Conformité RGPD – Lettre d’actualité numéro 20

9 janvier 2020

Télécharger

Madame, Monsieur,

Nous vous proposons, en ce début d’année 2020, de découvrir les actualités suivantes :

  • Référencement de condamnations pénales et droit à l’oubli ;
  • Mise en demeure d’établissements scolaires par la CNIL pour vidéosurveillance abusive ;
  • Le référentiel de la CNIL sur les dispositifs d’alertes professionnelles ;
  • Les radars-tronçons en infraction ;
  • Responsable du traitement, sous-traitant : les critères du CEPD.

Nous vous en souhaitons une bonne lecture.

 

Référencement de condamnations pénales et droit à l’oubli

La Cour de cassation a, le 27 novembre 2019, fait application de la décision Cour de justice de l’Union européenne du 24 septembre 2019, qui avait retenu que l’interdiction de traiter certaines catégories de données personnelles sensibles (dont celles relatives aux infractions, condamnations et mesures de sûreté) s’applique également aux moteurs de recherche et que toute juridiction saisie d’une demande de déréférencement doit vérifier, de façon concrète, si l’accès aux données litigieuses répond à un motif d’intérêt public important, comme le droit à l’information du public, et si elle est strictement nécessaire pour assurer sa préservation.

En l’espèce, une demande de déréférencement avait été formée par un particulier exerçant la profession d’expert-comptable et de commissaire aux comptes, qui, suite à une condamnation pour escroquerie et tentative d’escroquerie, s’était aperçu que des comptes rendus d’audience relatant cette condamnation pénale étaient toujours accessibles, bien qu’archivés, sur le site Internet du journal « Le Républicain lorrain ».

Ainsi, les internautes pouvaient prendre connaissance de ces comptes rendus en rentrant le nom du particulier lors d’une recherche Google.

Le requérant a donc assigné Google aux fins de déréférencement ; demande qui a été rejetée par le juge d’appel. Ce dernier a, en effet, considéré que, même si l’infraction commise par le requérant relevait de la sphère privée, le référencement des liens litigieux permettant l’accès aux articles du « Républicain lorrain » était pertinent eu égard à sa profession d’expert-comptable et de commissaire aux comptes, dans la mesure où celle-ci visait précisément à donner des conseils de nature fiscale à ses clients et impliquait de faire preuve d’une certaine probité. Les magistrats de la Cour d’appel ont ainsi considéré que, de par sa profession, le demandeur devait être considéré comme ayant un rôle dans la vie publique et qu’il relevait de l’intérêt des internautes d’avoir accès à ces informations. La Cour a donc fait primer le droit à l’information des internautes, sur le droit à la protection des données à caractère personnel du requérant.

Faisant application de la décision de la CJUE du 24 septembre 2019 (CJUE, 24 sept. 2019, aff. C-136/17, GC, AF, BH, ED c/ Commission nationale de l’informatique et des libertés), la Cour de cassation n’a pas suivi le raisonnement de la Cour d’appel, considérant qu’ « en se déterminant ainsi, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l’ingérence dans les droits (du prévenu) au respect de sa vie privée et à la protection de ses données à caractère personnel, l’inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès aux pages internet concernées, à défaut de quoi serait caractérisé un trouble manifestement illicite au sens de l’article 809 du code de procédure civile, la cour d’appel n’a pas donné de base légale à sa décision ».

La Cour de cassation a ainsi cassé et annulé l’arrêt de la Cour d’appel, mais seulement en ce qu’il a rejeté la demande de déréférencement, et a renvoyé cette affaire devant la Cour d’appel de Paris.

Lien vers la décision : https://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/990_27_43966.html

 

Mise en demeure d’établissements scolaires par la CNIL pour vidéosurveillance abusive

Suite à de nombreuses plaintes faisant état d’abus de la part d’établissements scolaires concernant l’utilisation de leur système de vidéosurveillance, la CNIL a mis en demeure plusieurs de ces établissements de modifier leur système.

La CNIL a annoncé, dans une publication du 18 décembre 2019, avoir reçu, au cours de l’année 2018, plus de 25 plaintes en matière de vidéosurveillance dans les écoles, collèges et lycées. Parmi ces plaintes, certaines témoignaient d’une vidéosurveillance continue, tout au long de la journée, des lieux de vie, tels que la cours de récréation, la cantine, la salle informatique, le terrain de sport ou encore le CDI.

Après prise de contact avec les établissements concernés, la CNIL a obtenu confirmation de la véracité de ces faits et a, ainsi, appris que les caméras permettaient de filmer de manière quasi-constante les surveillants en charge des cours de récréation, le personnel de la cantine et du CDI ainsi que les professeurs d’informatique ou de sport.

