Transferts de données UE-USA : La déclaration de guerre de NOYB

L’association None of Your Business (NOYB) fondée par Maximilian Schrems a déposé 101 recours auprès de diverses autorités de protection des données à caractère personnel visant plusieurs entreprises pour transfert illégal de données à Google et Facebook aux Etats-Unis, sur le fondement du RGPD et de la récente décision « Schrems II » invalidant [...]

La société Spartoo sanctionnée par la CNIL pour non-conformité au RGPD

L’enseigne notoire de vente de chaussures en ligne s’est vue reprocher plusieurs violations du Règlement Général sur la Protection des Données personnelles (RGPD) et de la Loi Informatique et Libertés de 1978. La Commission lui inflige donc une sanction de 250.000 euros, avec une injonction sous astreinte de se mettre en conformité avec le RGPD [...]

Privacy Shield : Le bouclier brisé par la CJUE

La saga judiciaire opposant Maximilian Schrems au géant Facebook prend fin après 8 ans de lutte procédurale. Dans une décision très attendue en date du 16 Juillet 2020, la CJUE annule le « bouclier de protection des données UE-Etats-Unis ». Néanmoins, la Cour valide les clauses contractuelles types relatives au transfert de données à caractère personnel vers [...]

Caméras Thermiques : Le Conseil d’État prohibe leur utilisation dans les écoles

Dans la lignée des décisions rendues à l’encontre de l’utilisation de nouvelles technologies aux fins de gestion de la crise sanitaire, le Conseil d’État ordonne à la commune de Lisses de cesser l’usage de caméras thermiques déployées dans les écoles. Dans le cadre du déconfinement, la commune de Lisses avait décidé de déployer des caméras [...]

Cookies et traceurs : Vérités sur la décision du 19 Juin 2020 rendue par le Conseil d’Etat

Loin du Conseil d’Etat l’idée d’interdire la pratique des « cookie walls » énoncé par la CNIL dans ses lignes directrices adoptées le 04 Juillet 2019, contrairement à ce qui a été annoncé par de nombreuses revues journalistiques. L’Autorité de Contrôle devra seulement ajuster ses recommandations en la matière pour se conformer à la décision [...]

Adoption par la CNIL du référentiel relatif à la gestion des ressources humaines

Par publication au Journal Officiel du 15 avril 2020 de sa délibération n°2019-160 du 21 novembre 2019, la CNIL a adopté un référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines (« RH »). S’inscrivant dans une logique visant à aider les organisations dans leurs actions de [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (8)

Une estimation risques / bénéfices qui reste à faire Récapitulons : (i) le consentement, libre et éclairé, demeure sujet à débat ; (ii) l’anonymisation pourrait être illusoire voire contre-productive ; (iii) il n’existe pas, pour l’heure, d’encadrement législatif prévoyant les garanties en termes de durée limitée, de destinataires spécifiquement définis et de mesures techniques et organisationnelles (incluant l’incontournable [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (7)

Une anonymisation réelle ? A cet égard, l’anonymisation (largement revendiquée en temps normal par de nombreux développeurs) constitue souvent un leurre. Il faut rappeler qu’une véritable anonymisation est en réalité difficile à atteindre, car par recoupement ou déduction, il est souvent possible de réattribuer des données à une origine, et donc à une personne concernée. A [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (6)

Les exigences légales à satisfaire Rappelons donc les caractéristiques d’un consentement éclairé : la personne concernée doit a minima avoir été informée des éléments suivants : L’identité du responsable de traitement, ou, le cas échéant, des responsables conjoints du traitement ou de responsables de traitement ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ; La [...]

Covid-19 et données personnelles – prenons le temps de la réflexion (5)

Les technologies de « contact tracing » Devant ces initiatives dispersées, plus ou moins gravement intrusives, le CEPD invite l’UE à procéder au développement d’une application commune aux états-membres, sécurisée et conforme au RGPD (notamment en termes de privacy by design). Un groupe de 130 chercheurs de huit pays européens entend donc lancer une plate-forme baptisée PEPP-PT [...]