CONTACT

RGPD

Non classifié(e)

octobre 2022 | Derriennic Associés

La collecte de données sur la séropositivité d’un patient est illicite si elle a pour but de refuser des soins

L’autorité de contrôle italienne a été saisie d’une plainte d’un patient reprochant à son dentiste de lui avoir fait remplir un questionnaire de santé préalable. Après avoir indiqué sa séropositivité dans ledit questionnaire, le patient s’est vu refuser les soins.
Non classifié(e)

octobre 2022 | Derriennic Associés

Autorité de la concurrence : un nouveau gendarme du RGPD ?

Le 20 septembre dernier, l’avocat général près la CJUE a conclu qu’une autorité de la concurrence peut, dans certaines conditions, examiner la conformité de pratiques commerciales avec le RGPD.
Affaires

septembre 2022 | Derriennic Associés

Les dossiers médicaux des patients ne doivent pas être accessibles à tous les professionnels de santé

L’autorité de contrôle italienne a sanctionné un établissement de santé pour avoir permis aux professionnels de santé non impliqués dans le processus de traitement d’accéder aux dossiers médicaux des patients.
Non classifié(e)

septembre 2022 | Derriennic Associés

Officines de pharmacie : le nouveau référentiel de la CNIL

Par une Délibération du 2 juin 2022 la CNIL a adopté un référentiel relatif aux traitements de données personnelles destinés à la gestion des officines de pharmacie.
Non classifié(e)

septembre 2022 | Derriennic Associés

Données sensibles : éclairages de la CJUE

Par un arrêt rendu le 1er août dernier, la CJUE a apporté des précisions sur la notion de « données sensibles » au sens du RGPD. Retour sur cette décision aux conséquences pratiques non négligeables.
Non classifié(e)

septembre 2022 | Derriennic Associés

INFOGREFFE sanctionné pour non-respect d’une « précaution élémentaire de sécurité »

Saisie d’une plainte d’une personne indiquant que l’organisme INFOGREFFE lui avait transmis son mot de passe par téléphone en donnant simplement son nom, la CNIL a sanctionné l’organisme pour non-respect de l’obligation de sécurité et non-respect du principe de limitation de la conservation.
Non classifié(e)

septembre 2022 | Derriennic Associés

Espace européen des données de sante : avis des CNIL européennes

Le 12 juillet dernier, le Comité européen sur la protection des données (« CEPD ») et le Contrôleur européen des données ont rendu un avis conjoint sur la proposition de règlement sur l’espace européen des données de santé du 3 mai dernier dit « EHDS ».
Non classifié(e)

septembre 2022 | Derriennic Associés

Caméras intelligentes : position de la CNIL sur leur déploiement

Le 19 juillet 2022, la CNIL a publié sa position sur les conditions de déploiement des caméras dites « intelligentes » (ou augmentées) dans les espaces publics, précisant le régime juridique applicable à ces dispositifs et les risques associés.
Non classifié(e)

septembre 2022 | Derriennic Associés

Sites internet et sécurité : 15 mises en demeure de la CNIL

Le 8 juillet dernier, la CNIL a annoncé avoir mis en demeure 15 sites internet pour « des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs ».
Données Personnelles

août 2022 | Derriennic Associés

Sous-traitance ultérieure : un sous-traitant sanctionné pour n’avoir pas informé le responsable du traitement

L’autorité italienne de contrôle a sanctionné un sous-traitant qui n’avait pas (i) informé le responsable du traitement de l’intervention d’un sous-traitant ultérieur ni (ii) encadré juridiquement ladite relation.
Données Personnelles

août 2022 | Derriennic Associés

Conflit d’intérêts : le directeur d’une société ne peut pas être DPO

L’autorité berlinoise de protection des données a annoncé avoir sanctionné une clinique pour avoir nommé son directeur comme DPO.
Données Personnelles

août 2022 | Derriennic Associés

Commande publique et RGPD : un guide dédié de la CNIL

Le 2 juin dernier, la CNIL a publié un guide consacré à « la responsabilité des acteurs dans le cadre de la commande publique » éclairant quant à la responsabilité des différents acteurs (responsable de traitement, sous-traitant, responsable conjoint) dans ce contexte particulier.
Non classifié(e)

juillet 2022 | Derriennic Associés

Google Analytics : la CNIL publie des « Questions-Réponses » pour clarifier la situation

La CNIL a publié des « Questions-Réponses » sur son site afin de répondre aux questions relatives (i) aux mises en demeure, (ii) à l’utilisation de Google Analytics et (iii) aux solutions alternatives.
Données Personnelles

juillet 2022 | Derriennic Associés

Data Governance Act et Data Act : avis de la CNIL et de ses homologues

Le 13 juillet dernier, la CNIL est revenue sur les avis du Comité européen à la protection des données (« CEPD ») et du Contrôleur européen à la protection des données relativement au Data Governance Act (« DGA ») et au Data Act.
Données Personnelles

juillet 2022 | Derriennic Associés

Collectivités territoriales : la CNIL a mis demeure 22 communes de désigner un DPO

Le 31 mai dernier, ce ne sont pas moins de 22 mises en demeure de la CNIL qui ont été publiées, enjoignant autant de communes à désigner un DPO dans le délai de 4 mois.
Données Personnelles

juillet 2022 | Derriennic Associés

TotalEnergies condamnée à une amende de 1 million d’euros

Par une délibération SAN-2022-011 du 23 juin 2022, la CNIL a sanctionné la société TotalEnergies pour divers manquements au RGPD et notamment le non-respect : (i) des règles de prospection commerciale, (ii) de l’information des personnes concernées et (iii) des modalités d’exercice des droits des personnes, particulièrement les droits d’accès et d’opposition.
Données Personnelles

juin 2022 | Derriennic Associés

L’urgence et la protection de la santé ne prévalent pas sur la protection des données personnelles