Au cours de l’instruction des plaintes, la CNIL a rappelé aux établissements que, s’il est possible de filmer les accès aux bâtiments, les espaces de circulation, il est, sauf circonstances exceptionnelles, excessif de placer les élèves ou les salariés sous surveillance systémique et continue, dans leurs lieux de vie et de travail.

La CNIL a donc mis en demeure les établissements scolaires de modifier leur dispositif vidéo, en réorientant, retirant ou déplaçant les caméras afin qu’elles ne filment que les accès et espaces de circulation, ou les paramétrer pour qu’elles ne fonctionnent qu’en dehors des heures d’ouverture de l’établissement.

La CNIL, dans sa publication, ne précise pas quelle était la finalité de ces systèmes de vidéosurveillance.

Ces mises en demeure sont à rapprocher de la publication de la CNIL du 3 décembre 2019 sur la vidéosurveillance dans les établissements scolaires(https://www.cnil.fr/fr/la-videosurveillance-videoprotection-dans-les-etablissements-scolaires), laquelle précise les précautions à prendre lors de l’installation d’un tel dispositif, les personnes pouvant consulter les images, la durée de conservation des images, l’information à fournir aux personnes concernées et les formalités à accomplir.

Lien vers la publication : https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive

 

Le référentiel de la CNIL sur les dispositifs d’alertes professionnelles

Le 10 décembre 2019, la CNIL a rendu public son référentiel relatif aux dispositifs d’alertes professionnelles, lequel fait suite à une consultation publique et vient remplacer l’autorisation unique AU-004, qui n’avait plus de valeur juridique depuis l’entrée en vigueur du RGPD.

Dans le cadre de la mise à jour de ses référentiels, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles (DAP).

Le respect de ce référentiel permet aux organismes de s’assurer de la conformité de leurs traitements de données à caractère personnel mis en œuvre dans le cadre des DAP. Les organismes qui s’écarteraient de ce référentiel pour des raisons tenant à leur situation doivent être en mesure de justifier de l’existence d’un tel besoin.

Pour rappel, le DAP a pour objet de permettre, conformément aux exigences de la loi « Sapin 2.», aux membres du personnel et aux collaborateurs extérieurs et occasionnels d’un organisme, de signaler un crime ou un délit, une violation grave et manifeste de la loi ou du règlement, une menace ou un préjudice grave pour l’intérêt général, l’existence de faits susceptibles de caractériser une corruption ou un trafic d’influence, les risques d’atteintes graves aux droits de l’Hommes et/ou libertés fondamentales, etc.

La CNIL précise, dans ce référentiel, que les bases légales du traitement susceptibles d’être retenues sont le respect d’une obligation légale incombant à l’organisme et imposant la mise en œuvre d’un DAP, mais également l’intérêt légitime poursuivi par le destinataire des données, dans l’hypothèse où la mise en place du DAP ne résulterait pas d’une obligation légale s’imposant au responsable du traitement.

S’agissant des durées de conservation, la CNIL indique que :

– les données relatives à une alerte n’entrant pas dans le champ du dispositif doivent être détruites sans délai ;

– lorsqu’aucune suite n’est donnée à une alerte, les données sont détruites dans les deux mois à compter de la clôture des opérations de vérification ;

– si une procédure disciplinaire ou contentieuse est engagée à l’encontre d’une personne mise en cause ou de l’auteur de l’alerte, les données relatives à l’alerte peuvent être conservées pendant la durée de la procédure ou jusqu’à la prescription des recours à l’encontre de la décision.

L’information à fournir au titre des articles 13 et/ou 14 du RGPD doit être délivrée aux effectifs propres du responsable du traitement, mais également aux collaborateurs, clients et fournisseurs extérieurs du responsable du traitement, lorsque ces personnes ont un lien contractuel direct avec l’organisme, ainsi qu’aux effectifs des personnes morales entretenant un lien contractuel avec le responsable du traitement. Cette information, qui doit faire l’objet d’une consultation préalable des instances compétentes, doit notamment inclure une mention indiquant que l’utilisation abusive du dispositif peut exposer son auteur à des sanctions ou des poursuites.

Ce référentiel contient également des informations concernant l’exercice des droits des personnes, et précise notamment que l’exercice du droit de rectification ne saurait permettre la modification rétroactive des éléments contenus dans l’alerte ou collectées lors de son instruction.

En complément de ce nouveau référentiel, la CNIL a également publié, le 10 décembre 2019, une FAQ sur le sujet (https://www.cnil.fr/fr/le-referentiel-relatif-au-dispositif-dalertes-professionnelles-en-questions).

Lien vers le référentiel : https://www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-professionnelles_decembre-2019.pdf

 

Les radars-tronçons en infraction

Par une délibération du 22 décembre 2019, la CNIL a rendu publique une mise en demeure du 12 novembre 2019 prise à l’encontre du ministère de l’Intérieur, au sujet des radars-tronçons.

