26/06/2023

Précisions de la CJUE sur l’étendue du droit d’accès d’un salarié : il ne permet pas de connaitre l’identité des personnes physiques ayant consulté des données personnelles.

Un salarié d’une banque finlandaise, qui était par ailleurs client de cette banque, avait appris que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque dans le cadre d’une enquête interne.

Ayant des doutes sur la licéité de ces consultations, le salarié avait demandé à la banque que lui soit communiquée l’identité des collaborateurs qui avaient consulté ses données, les dates des consultations ainsi que les finalités du traitement. La banque a indiqué les raisons de ces opérations mais a refusé la demande de communiquer l’identité des salariés.

La CJUE (22 juin 2023, C-579/21), saisie d’une question préjudicielle, interprète le RGPD en ce qu’il ne consacre pas de tel droit à connaitre l’identité des salariés qui ont consulté des données. La CJUE indique que les salariés du responsable du traitement ne sont pas considérés comme étant des « destinataires » au sens du RGPD lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions.

Elle ajoute qu’à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers.

05/05/2023

Quels sont les documents devant être remis dans le cadre d’un droit d’accès ? Quelle réparation pour la personne concernée en cas de violation du #RGPD ? Dans deux arrêts du 4 mai 2023, la CJUE a répondu aux questions soumises par des juridictions autrichiennes :

1️⃣ Dans une première affaire (CJUE, 4 mai 2023, C-300/21), le renvoi préjudiciel portait sur le point de savoir si la simple violation du RGPD suffisait pour conférer à la personne concernée un droit à réparation ou si la réparation n’était possible qu’au-delà d’un certain degré de gravité du dommage moral subi.

Le service postal autrichien collectait, dans le cadre de son activité de vente d’adresses, des informations sur les affinités politiques sans le consentement des personnes concernées. Le requérant affirmait avoir ressenti un sentiment d’humiliation en raison de l’établissement d’une affinité particulière avec un parti politique autrichien et a demandé réparation du préjudice subi du fait de ce traitement illicite.

La CJUE répond en 3 points :

- Toute violation du RGPD n’ouvre pas, à elle seule, un droit à réparation ; - Le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité ; - Il appartient à chaque État membre de fixer les critères permettant de déterminer l’étendue de la réparation sous réserve de respecter les principes d’équivalence et d’effectivité.

2️⃣ Dans la seconde affaire (CJUE, 4 mai 2023, C-487/21), la CJUE devait déterminer si le droit pour une personne d’obtenir une « copie » de ses données à caractère personnel implique que lui soit remis par le responsable de traitement une reproduction fidèle et intelligible de toutes ses données ou si l’obligation de l’article 15 §3 du RGPD est satisfaite lorsque le responsable du traitement transmet les données à caractère personnel sous la forme d’un tableau synthétique.

Une personne avait exercé son droit d'accès auprès d’une agence de renseignements commerciaux pour le traitement de ses données dans le cadre d’un service de fourniture d’informations sur sa solvabilité à des tiers. Le requérant estimait que la liste synthétique fournie par par l’agence en réponse à sa demande ne lui permettait pas de comprendre comment ses données personnelles étaient traitées.

La CJUE indique que le droit d’accès du RGPD suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers, ou encore d’extraits de bases de données qui contiennent, entre autres, les données personnelles de la personne concernée.

05/04/2023

La diffusion en direct de cours d’enseignement scolaire peut-elle se faire sans recueil du consentement des enseignants ?

Pendant la pandémie et les périodes de confinement, un Ministre de l’Éducation allemand avait aménagé la possibilité pour les élèves d’assister aux cours par vidéoconférence. Le consentement des élèves était recueilli, mais pas celui des enseignants. Un recours a été introduit par le comité représentatif des enseignants.

La juridiction allemande saisie a soumis une question préjudicielle à la CJUE en interprétation du RGPD sur le point de savoir si une réglementation nationale pouvait permettre de ne pas recueillir le consentement des enseignants dans un tel cas.

Dans un arrêt du 30 mars 2023, la CJUE a interprété l’article 88 du RGPD « Traitement de données dans le cadre des relations de travail » qui aménage la possibilité pour les Etats Membres d’adopter des réglementations nationales dites « règles plus spécifiques » concernant le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

La CJUE indique ainsi que pour que cet article s’applique, les règles nationales doivent être… « plus spécifiques ». La règlementation nationale peut prévoir que le recueil du consentement des enseignants au traitement en cause n’est pas requis si : 1️⃣La loi interne a un contenu normatif propre au domaine règlementé et donc distinct des règles générales du RGPD ; 2️⃣Elle prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées.

Si tel n’est pas le cas, l’article 88 du RGPD relatif aux "règles plus spécifiques" ne sera pas applicable.

Mais il pourra encore être vérifié si la règlementation nationale constitue une base juridique au traitement au sens de l’article 6 du RGPD (ex. exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore le respect d’une obligation légale à laquelle le responsable du traitement est soumis).

La balance entre le droit au respect des données personnelles des enseignants et le droit à l’enseignement des élèves en période de crise sanitaire devra être évaluée par la juridiction allemande de renvoi.

28/03/2023

CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.

La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.

La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.

Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.

27/03/2023

Une salariée obtient la communication des bulletins de paie de ses collègues

Une salariée considérant avoir subi une inégalité salariale par rapport à ses collègues masculins occupant le même poste a saisi la formation de référé des prud’hommes pour obtenir la communication de leurs bulletins de paie.

La Cour d’appel de Paris a fait droit à sa demande, ordonnait à l’employeur de communiquer sous astreinte les bulletins de huit salariés faisant apparaître leurs noms et prénoms, classification conventionnelle, rémunération mensuelle détaillée et rémunération brute totale cumulée par année civile.

Dans son arrêt du 8 mars 2023, la Cour de cassation confirme la décision d’appel en rappelant que, conformément au point 4 de l’introduction du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité, notamment au regard du droit à un recours effectif et à l’accès au juge.

En l’espèce, la Cour d’appel avait fait ressortir que la communication des bulletins de paie portait atteinte à la vie privée des salariés mais « était indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l'intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d'emploi et de travail ».

24/03/2023

Respect du RGPD et de la loi Informatique et Libertés : Le programme des contrôles publié par la CNIL. 4 thématiques sont mises en avant pour l’année 2023 :

1️⃣ Utilisation des caméras augmentées par les acteurs publics – Le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques)

2️⃣ Utilisation du fichier des incidents de crédit aux particuliers – Du fait des enjeux particulièrement forts liés aux données de ce fichier, la CNIL en fait un axe prioritaire pour 2023. Elle précise que les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.

3️⃣  Gestion des dossiers de santé et accès au Dossier Patient Informatisé (DPI) – La CNIL précise que les contrôles menés auront "pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données". 

4️⃣ Traçage des utilisateurs des applications mobiles – La CNIL indique que plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. La CNIL poursuivra ses vérifications en 2023.

NEXT avocats vous accompagne dans la mise en conformité des traitements de données personnelles et en cas de contrôle.

17/01/2023

C’est au tour d’une société française (Voodoo) d’être condamnée par la CNIL, dans une décision du 29 décembre 2022, pour un usage illicite des identifiants publicitaires/cookies. L’éditeur de jeux mobiles est condamné à une amende de 3 millions d’euros par la CNIL pour non-respect de l’article 82 de la loi du 6 janvier 1978.

  La CNIL a d’abord constaté que l’App Store permettait aux éditeurs d’applications utilisant la plateforme d’attribuer un « IDentifier For Vendors » (ou IDFV) aux utilisateurs des applications qu’ils éditent afin de suivre l’utilisation qui en est faite. Or, en le combinant avec d’autres informations du smartphone, l’IDFV permet de suivre les habitudes de navigation des personnes, notamment les catégories de jeux qu’elles privilégient, afin de personnaliser les annonces vues par chacune d’entre elles.

  L’utilisateur a la possibilité, à l’ouverture de l’application objet du contrôle de la CNIL, de donner son consentement au suivi de ses activités sur les applications par le biais d’une fenêtre conçue par Apple. En cas de refus, une seconde fenêtre, conçue par Voodoo, indique que le suivi publicitaire est désactivé et que des publicités non-personnalisées seront proposées.

  Pourtant, la CNIL a constaté que, malgré le refus, Voodoo lit l’IDFV associé à l’utilisateur et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires. Cette utilisation sans le consentement de l’utilisateur constitue un manquement à l’article 82 de la loi Informatique et Libertés.

  Compte tenu du nombre de personnes concernées, des avantages financiers obtenus et du chiffre d’affaires réalisé par Voodoo, la formation restreinte a prononcé une amende de 3 millions d’euros assortie d’une injonction sous astreinte afin que Voodoo recueille le consentement des utilisateurs dans un délai de 3 mois au risque de s’exposer au paiement de 20 000 euros par jour de retard.

10/01/2023

La CNIL a été active depuis la rentrée 2022 : 6 décisions de sanction rendues publiques pour un montant total de 24 950 000 euros d'amendes prononcées. Quels sont les motifs de ces sanctions ? Quels sont les montants des amendes prononcées ? Voici la mise à jour du tableau de bord de NEXT avocats.