Dans une décision rendue le 10 mars 2022, l’autorité de contrôle italienne a sanctionné un hôpital pour avoir traité des données de santé sans le consentement du patient.
Données Personnelles

juin 2022 | Derriennic Associés

L’employeur doit désactiver les droits d’accès des anciens salariés

Dans une décision du 26 avril 2022, l’autorité de contrôle danoise a rappelé que l’employeur, responsable du traitement, doit désactiver les droits d’accès de ses anciens salariés.
Données Personnelles

juin 2022 | Derriennic Associés

Interdiction d’exiger la fourniture de la date de naissance pour l’achat de billets de spectacle

Dans une décision du 8 mars 2022, l’autorité de contrôle islandaise a considéré qu’un responsable du traitement ne pouvait pas collecter la date de naissance lors de l’achat d’un billet de spectacle en vertu du principe de minimisation.

Données Personnelles

juin 2022 | Derriennic Associés

Le droit d’accès ne s’étend pas à la communication du contenu des documents

Dans une décision du 17 mai 2022, un tribunal néerlandais a rappelé que le droit d’accès ne permet pas d’obtenir une copie du document.
Données Personnelles

juin 2022 | Derriennic Associés

Echec au droit d’accès – les données étaient supprimées

Par un arrêt du 12 mai 2022, la Cour d’appel de Paris a considéré que la suppression de données personnelles, conformément à la politique de durée de conservation, faisait échec au droit d’accès.
RGPD

juin 2022 | Derriennic Associés

RGPD et emails : une arme à double tranchant pour le salarié !

La tentation est grande d’invoquer le RGPD pour obtenir des preuves à l’appui de ses demandes prud’homales… Une telle action est parfois vouée à l’échec !

RGPD

juin 2022 | Derriennic Associés

La Commission Européenne publie une Foire Aux Questions sur les Clauses Contractuelles Types

Après avoir publié en 2021 de nouvelles Clauses Contractuelles Types (« CCT »), la Commission Européenne publie une Foire Aux Questions (« FAQ ») permettant « de fournir des conseils pratiques sur l’utilisation des CCT ».

Données Personnelles

mai 2022 | Derriennic Associés

Espagne – Sanction d’un employeur divulguant les données personnelles de son ancienne salariée

Dans une décision rendue le 28 avril 2022, l’autorité de contrôle espagnole a considéré qu’un employeur ne peut pas relater sur internet les conditions de départ de l’entreprise d’une ancienne salariée en l’identifiant nommément.
Non classifié(e)

mai 2022 | Derriennic associés

Croatie – Attention à ne pas supprimer les données personnelles en cas de litige

Dans une décision rendue le 8 mars 2022, l’autorité de contrôle croate a considéré qu’un responsable du traitement ne peut pas refuser (i) l’accès aux images de vidéosurveillance puis (ii) les supprimer, lorsqu’un litige avec un consommateur est déclaré.
Non classifié(e)

mai 2022 | Derriennic associés

Allemagne – Pas de droit d’accès si la demande est disproportionnée

Dans une décision rendue le 28 mars 2022, une autorité de contrôle allemande a considéré qu’il est possible, dans certaines situations, de refuser de répondre favorablement à une demande de droit d’accès, notamment lorsque la demande est disproportionnée.
Non classifié(e)

mai 2022 | Derriennic Associés

Le CEPD publie ses lignes directrices sur le calcul des amendes administratives

Le CEPD a élaboré des lignes directrices dans le but d’harmoniser les méthodes de calcul des amendes administratives au sein des différentes autorités de contrôle européennes.
Non classifié(e)

mai 2022 | Derriennic Associés

Le CEPD publie ses lignes directrices sur l’utilisation des technologies de reconnaissance faciale par les autorités répressives et judiciaires

Constatant une utilisation de plus en plus intensive des technologies de reconnaissance faciale, le CEPD a publié des lignes directrices relatives à ces technologies.
Données Personnelles

mai 2022 | Derriennic Associés

Droit d’accès : la fin de l’anonymat du lanceur d’alerte ?

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en nous appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen.
Social

mai 2022 | Derriennic associés

Utilisation des codes d’accès d’un collègue : le préjudice n’est pas acquis au visa du RGPD !

Pour obtenir des dommages-intérêts sur le fondement des articles 32 et 34 du RGPD, encore faut-il se prévaloir d’une violation de ses propres données personnelles.

Données Personnelles

mai 2022 | Derriennic associés

Associations de consommateurs – La CJUE ouvre la voie des recours pour violation du RGPD

Par un arrêt du 28 avril dernier, la CJUE a jugé que les associations de consommateurs peuvent exercer des actions représentatives en violation du RGPD.

Communiqué de presse

mai 2022 | Derriennic Associés

Pologne – Sanction d’une société et de son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées

Dans une décision rendue le 19 janvier 2022, l’autorité polonaise de contrôle a sanctionné un responsable du traitement et son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées.
Communiqué de presse

mai 2022 | Derriennic Associés

Italie – Mentions RGPD non conforme

Dans une décision rendue le 13 janvier 2022, l’autorité italienne de contrôle a condamné une société pour n’avoir pas respecté le droit à l’information prévu à l’article 12 du RGPD.
Communiqué de presse

mai 2022 | Derriennic Associés

Pays-bas – Exercice des droits et pièce d’identité ne font pas bon ménage

Dans une décision rendue le 14 janvier 2022, l’autorité néerlandaise de contrôle a sanctionné une entreprise qui exigeait systématiquement un justificatif d’identité pour permettre aux personnes concernées d’exercer leurs droits.  
Communiqué de presse

mai 2022 | Derriennic Associés

Italie – Un organisme gouvernemental condamné pour avoir diffusé des données personnelles dans un communiqué de presse

Dans une décision rendue le 13 janvier 2022, l’autorité italienne de contrôle a condamné un organisme gouvernemental pour avoir publié, sur son site internet, un communiqué de presse relatant l’existence d’une sanction disciplinaire à l’égard d’un directeur d’hôpital.
RGPD

avril 2022 | Derriennic Associés

Les recommandations de la CNIL quant à l’enregistrement téléphonique de la preuve de la formation d’un contrat

La CNIL a publié, le 25 avril 2022, un article visant à préciser les conditions dans lesquelles les professionnels peuvent conserver l’enregistrement d’un échange téléphonique avec un consommateur, afin d’établir la preuve de la formation d’un contrat.
Données Personnelles

avril 2022 | Derriennic Associés

Prospection commerciale : la CNIL adresse trois mises en demeure

Dans un communiqué publié le 7 avril 2022, la CNIL a annoncé avoir mis en demeure trois organismes en raison du non-respect des règles en matière de prospection commerciale.
Non classifié(e)

avril 2022 | Derriennic Associés

Droit d’effacement : une banque française tenue de transmettre la demande aux autorités fiscales américaines

Par jugement du 7 février 2022, le Tribunal judiciaire de Grenoble a estimé qu’une banque saisie d’une demande d’effacement était tenue de transmettre celle-ci aux autorités fiscales américaines, ces dernières s’étant vues communiquées des données personnelles dans le cadre de la règlementation FACTA.
RGPD

avril 2022 |

Droit d’accès : un projet de lignes directrices du CEPD

Le 18 janvier dernier, le CEDP a adopté un projet de lignes directrices sur le droit d’accès.
Données Personnelles

mars 2022 | Derriennic Associés

Italie – Sanction d’une société italienne pour n’avoir pas fourni au plaignant la transcription d’appels téléphoniques

Dans une décision rendue le 16 décembre 2021, l’autorité italienne de contrôle a estimé que la fourniture de transcription d’appels téléphoniques doivent être fournies aux personnes concernées en vertu du droit d’accès.
Données Personnelles

mars 2022 | Derriennic Associés

Finlande – Sanction d’une clinique médicale pour n’avoir pas respecté le droit d’accès

Dans une décision rendue le 26 décembre 2022, l’autorité finlandaise de contrôle a condamné une clinique médicale pour n’avoir pas respecté le droit d’accès d’un patient.
Données Personnelles

mars 2022 | Derriennic Associés

Irlande – Meta Platforms condamnée à une amende de 17 millions pour non-respect du RGPD

Dans une décision rendue le 15 mars 2022, l’autorité irlandaise de contrôle a infligé à Meta Platforms (anciennement Facebook) une amende de 17 millions d’euros.
Données Personnelles

mars 2022 | Derriennic Associés

Italie – Clearview condamnée à payer 20 millions pour non-respect du RGPD

Dans une décision rendue le 15 mars 2022, l’autorité italienne de contrôle a condamné l’entreprise américaine Clearview AI à payer une amende de 20 millions d’euros.
Données Personnelles

mars 2022 | Derriennic Associés

Création d’une procédure simplifiée de sanction de la CNIL

La loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a créé un article 22-1 de la loi « Informatique et Libertés » prévoyant une procédure simplifiée d’engagement de poursuites par le Président de la CNIL. Cette procédure simplifiée visant à « fluidifier et simplifier l’action répressive » de la CNIL pourra être mise en œuvre uniquement dans certains cas.
RGPD

mars 2022 | Derriennic Associés

Droit d’accès d’un salarié à l’enregistrement vidéo de son accident du travail

Dans un arrêt du 15 février 2022, la Cour d’appel de Nîmes a condamné un employeur qui avait refusé de communiquer à un salarié l’enregistrement vidéo de son accident du travail.
Données Personnelles

mars 2022 | Derriennic Associés

Le Conseil d’Etat définit les contours du droit d’accès

Dans une décision rendue le 24 février 2022, le Conseil d’Etat est venu définir les contours du droit d’accès.
Données Personnelles

mars 2022 | Derriennic Associés

Le nouveau plan stratégique 2022-2024 de la CNIL

La CNIL a fixé 3 nouveaux axes prioritaires afin de faire face aux nouveaux enjeux en termes de protection des données à caractère personnel.  Plusieurs constats – l’accroissement des risques pour la vie privée en raison (i) de la « numérisation croissante de la vie économique et sociale » et (ii) de la « survenance de la pandémie », mais aussi « l’omniprésence des grands services du numérique », ont amené la CNIL à définir de nouvelles orientations pour la période 2022-2024. Ces orientations sont déclinées en 3 axes prioritaires.
Données Personnelles

février 2022 | Derriennic Associés

Allemagne – Interdiction d’exiger la signature de la personne concernée qui exerce ses droits

La société ABIS, filiale de la Deutsche Post, exigeait que les demandes d’exercice des droits effectuées par les personnes concernées soient signées de manière manuscrite et transmises par courrier, fax, ou en pièce jointe à un courriel. Cette exigence était justifiée par la nécessité, selon ABIS, d’identifier la personne exerçant ses droits.
Données Personnelles

février 2022 | Derriennic Associés

Espagne – Sanction d’un employeur pour avoir transmis à un tiers non autorisé les données d’un salarié AEPD

Un salarié a déposé une plainte, devant l’autorité de contrôle espagnole, après avoir constaté que son employeur (une société de construction immobilière) avait adressé à son client (une entreprise publique de logements sociaux) des données personnelles le concernant, dont des données de santé (arrêt maladie pour cause de COVID).
Données Personnelles

février 2022 | Derriennic Associés

Sécurité : sanction d’une université pour défaut de test UODO (Pologne)

En mai 2020, l'université de technologie de Varsovie a notifié à l’autorité de contrôle polonaise une violation de données. La notification indiquait qu'une personne inconnue et non autorisée avait téléchargé, à partir du réseau informatique de l’université, une base de données contenant les données personnelles d’environ 5000 personnes (étudiants et professeurs). ( Pologne)
Données Personnelles

février 2022 | Derriennic Associés

Affaire Benalla : une ONG sanctionnée par la CNIL belge

Le 27 janvier 2022, l’autorité de protection des données belge (APD) a prononcé une amende de 2.700 € à l’encontre de l’ONG EU DisinfoLab, ainsi qu’une amende de 1.200 € à l’encontre de l’un de ses chercheurs, pour collecte massive et publications de données dans le cadre d’une étude visant à identifier l’orientation politique des personnes à l’origine des tweets portant sur l’affaire Benalla.
Données Personnelles

février 2022 | Derriennic Associés

Les thèmes prioritaires de contrôle de la CNIL pour l’année 2022

Le 15 février 2022, la CNIL a publié, la liste de ses thèmes propriétaires de contrôle pour 2022, au rang desquels figurent la prospection commerciale, les outils de surveillance dans le cadre du télétravail et l’usage du cloud computing.
Cybercriminalité/E-réputation

février 2022 | Derriennic Associés

2022 : l’année de la « cyber-résilience » ?

Face à l’augmentation exponentielle du nombre de cyber-attaques contre les réseaux d’entreprises (+68% en moyenne en 2021), il devient vital en 2022 pour les sociétés européennes d’intégrer dans leur stratégie un écosystème préventif dit « cyber-résilient ».

Digital

février 2022 | Derriennic Associés

Contrats : la clause de réversibilité passe au tribunal !

Récupérer ses données, est-ce suffisant ? Une jurisprudence récente nous rappelle l’importance de la rédaction précise des contrats en matière de réversibilité. Le prestataire voit sa responsabilité engagée pour ne pas avoir alerté son client des difficultés d’exploitation. Il faut donc être très vigilant dans la rédaction des clauses concernant la réversibilité des données.
Données Personnelles

janvier 2022 | Derriennic Associés

Le Parlement européen rappelé à l’ordre par le CEPD en raison d’un transfert de données vers les Etats-Unis

Le CEPD a adressé au Parlement européen un rappel à l’ordre, le 5 janvier 2022, notamment en raison d’un transfert de données à caractère personnel vers les Etats-Unis qui n’était pas assorti de « mesures supplémentaires » conformément aux exigences de l’arrêt « Schrems II ».
Données Personnelles

janvier 2022 | Derriennic Associés

Publication d’un guide RGPD à l’attention des développeurs

Après avoir élaboré une première version en janvier 2020, la CNIL a mis à jour en décembre 2021 son guide RGPD à destination des développeurs. Ce guide s’adresse à tous développeurs, qu’ils travaillent seuls ou en équipe, et plus généralement à toute personne s’intéressant au développement web ou applicatif ou en faisant son métier.
Données Personnelles

janvier 2022 | Derriennic Associés

SLIMPAY condamnée par la CNIL pour violation de données

Le 28 décembre 2021, la CNIL a prononcé une amende d’un montant de 180 000 euros à l’encontre de SLIMPAY, en raison d’un manquement de la société à son obligation de sécurité des données personnelles de ses utilisateurs, et d’une absence de communication de la violation à ces derniers.
Non classifié(e)

janvier 2022 | Derriennic Associés

L’envoi d’un courriel à un destinataire erroné doit-il être notifié ?

La CNPD, autorité de contrôle luxembourgeoise, estime que l'envoi par un assureur d'un courriel contenant des données de santé d'un assuré à un mauvais destinataire s'analyse comme une violation de données justifiant une notification à l'autorité de contrôle ainsi qu'une communication à la personne concernée.

Données Personnelles

janvier 2022 | Derriennic Associés

La Corée du Sud reconnue « pays adéquat »

La Commission européenne a adopté, le 17 décembre 2021, une décision d’adéquation reconnaissant que le niveau de protection des données personnelles en Corée du Sud est substantiellement équivalent à celui garanti par le droit de l’Union européenne.
Données Personnelles

janvier 2022 | Derriennic Associés

Google de nouveau condamnée par la CNIL à des amendes record

La CNIL a condamnée Google à deux amendes records (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED), en raison d’un processus de recueil du consentement à l’utilisation des cookies non conforme au cadre règlementaire applicable.
Données Personnelles

décembre 2021 | Derriennic Associés

L’ « Inbox advertising » qualifié de spam par la CJUE !

Dans un arrêt du 25 novembre dernier, la CJUE a jugé que les messages publicitaires qui s’affichent dans une boite mail de réception dans une forme s’apparentant à celle d’un mail constituent une utilisation de courrier électronique à des fins de prospection directe (« spam ») au sens de la Directive « Vie privée et communications ».
Données Personnelles

décembre 2021 | Derriennic Associés

Amende provisoire de 17 millions de livres sterling pour Clearview

L’autorité de contrôle britannique (ICO) a annoncé, le 29 novembre 2021, son intention d'imposer une amende potentielle d'un peu plus de 17 millions de livres sterling à Clearview AI Inc.
Données Personnelles

décembre 2021 | Derriennic Associés

Cookies : la CNIL adresse une trentaine de nouvelles mises en demeure

Dans un communiqué publié le 14 décembre 2021, la CNIL annonce avoir mis en demeure une trentaine d’organismes en raison du non-respect de la règlementation sur les cookies.
Données Personnelles

décembre 2021 | Derriennic Associés

Base légale de l’utilisation des réseaux sociaux à des fins promotionnelles

A la suite d’une plainte d’un particulier qui reprochait à l’un de ses « contacts » sur LinkedIn de lui avoir adressé une offre concernant des services immobiliers, la GPDP, autorité italienne de contrôle, a sanctionné ce professionnel au motif que le traitement ainsi réalisé ne reposait sur une aucune base légale.
Données Personnelles

décembre 2021 | Derriennic Associés

La CNIL prononce une sanction d’un montant de 400.000 euros à l’encontre de la RATP

Par une délibération en date du 29 octobre 2021, la CNIL a prononcé une sanction à l’encontre de la RATP d’un montant de 400.000 euros au regard de plusieurs manquements au RGPD.
Données Personnelles

décembre 2021 | Derriennic Associés

La CNIL publie son guide pratique sur le DPO

Le 16 novembre 2021, la CNIL a publié un guide dédié au délégué à la protection des données (ou « data protection officer », DPO), regroupant « les principales connaissances utiles et bonnes pratiques pour aider les organismes et accompagner les DPO déjà en poste ».
Données Personnelles

octobre 2021 | Derriennic Associés

Droit d’accès : demande générale, réponse générale

Face à une demande générale de droit d'accès, un organisme qui traite une grande quantité de donnée, devrait pouvoir se contenter d'une recherche générale sur les systèmes et fichiers les plus courants.
Données Personnelles

septembre 2021 | Derriennic Associés

Cookies : la CNIL poursuit les contrôles

Après avoir initié une première série de mises en demeure en mai, puis une deuxième en juillet, la CNIL dresse un bilan de sa dernière campagne et annonce vouloir effectuer de nouveaux contrôles.
Données Personnelles

août 2021 | Derriennic Associés

Amende de 1 750 000 € pour conservation prolongée des données et défaut d’information

Le 20 juillet 2021, la CNIL a prononcé une amende administrative d’un montant de 1 750 000 € à l’encontre de la SGAM AG2R LA MONDIALE, pour manquements (i) à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités du traitement, et (ii) à l’obligation d’informer les personnes concernées.
Données Personnelles

juillet 2021 | Derriennic Associés

Droit d’accès d’un salarié : L’employeur doit-il communiquer la copie des courriels?

Ce mois-ci, la question porte sur l’exercice du droit d’accès d’un salarié (ou ancien salarié). Son nom et son adresse électronique figurent dans un nombre considérable de courriels. L’employeur doit-il extraire de la messagerie électronique professionnelle dudit salarié l’intégralité de ces courriers et les lui communiquer ?
RGPD

juillet 2021 | Derriennic Associés

Deux nouveaux jeux de clauses contractuelles types !

Par deux décisions d’exécution du 4 juin 2021, publiées le 7 juin 2021, la Commission européenne a adopté : - des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers à l’Union Européenne (« UE ») ; - des clauses contractuelles types entre les responsables de traitement et les sous-traitants situés au sein de l’UE.

RGPD

juillet 2021 | Derriennic Associés

Responsable de traitement – sous-traitant : Le CEPD adopte ses lignes directrices

Le Comité européen de la protection des données (« CEPD ») a adopté, le 7 juillet 2021 des lignes directrices sur les notions de responsable du traitement et de sous-traitant (accessibles ici).
RGPD

juillet 2021 | Derriennic Associés

Surveillance constante d’un salarié travaillant seul : un moyen de preuve inopposable

La Cour de cassation, dans un arrêt du 23 juin 2021, a estimé que la surveillance constante d’un salarié, par un dispositif de vidéosurveillance, aux fins d’assurer le respect des règles d’hygiène et de sécurité, était attentatoire à la vie personnelle de ce salarié et disproportionnée au but recherché.
RGPD

juillet 2021 | Derriennic Associés

Code de conduite : le tout premier outil de conformité européen approuvé par la CNIL

Le 9 février 2021, le Cloud Infrastructure Service Providers Europe (CISPE) a publié le tout premier code de conduite européen dédié aux fournisseurs de services d’infrastructures cloud, sous-traitants de données à caractère personnel. Par une délibération n° 2021-065 du 3 juin 2021, la CNIL a approuvé ce code de conduite.

RGPD

juillet 2021 | Derriennic Associés

RGPD – Le Royaume-Uni reconnu « pays adéquat »

La Commission européenne a adopté, le 28 juin 2021, une décision d’adéquation reconnaissant que le niveau de protection des données personnelles au Royaume-Uni est substantiellement équivalent à celui garanti par le droit de l’Union européenne.

RGPD

juillet 2021 | Derriennic Associés

La CNIL se positionne sur la monétisation des données personnelles

La CNIL a publié, le 31 mai dernier, sur son site internet un article qui traite des questions éthiques et juridiques de la monétisation des données personnelles, notamment en ce qui concerne les cookies walls qui bloquent l’accès au site internet tant que l’utilisateur n’a pas consenti au placement de cookies ou payé pour accéder au contenu.
Données Personnelles

juin 2021 | Derriennic Associés

Reclassement de salariés : le compte-rendu d’entretien doit être objectif

Mettant notamment en cause le caractère objectif des données retranscrites dans un compte rendu, un employé a contesté le traitement de ses données par un cabinet de consultants diligenté par son employeur, dans le cadre d’une restructuration.

Données Personnelles

juin 2021 | Derriennic Associés

Cookies : la CNIL met en demeure 20 entités

La CNIL a adressé, le 18 mai 2021, une vingtaine de mises en demeure à l’attention d’organismes n’offrant pas aux internautes la possibilité de refuser des cookies aussi facilement que de les accepter.
Données Personnelles

juin 2021 | Derriennic Associés

Cookies : La CNIL clôture l’injonction prononcée à l’encontre de GOOGLE

Par une délibération du 30 avril 2021 (accessible ici), la CNIL a clôturé l’injonction prononcée à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (ci-après, « GOOGLE »).

Données Personnelles

mai 2021 | Derriennic Associés

Un employeur obligé de communiquer les images de son dispositif de vidéosurveillance à son ancien salarié

La Cour d’appel d’Amiens a rendu, le 8 avril 2021, un arrêt au terme duquel elle a ordonné à une société de communiquer à son ancien salarié les images issues de son dispositif de vidéosurveillance datant de la nuit où s’étaient déroulés les faits qui lui étaient reprochés dans le cadre de son licenciement.
Données Personnelles

mai 2021 | Derriennic Associés

TousAntiCovid : La CNIL précise les garanties devant être respectées par la fonctionnalité de « carnet numérique »

Dans une publication en date du 22 avril dernier, la CNIL a précisé les garanties devant être respectées par la fonctionnalité de « carnet numérique » de l’application TousAntiCovid.
Données Personnelles

mai 2021 | Derriennic Associés

FLASH INFO-Analyses d’impact : la période de dispense laissée par la CNIL s’achève le 25 mai 2021

En application du RGPD, le responsable du traitement doit effectuer une analyse d’impact lorsqu’un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
Données Personnelles

mai 2021 | Derriennic Associés

Anonymisation : L’EDPS et l’autorité de protection des données espagnoles publient « 10 idées fausses »

Le 27 avril dernier, le Contrôleur européen de la protection des données (EDPS) et l’autorité espagnole ont publié un document (accessible ici) concernant les « 10 idées fausses sur l'anonymisation ».
Données Personnelles

avril 2021 | Derriennic Associés

Fuite de données Facebook : Les conseils de la CNIL

Suite à la fuite de donnée ayant rendu accessibles les données personnelles de 533 millions d’utilisateurs de Facebook dans le monde, dont 20 millions de français, la CNIL a publié ses recommandations, adressées aux personnes concernées par cette fuite.
Données Personnelles

mars 2021 | Derriennic Associés

Brexit : La Commission européenne engage un processus d’adoption d’une décision d’adéquation

Le 19 février 2021, la Commission européenne a publié deux projets de décision d’adéquation du niveau de protection des données pour les transferts de données personnelles vers le Royaume-Uni.
Données Personnelles

mars 2021 | Derriennic Associés

Contrôles de la CNIL en 2021 : les thématiques prioritaires

Dans une publication du 02 mars dernier (accessible ici), la CNIL a rendu publiques les trois thématiques prioritaires autour desquelles elle entend orienter ses contrôles pour l’année 2021.
Données Personnelles

mars 2021 | Derriennic Associés

« Clauses contractuelles types » : L’EDPB et EDPS publient leurs avis conjoints sur les projets de la Commission européenne

Pour mémoire, le 12 novembre 2020, la Commission européenne avait publié deux projets de décision d’adoption de CCT. L’un applicable aux transferts de données vers des pays tiers à l’Union européenne (« UE »), l’autre aux relations entre un responsable du traitement et un sous-traitant situés au sein de l’UE.
Données Personnelles

février 2021 | Derriennic Associés

Les exemples de violations de données du CEPD

Le CEPD a adopté, le 14 janvier 2021, des lignes directrices visant à aider les responsables de traitement à gérer les violations de données, et notamment à évaluer des risques.
Données Personnelles

février 2021 | Derriennic Associés

Compteurs communicants LINKY: la CNIL clôture sa mise en demeure à l’encontre d’EDF

Par une décision du 15 février dernier (accessible ici), la CNIL a clôturé sa mise en demeure à l’encontre de la société EDF concernant le traitement des données de consommation d’électricité collectées dans le cadre des compteurs communicants LINKY.
Données Personnelles

février 2021 | Derriennic Associés

Un responsable du traitement et son sous-traitant condamnés par la CNIL pour défaut de sécurité des données

La CNIL a prononcé une amende de 150 000 euros, ainsi qu’une amende de 75 000 euros, respectivement à l’encontre d’un responsable du traitement et de son sous-traitant, pour défaut de sécurité des données.
Données Personnelles

janvier 2021 | Derriennic Associés

Prospection commerciale : la CNIL condamne une agence de marketing à une amende de 7.300 euros

Par une délibération en date du 7 décembre 2020 (accessible ici), la CNIL a prononcé une amende d’un montant de 7.300 euros à l’encontre de la société PERFORMECLIC en raison de manquements au RGPD et au Code des postes et des communications électroniques (« CPCE »).
Données Personnelles

janvier 2021 | Derriennic Associés

Nestor condamnée par la CNIL à une amende de 20.000 € pour prospection commerciale illicite

La société de préparation et de livraison de repas Nestor a été condamnée par la CNIL, le 8 décembre 2020, à une amende de 20.000 € notamment pour défaut de recueil du consentement préalablement à l’envoi de courriels de prospection.
Non classifié(e)

janvier 2021 | Derriennic Associés

Droit d’accès : la Cour d’appel de Paris enjoint l’employeur de remettre, sous astreinte, l’intégralité de ses données personnelles au salarié

Dans un arrêt rendu le 29 octobre dernier, la Cour d’appel de Paris s’est prononcée sur une demande d’exercice de son droit d’accès formulée par une salariée auprès de son employeur.
Données Personnelles

janvier 2021 | Derriennic Associés

Brexit : le statu quo

La CNIL avait publié, le 31 janvier 2020, jour de la sortie du Royaume-Uni de l’Union européenne, un texte indiquant qu’en application de l’accord de retrait, les dispositions du RGPD continueraient à s’appliquer à ce pays pendant une période transitoire courant jusqu’au 31 décembre 2020. La CNIL indiquait que cette période transitoire pourrait faire l’objet d’une prolongation.
Données Personnelles

décembre 2020 | Derriennic Associés

La CNIL actualise sa fiche pratique sur le droit d’accès

Le 18 novembre dernier, la CNIL a actualisé sa fiche pratique relative aux modalités de réponse à une demande de droit d’accès d’une personne concernée.