La CNIL a effectué un contrôle sur les radars-tronçons, dont la fonction est de calculer la vitesse moyenne d’un véhicule sur une section de route et d’envoyer les données des véhicules concernés par un dépassement de vitesse au Centre National de Traitement du contrôle automatisé de Rennes (CNT), chargé de l’envoi de la contravention.

A l’occasion de ce contrôle, la CNIL a relevé plusieurs manquements :

1. D’une part, un manquement à l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement.

En effet, les numéros de plaque d’immatriculation des véhicules n’ayant pas commis d’infraction faisaient l’objet d’une conservation de plus de 13 mois pour les numéros complets, et de plus de 4 ans pour les numéros tronqués de deux caractères, alors même que l’arrêté du 13 octobre 2004 prévoit une durée de conservation de 24 heures lorsqu’aucune infraction n’est constatée.

De plus, la CNIL a constaté que les messages relatifs à des infractions, contenant les données des véhicules ayant dépassé la limitation de vitesse autorisée, transmis au CNT pour donner lieu à un avis de contravention, étaient conservés au CNT depuis le 1er septembre 2005, soit depuis plus de 13 ans, alors que le décret de 2004 prévoit une durée de 10 ans lorsqu’une infraction est constatée.

2. D’autre part, la CNIL a relevé un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère de l’Intérieur.

La CNIL a, en conséquence, mis en demeure le ministère de l’Intérieur, sous un délai de trois mois, de remédier à l’ensemble de ces manquements et d’en justifier auprès de la CNIL.

Lien vers la décision : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445820&fastReqId=190592425&fastPos=2

 

Responsable du traitement, sous-traitant : les critères du CEPD

Le 7 novembre 2019, le Contrôleur Européen de la Protection des Données (CEPD) a publié des lignes directrices destinées aux institutions, organes et organismes de l’Union européenne sur les notions de responsable du traitement, de sous-traitant et de responsables conjoints.

Le CEPD a rendu publiques des lignes directrices adressées aux institutions, organes et organismes de l’Union européennes. Ces derniers sont, en effet, soumis, s’agissant des traitements de données à caractère personnel qu’ils réalisent, à une règlementation particulière, à savoir le Règlement 2018/1725.

Ces lignes directrices se concentrent sur les obligations et responsabilités des institutions, organes et organismes de l’UE en tant que responsable du traitement, sous-traitants et responsables conjoints.

Si les exemples figurant dans ces lignes directrices contiennent des spécificités propres aux institutions, organes et organismes de l’Union européenne, le document liste également une série de critères permettant de déterminer si l’entité étudiée est responsable du traitement ou sous-traitant.

Ainsi, si la majorité des affirmations suivantes est vraie, l’entité étudiée est sans doute un responsable du traitement :

– l’entité a décidé de traiter les données ou a conduit une autre entité à les traiter ;

– l’entité a décidé quel but ou quel résultat les opérations de traitement devaient atteindre ;

– l’entité a décidé des éléments essentiels des opérations de traitement (quelles données sont collectées, quelles sont les personnes concernées, quelle est la durée de conservation, qui a accès aux données, qui sont les destinataires) ;

– les personnes concernées par les opérations de traitement sont les salariés de l’entité ;

– l’entité utilise son expertise professionnelle pour prendre des décisions dans le cadre du traitement des données à caractère personnel ;

– l’entité est en contact direct avec les personnes concernées ;

– l’entité a une autonomie et une indépendance dans la façon de traiter les données à caractère personnel ;

– l’entité a nommé un sous-traitant pour mener les opérations de traitement en son nom.

De la même façon, si la majorité des affirmations suivantes est vraie, l’entité est sans doute un sous-traitant :

– l’entité suit les instructions données par un tiers s’agissant du traitement des données à caractère personnel ;

– l’entité ne décide pas de collecter des données à caractère personnel de personnes concernées ;

– l’entité ne décide pas de la base légale pour la collecte et l’utilisation des données à caractère personnel ;

– l’entité ne décide pas du ou des but(s) pour le(s)quel(s) les données sont traitées ;

– l’entité ne prend pas la décision de communiquer les données et, le cas échéant, ne décide pas à qui ;

– l’entité ne décide pas de la durée de conservation ;

– l’entité prend des décisions sur la façon de traiter les données, mais implémente ces décisions sous un contrat ou un autre acte juridique avec le responsable du traitement ;

– l’entité n’a pas d’intérêt propre au résultat du traitement de données.

Les définitions de responsable du traitement, sous-traitant et responsables conjoints au sens du Règlement 2018/1725 étant identiques à celles du RGPD, ces critères pourraient être transposés à des entités de droit privé.

Lien vers les lignes directrices : https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf