Le Fil d’Actualité RGPD


CJUE 10/07/2018 – Le RGPD s’applique aux communautés religieuses

Co-responsabilité d’une communauté religieuse (témoins de Jéhovah) et de ses membres prédicateurs : la prédication par le porte-à-porte n’est pas une activité exclusivement personnelle et domestique de chaque prédicateur, qui permettrait d’échapper à la règlementation, puisqu’elle dépasse leur sphère privée. La responsabilité conjointe ne présuppose pas nécessairement que chaque acteur ait accès aux données personnelles : la communauté organisant, coordonnant et encourageant la prédication par ses membres participe à la détermination de la finalité et des moyens du traitement.


Référé TGI Grenoble 04/07/18 – Transfert de données personnelles hors UE, mieux vaut ne pas se tromper de destinataire !


02/07/2018 – Vidéosurveillance – La surveillance constante des salariés ou des étudiants est exclue

Est excessif tout système qui revient à surveiller en permanence des salariés ou des étudiants, c’est-à-dire de filmer à la fois les accès à l’établissement, les lieux de circulation et les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles.

L’obligation d’information des personnes filmées peut être remplie par des mentions dans les conditions générales d’inscription, un affichage et la diffusion aux salariés (note d’information/contrat de travail).

Lorsque la finalité du traitement est de protéger des biens et des personnes (vols, agressions, dégradations) et éviter les débordements des étudiants, une durée de conservation adéquate serait d’un mois.


28/06/2018 CEDH – Quand des condamnés au pénal il y a plus de 20 ans se voient refuser l’anonymat dans les médias » Le droit à l’oubli n’est pas absolu

Pour déterminer si le droit à l’oubli doit être mise en œuvre, il faut rechercher l’équilibre entre le respect de la vie privée et les libertés d’expression et d’information du public.


Conseil d’Etat 06/06/18 – Condamnation pour challenges.fr à 25K€

Base légale du traitement : Les cookies publicitaires même s’ils seraient nécessaires à la viabilité économique du site web nécessitent un consentement de l’internaute préalable à leur dépôt.

Obligation d’information : Il est essentiel d’informer l’internaute des cookies qui peuvent être déposés en précisant ceux qui sont obligatoires ou soumis à son consentement, ainsi que les conséquences d’une éventuelle opposition de sa part. La seule proposition à l’internaute de paramétrer son navigateur n’est pas un mode valable d’opposition.

Durée de conservation : Cookies / 13 mois

Obligation de coopérer avec la CNIL : il appartient à la société ayant fait l’objet d’une mise en demeure de la CNIL de lui démontrer qu’elle a fait le nécessaire pour remédier à ses manquements.


CJUE 05/06/18 – Responsabilité conjointe du traitement : Désactivation d’une page fan sur le réseau social Facebook

Responsabilité : Même si le Réseau social est responsable à titre principal, l’administrateur d’une page fan est responsable conjoint du traitement : Il apporte une contribution active et volontaire (action de paramétrage) à la collecte par le RS des données personnelles des visiteurs de sa page et bénéficie de statistiques en résultant, à des fins de gestion de la promotion de son activité (connaissance du profil des visiteurs qui apprécient la page fan ou utilisent ses applications, afin de pouvoir leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage…). Même si ces statistiques sont reçues par l’administrateur sous une forme anonymisée, le traitement lui-même ne l’est pas et il n’est en pratique pas nécessaire que l’internaute ait un compte sur le RS pour que ses données soient traitées.


25/05/2018- L’entrée en application du RGPD tant attendue…. et tant redoutée

La semaine d’entrée en application du nouveau règlement européen sur les données personnelles aura vu nombre d’entreprises se précipiter autour de cette date butoir pour assaillir d’e-mails leurs clients et contacts.

» Plusieurs constats : la majorité de ces e-mails visait demander un (nouveau) consentement aux personnes ; la majorité des personnes n’a pas lu ces mails reçus en pagaille et encore moins confirmé un consentement.

» Plusieurs réflexions : il semble que dans la plupart des cas, la base légale du traitement des données n’avait pas à être le consentement (rappelons qu’une entreprise peut sur la base d’un intérêt légitime adresser des offres à ses clients naturellement intéressés par ses produits et services) ; en adressant en masse cette demande les entreprises se sont elles-mêmes obligées à obtenir un consentement ; quand bien même un consentement était nécessaire, il est loin d’être certain qu’il le fallait réellement pour le 25 mai ; le résultat de cette précipitation est très certainement une perte massive des données d’entreprise et de la valeur qui l’accompagne.

La CNIL a annoncé qu’elle resterait assez souple dans le cadre de ses contrôles jusque fin 2018. Il est donc encore temps de poser sa réflexion juridique en amont et de vérifier au cas par cas quelles sont les obligations de l’entreprise et les démarches de mise en conformité à mettre en œuvre en fonction de sa situation.


TGI Paris 10/04/18 – Suppression de la fiche Google My Business d’un chirurgien dentiste sous astreinte ⇒ Mieux vaut répondre à une demande d’effacement


09/03/2018 Conseil d’Etat – Confirmation de la non destitution par la CNIL d’un Correspondant Informatique & libertés (CIL)

L’information des clients d’un établissement bancaire sur le risque financier qu’ils prennent en contractant un emprunt de relève pas des devoirs du CIL qui n’a donc pas manqué à ses obligations.


20/02/2018 – Référé Conseil d’Etat –Mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup »

Plusieurs syndicats étudiants demandaient la suspension d’un arrêté autorisant la mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup » considéré comme illégal. Après une mise en balance des intérêts en cause, le Conseil d’Etat a estimé que la suspension de « Parcoursup » engendrerait une atteinte à l’intérêt général (bon déroulement de la procédure de préinscription pour l’enseignement supérieur) excédant les inconvénients invoqués par les syndicats requérants vu notamment le caractère limité du traitement. La gravité et la condition d’urgence n’ont pas été retenues.


14/02/2018 TGI Paris – Atteinte à la vie privée et malveillance » 2K€ D&I, 2K€ art.700, suppression de la page web

Si les décisions de justice sont publiées en intégralité, les bases de données librement accessibles qui les reproduisent doivent les anonymiser.

Identifier sur une page web une personne condamnée (pour exercice illégal de la pharmacie, commercialisation de médicaments sans AMM, non-respect des règles de publicité sur les médicaments et fraude fiscale) en publiant les décisions de justice anonymisées, en mettant en avant des faits très anciens et sans alimenter le débat par des éléments nouveaux est une levée d’anonymat malveillante et répréhensible.