Données Personnelles

décembre 2020 | Derriennic Associés

Google et Amazon lourdement sanctionnés par la CNIL

Par deux délibérations du 7 décembre 2020, la CNIL a condamné d’une part, les sociétés Google LLC et Google Ireland Limited à des amendes de 60 et 40 millions d’euros ; et, d’autre part, la société Amazon Europe Core à une amende de 35 millions d’euros. Ces sanctions sont motivées par des manquements à la législation applicable en matière de cookies.
Données Personnelles

décembre 2020 | Derriennic Associés

Plus de 3.000.000 € d’amendes prononcés par la CNIL à l’encontre de sociétés du groupe Carrefour

La CNIL, saisie de plusieurs plaintes, a prononcé, le 18 novembre 2020, deux sanctions : l’une de 2.250.000 à l’encontre de Carrefour France et l’autre, de 800.000 euros, à l’encontre de Carrefour Banque.
Données Personnelles

novembre 2020 | Derriennic Associés

La Commission européenne publie deux projets de « Clauses Contractuelles Types »

Le 12 novembre dernier, la Commission européenne a publié deux projets de décisions d’adoption de « Clauses Contractuelles Types » (« CCT »). L’un applicable aux transferts de données vers des pays tiers à l’Union européenne (« UE »), l’autre aux relations entre un responsable du traitement et un sous-traitant situés au sein de l’UE.
Données Personnelles

novembre 2020 | Derriennic Associés

Les recommandations du CEPD sur les « mesures supplémentaires » évoquées par l’arrêt Schrems II

Le Comité européen de la Protection des données (« CEPD ») a publié, le 10 novembre 2020, un document dans lequel il formule des recommandations quant aux « mesures supplémentaires » aux outils de transfert de données hors UE permettant d’assurer un niveau de protection des données équivalent à celui de l’Union européenne.
Données Personnelles

novembre 2020 | Derriennic Associés

British Airways condamnée par l’ICO à une amende de 20 millions de livres

L’autorité de contrôle britannique en matière de protection des données (« ICO ») a prononcé une amende de 20 millions de livres à l’encontre de British Airways la suite d’une atteinte à son obligation de sécurité des données.
Données Personnelles

novembre 2020 | Derriennic Associés

Amende de 18,4 millions de livres pour un accès frauduleux à 339 millions de comptes clients

L’autorité de contrôle britannique en matière de protection des données (« ICO ») a prononcé une amende de plusieurs millions de livres à l’encontre du groupe hôtelier Mariott, à la suite d’une atteinte à l’obligation de sécurité des données.
Données Personnelles

novembre 2020 | Derriennic Associés

Envoi de courriers de félicitations aux bacheliers : la CNIL rappelle à l’ordre un rectorat et une députée

Le rectorat de l’académie de Normandie, ainsi qu’une députée, ont fait l’objet d’un rappel à l’ordre de la CNIL dans le cadre d’un échange de données à caractère personnel visant à féliciter des bacheliers.
Données Personnelles

octobre 2020 | Derriennic Associés

Lignes directrices du CEPD : Comment rédiger son contrat de sous-traitance ?

Le CEPD a adopté, le 2 septembre 2020, des lignes directrices sur les notions de responsable du traitement et de sous-traitant.
Données Personnelles

octobre 2020 | Derriennic Associés

Cookies : La CNIL confirme ses positions

Par deux délibérations du 17 septembre 2020, la CNIL a adopté, d’une part, de nouvelles lignes directrices relatives à l’utilisation des cookies et, d’autre part, la version définitive de ses recommandations visant à proposer des modalités pratiques de recueil d’un consentement conforme aux règles applicables.
Données Personnelles

octobre 2020 | Derriennic Associés

COVID-19 : Quelle collecte des données par l’employeur ?

Le 23 septembre dernier, la CNIL a actualisé ses recommandations concernant la collecte de données personnelles par les employeurs dans le contexte de la crise sanitaire liée au COVID-19.
Social

septembre 2020 | Derriennic Associés

L’expert du CSE, passe muraille du RGPD

CA Paris, 2 juil. 2020, n°19/22158 : Pour la première fois, la Cour d’appel de Paris se prononce sur la possibilité, ou plutôt l’impossibilité pour l’employeur, d’invoquer le RGPD afin de faire obstacle à la demande d’informations sollicitée par l’expert du CSE.
Données Personnelles

septembre 2020 | Derriennic Associés

Manquements multiples dans le traitement de données clients : 250.000 € d’amende

Le 28 juillet dernier, la CNIL a condamné la société SPARTOO à une amende de 250.000 euros pour plusieurs manquements au RGPD.
Données Personnelles

septembre 2020 | Derriennic Associés

Invalidation du Privacy shield : La FAQ du CEPD

Suite à l’arrêt de la Cour de justice de l’Union européenne (CJUE) dans le cadre de l’affaire « Schrems II » ayant invalidé le Privacy Shield, le Comité européen de protection des données (CEPD) a délivré ses premiers éléments de réponse aux questions les plus fréquemment posées.
Données Personnelles

septembre 2020 | Derriennic Associés

Mise en garde de la CNIL contre la verbalisation par lecture automatisée des plaques d’immatriculation

Dans une publication du 25 août 2020, la CNIL a indiqué avoir mis en demeure des communes de se conformer au cadre légal en matière de lecture automatisée des plaques d’immatriculation, et plus particulièrement de cesser la collecte de fichiers photographiques.
Données Personnelles

août 2020 | Derriennic Associés

#BadgeusesPhoto : Plusieurs employeurs mis en demeure par la CNIL pour collecte excessive de données

