• Français -fr 

Blog Archives

Actualités RGPD

Quelques informations récentes relatives au droit des données personnelles :

  1. Dans une décision du 7 février 2019, l’organe allemand chargé de la concurrence a déclaré que le réseau social Facebook ne devra plus recueillir des données de sources extérieures à son service sans le consentement explicite des utilisateurs.

En pratique, l’entreprise pourra continuer à recueillir les données de sources extérieures mais ne pourra plus les recouper avec celles du compte Facebook sans que l’utilisateur donne son accord explicite.

Le but est de limiter l’exploitation des informations personnelles par le réseau social. De ce fait, les applications tierces pourront poursuivre leur propre collecte de données, cependant Facebook ne pourra plus les combiner avec celles de ses utilisateurs sans leur accord.

Facebook devra soumettre dans les quatre mois une modification de ses conditions d’utilisation à l’Allemagne, qui devra ensuite les approuver.

2. Le CEPD a diffusé un nouveau projet de lignes directrices concernant l’évaluation de la proportionnalité des mesures qui limitent les droits fondamentaux à la vie privée et à la protection des données.

3. La Cour de Cassation s’est prononcée sur la légalité de l’installation d’un dispositif de vidéo-surveillance sur la voie publique aux fins de recherche des preuves d’infraction dont était saisi un juge d’instruction.

Ainsi, dans son arrêt du 11 décembre 2018, la Cour rappelle au visa des articles 8 de la CEDH et 81 du Code de procédure pénale, que si le juge d’instruction tire le pouvoir de faire procéder à une vidéo-surveillance sur la voie publique aux fins de rechercher des preuves des infractions dont il est saisi à l’encontre des personnes soupçonnées de les avoir commises, une telle ingérence dans la vie privée présentant, par sa nature même, un caractère limité et étant proportionné au regard de l’objectif poursuivi, il doit résulter des pièces de l’information que la mesure a été mise en place sous le contrôle effectif de ce magistrat, et selon les modalités qu’il a autorisées.

La haute juridiction estime qu’en l’espèce, il ne résultait d’aucune des pièces du dossier que, préalablement à la mise en place de la vidéo-surveillance critiquée, le magistrat-instructeur avait autorisé les officiers de police judiciaire auxquels il avait délivré une commission rogatoire rédigée dans des termes généraux à y procéder et qu’il en avait fixé la durée et le périmètre.

4. La Federal Trade Commission (FTC), le régulateur américain du commerce, a annoncé avoir infligé le 27 février 2019 une amende de 5,7 millions de dollars à l’éditeur chinois de l’application TIKTOK pour avoir illégalement collecté les données d’enfants de moins de 13 ans sans accord parental.

5. Le Comité Européen de la Protection des Données a adopté une note d’information sur l’éventualité d’un Brexit sans accord à l’intention des organismes dans l’Union qui transmettent des données personnelles vers le Royaume-Uni. La CNIL a complété cette communication par une série de questions/réponses destinée à se préparer au scénario du No Deal.

 

Documents administratifs contenant des données personnelles : peuvent-ils être publiés en l’état ?

Le décret n° 2018-1117 du 10 décembre 2018 apporte une réponse à cette question car il identifie les documents administratifs pouvant être rendus publics sans occultation des données personnelles s’y trouvant.

Ainsi, les documents suivants peuvent être diffusés dans leur intégralité :

  • – les organigrammes et annuaires des administrations ;
  • – le répertoire national des associations et le répertoire des entreprises et de leurs établissements dans leur intégralité ;
  • – les annuaires des professions règlementées ;
  • – les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • – les conditions d’organisation et d’exercice des activités sportives ;
  • – le répertoire national des élus ;
  • – les registres des chambres d’hôtes et gîtes ;
  • – la base des permis de construire.

Obligation de sécurisation des données personnelles : nouvelle sanction infligée par la CNIL

Après la sanction infligée à UBER le 19 décembre dernier à hauteur de 400 000€ d’amende, la formation restreinte de la CNIL a prononcé une nouvelle sanction de 250 000 € à l’encontre de la société BOUYGUES TELECOM pour avoir insuffisamment protégé les données de ses clients B&You.

La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les besoins de ces tests.  Elle a estimé  qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesures de sécurité complémentaires. A cette occasion, la CNIL considère que la revue manuelle du code source lié à l’authentification du site web aurait dû être effectuée.

La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.

Université des DPO de l’AFCDP

Nous participerons, le 16 janvier prochain, à l’Université des DPO organisée par l’AFCDP. Une bonne occasion d’échanger sur l’actualité du droit des données personnelles : https://afcdp.net/IMG/pdf/programme_universite_afcdp_des_dpo_-_16_janvier_2019.pdf.

Les enjeux de la blockchain

De la sécurité à la fiscalité, en passant par les enjeux environnementaux et juridiques, la blockchain n’en finit pas de faire parler d’elle.

L’Office parlementaire d’évaluation des choix scientifiques et technologiques a remis au Parlement, le 20 juin dernier, un rapport sur les enjeux attachés à cette technologie. L’occasion, pour ses auteurs, d’aborder différentes questions juridiques intéressantes.

 

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

Maître Viviane GELLES interviendra au NDDCAMP 2018 ce 21 juin 2018

« Les obligations juridiques des éditeurs de sites : hébergement, référencement, RGPD… »

Découvrez le programme ici