le visait dans une affaire de vente aux enchères immobilières, liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale, un ressortissant espagnol avait introduit[1], auprès de l’Office espagnol chargé de la protection des données personnelles, une réclamation à l’encontre de l’éditeur de ce titre de presse ainsi qu’à l’encontre des sociétés GOOGLE SPAIN et GOOGLE INC.

Il demandait que les pages ainsi indexées soient supprimées afin que ses données personnelles n’y apparaissent plus et qu’elles cessent d’apparaître dans les résultats de recherche, au motif que la saisie dont il avait fait l’objet avait été entièrement réglée depuis de nombreuses années et que la mention de celle-ci était désormais dépourvue de toute pertinence.

GOOGLE a introduit en recours contre la décision de l’Autorité Espagnol de protection des données faisant droit à cette demande.

Saisie du dossier, la juridiction espagnole compétente a soulevé la question de savoir quelles obligations incombaient aux exploitants de moteurs de recherche pour la protection des données personnelles et estimé que la réponse à cette problématique dépendait de l’interprétation de la Directive 95/46 relative à la protection des données à caractère personnel, dans la mesure où ces technologies étaient apparues après la publication de celle-ci.

Elle a donc décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union Européenne la question préjudicielle suivante : « le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement doivent-ils être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiée sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers ? ».

L’article 12 b de la Directive prévoit que « les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : […]

b) la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ; […] ».

La Commission Européenne estimait que les droits ainsi conférés aux personnes concernées n’étaient susceptibles d’être mis en œuvre qu’à la condition que le traitement en question soit incompatible avec la Directive ou pour des raisons prépondérantes et légitimes tenant à leur situation particulière et non, pas au simple motif qu’elles estiment que ce traitement est susceptible de leur porter préjudice ou qu’elles souhaitent que les données faisant l’objet dudit traitement tombent dans l’oubli.

La Cour de Justice relève, pour sa part, qu’une telle incompatibilité peut résulter, non seulement, du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques.

Partant de là, le raisonnement mené par la Cour repose sur l’idée qu’un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec la Directive lorsque ces données s’avèrent, ensuite, comme n’étant plus nécessaires au regard des finalités pour lesquelles elles avaient collectées ou traitées.

La Cour de Justice de l’Union Européenne invite, par conséquent, la juridiction à l’origine de sa saisine à examiner si la personne concernée avait un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultat, affichée à la suite d’une recherche effectuée à partir de son nom, en précisant qu’un tel droit ne présuppose pas que l’inclusion d’informations en question, dans la liste de résultat, cause un préjudice à la personne concernée.

A cet égard, il sera rappelé les dispositions des articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne[2] prévoyant que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications » outre son « droit à la protection des données à caractère personnel la concernant » impliquant que de tels « données doivent être traités loyalement, à des fins déterminés et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ».

Ces droits doivent être considérés comme prévalant non seulement sur l’intérêt économique de la société GOOGLE mais également sur l’intérêt du public à trouver l’information recherchée lors d’une requête portant sur le nom de la personne concernée.

Une telle prévalence sera, cependant, écartée lorsque des raisons particulières peuvent être invoquées telles que le rôle joué par la personne concernée dans la vie publique, ou encore lorsque l’ingérence dans ses droits fondamentaux serait justifiée par l’intérêt prépondérant du public à avoir accès à l’information en question.

En l’absence de telles raisons particulières dans le litige qui lui était soumis par la juridiction espagnole, la Cour de Justice de l’Union Européenne a considéré, eu égard à la sensibilité des informations contenues dans les annonces litigieuses pour la vie privée du requérant et au fait que leur publication initiale avait été effectuée seize ans auparavant, que ladite personne justifiait d’un droit à ce que ces informations ne soient plus liées à son nom sur internet.

C’est à la suite de cette décision que la société GOOGLE a mis en place un formulaire[3] disponible sur internet permettant à tout internaute européen de faire usage de ce qui semble désormais être consacré comme un véritable droit à l’oubli numérique.

Le formulaire ainsi proposé à rencontrer un franc succès puisque que, moins deux semaines après sa mise en ligne, plus de 40 000 demandes avaient été présentées au moteur de recherche.

La société américaine a, à cette fin, mis en place une équipe dédiée examinant les demandes qui lui sont soumises.

Les premières applications mettant en œuvre ce droit à l’oubli ont, toutefois, permis de constater que la suppression par GOOGLE de liens litigieux s’accompagnait d’une information, donnée par le moteur de recherche, de la suppression ainsi effectuée.

La CNIL relève, d’ores et déjà, que le formulaire proposé par la firme californienne ne concerne que les URL, excluant ainsi les services mis en œuvre par GOOGLE, tels que GOOGLE SUGGEST.

Elle regrette également que l’accès au formulaire soit difficile, comme c’est d’ailleurs le cas pour la plupart des formulaires en ligne proposés par les géants du net.

En parallèle, le groupe de l’article 29 regroupant les CNIL européennes a décidé, lors de sa réunion plénière des 3 et 4 juin 2014, de confier à un groupe de travail l’analyse des conséquences de l’arrêt de la Cour de Justice de l’Union Européenne.

Il s’agira, notamment, de définir des lignes directrices permettant aux Autorités Européennes de protection des données d’adopter une approche commune dans la mise en œuvre pratique de l’arrêt ainsi rendu, afin d’envisager des réponses harmonisées aux plaintes qui seront reçues par lesdites Autorités suite à des demandes d’effacement restées infructueuses.


[1]           C.J.U.E., 13 mai 2014, Affaire C-131/12, GOOGLE SPAIN et GOOGLE INC c/ AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

[2]              2000/C 354/01