Saisie en 2018 par des agents publics et des salariés d’entreprises en raison de la mise en place par leur employeur de badgeuses photo sur leur lieu de travail, la CNIL a procédé à 4 contrôles (entre mars et septembre 2019) concernant l’usage de ces dispositifs intégrant la prise d'une photo à chaque pointage.
Données Personnelles

août 2020 | Derriennic Associés

Publication des comptes d’une SAS unipersonnelle : une atteinte proportionnée à la protection des données de son associé

Dans un arrêt du 24 juin 2020, la Cour de cassation s’est prononcée sur le point de savoir si la publication des comptes d’une société par actions simplifiée pouvait constituer une atteinte disproportionnée à la protection des données de son associé unique.
Données Personnelles

juillet 2020 | Derriennic Associés

Invalidation du Privacy Shield : quelques recommandations

Suite à l’invalidation du mécanisme de Privacy Shield, voici quelques recommandations concernant les garanties à apporter aux transferts de données à caractère personnel à destination des Etats-Unis.
Données Personnelles

juillet 2020 | Derriennic Associés

Le Privacy Shield invalidé par la CJUE

La CJUE a rendu un arrêt, le 16 juillet 2020, dans lequel elle a invalidé la décision relative à l’adéquation de la protection assurée par le bouclier de protection des données EU-Etats-Unis.
Données Personnelles

juillet 2020 | Derriennic Associés

La CNIL publie six bonnes pratiques à destination des responsables de traitement et sous-traitants

Le 9 juillet dernier, dans le prolongement de vérifications réalisées auprès de 15 fournisseurs de services et solutions informatiques en ligne (sans qu’aucune précision ne soit faite sur ces vérifications), la CNIL a publié des bonnes pratiques à destination des responsables de traitement et des sous-traitants.
Données Personnelles

juillet 2020 | Derriennic Associés

Le Conseil d’Etat invalide l’interdiction des « cookie walls » posée par la CNIL

La date d’adoption du règlement ePrivacy se faisant attendre, la CNIL avait, par une délibération n° 2019-093 du 4 juillet 2019, établit des lignes directrices sur les « cookies et autres traceurs ». Diverses associations professionnelles avaient saisi le Conseil d’État (ci-après le « CE ») d’une requête tendant, à titre principal, à l’annulation pour excès de pouvoir de cette délibération.
Données Personnelles

juin 2020 | Derriennic Associés

Rapport d’activité 2019 de la CNIL : la reconnaissance faciale

La CNIL a rendu public, le 9 juin 2020, son quarantième rapport d’activité, dans lequel elle fournit son analyse sur un sujet sensible : la reconnaissance faciale.
Données Personnelles

juin 2020 | Derriennic Associés

Rapport d’activité 2019 de la CNIL : les contrôles

La CNIL a rendu public, le 9 juin 2020, son quarantième rapport d’activité, dans lequel elle revient sur les opérations de contrôle qu’elle a réalisées au cours de l’année 2019.
Données Personnelles

juin 2020 | Derriennic Associés

La CNIL publie son rapport d’activité pour l’année 2019

La question de la protection des données est plus que jamais au cœur des préoccupations, en atteste le dernier rapport de la CNIL et ses chiffres en hausse pour l’année 2019 concernant notamment le nombre de plaintes, de désignations de DPO ou encore les millions de visites sur son site, sans oublier la sanction record prononcée à l’encontre de GOOGLE.
Non classifié(e)

juin 2020 | Derriennic Associés

La CNIL et le Défenseur des droits alertent sur les risques de discrimination pouvant découler de l’usage exponentiel des algorithmes

Constatant un usage accru des outils numériques reposants sur des algorithmes dans le cadre de la crise sanitaire ...
Non classifié(e)

juin 2020 | Derriennic Associés

Le contrôle des dispositifs de lutte contre le COVID-19 par la CNIL

Après s’être prononcée sur les projets de décrets relatifs aux fichiers SI-DEP et Contact Covid, ainsi qu’à l’application mobile StopCovid, la CNIL est sur le point de lancer une série de contrôles visant à s’assurer de la conformité des traitements de données à caractère personnel réalisés au moyen de ces dispositifs.
Non classifié(e)

mai 2020 | Derriennic Associés

L’avis de la CNIL sur les conditions de mise en œuvre de l’application « StopCovid »

La CNIL a rendu public, le 26 mai dernier, son avis sur un projet de décret relatif à l’application mobile « StopCovid », qui a pour objet d’alerter ses utilisateurs sur les risques de contamination.
Non classifié(e)

mai 2020 | Derriennic Associés

Déconfinement : L’utilisation de drones de surveillance remise en cause

Par une ordonnance du 18 mai 2020, le Conseil d’Etat a enjoint l’Etat de cesser, sans délai, d’utiliser des drones pour surveiller le respect des règles de sécurité sanitaire applicables à la période de déconfinement.
Non classifié(e)

mai 2020 | Derriennic Associés

Focus : La CNIL met à jour ses recommandations relatives à la collecte de données personnelles par les employeurs

Le 7 mai dernier, la CNIL a actualisé ses recommandations concernant la collecte de données personnelles par les employeurs dans le cadre de la crise sanitaire liée au COVID-19.
Non classifié(e)

avril 2020 | Derriennic Associés

Focus : COVID 19 & RGPD

L’impérieuse nécessité des mesures sanitaires et de sécurité prises pour endiguer l’épidémie de Covid19 ne saurait éclipser l’importance d’inscrire ces mesures d’exception dans la légalité et le respect des droits fondamentaux, au titre desquels figure le droit à la protection des données à caractère personnel, protégé par l’article 8 de la Charte des droits fondamentaux de l’Union Européenne.
Non classifié(e)

mars 2020 | Derriennic Associés

La stratégie de contrôle de la CNIL pour 2020

Dans une publication du 12 mars 2020, la CNIL a rendu publique les trois thématiques prioritaires autour desquelles elle compte orienter ses contrôles pour l’année 2020.