La loi pour une République Numérique adoptée définitivement
La loi pour une République Numérique adoptée le 28 septembre dernier a été promulguée le 7 octobre 2016. Le Sénat a adopté en dernière lecture le texte proposé par la Commission paritaire mixte tel qu’il avait été voté par l’Assemblée nationale le 20 juillet.
Voir notre article sur le sujet
Le gouvernement crée un fichier des pièces d’identité adopté par un décret le 30 octobre
Ce fichier va rassembler des informations regrouper les informations liées à la création des pièces d’identité et passeports sur l’identité de l’ensemble de la population française. Une base de données considérable listant entre autres couleur des yeux, taille, l’adresse ou bien sûr la photo. Les forces de police pourront alors vérifier dans cette base que le passeport contrôlé correspond au passeport enregistré.
Risque soulevé par la CNIL : « Il pourra être assez facile pour un gouvernement de modifier la nature du fichier et de rendre exploitables les données, puisqu’il existe ».
Vu qu’il ne s’agit pas d’un projet de loi mais d’un décret, le seul moyen d’action contre ce décret serait un recours devant le Conseil d’Etat.
Pour plus d’infos : http://www.liberation.fr/france/2016/10/31/fichier-des-pieces-d-identite-ce-decret-cree-un-monstre_1525428
Droit des données personnelles
CJUE 19 Octobre 2016
Une adresse IP dynamique est une donnée personnelle
L’adresse IP dynamique est considérée comme une donnée à caractère personnel, même si les données d’identification de la personne concernée sont détenues par un tiers (le fournisseur d’accès).
Dans une affaire en Allemagne, la cour suprême allemande s’est tournée vers la CJUE pour savoir si une adresse IP dynamique est une donnée à caractère personnelle, bénéficiant de la protection de la directive de 1995. Le site qui stocke ces informations ne dispose pas des éléments d’identification, (c’est le FAI qui délivre cette adresse IP), en l’occurrence dynamique : cette donnée ne révèle donc pas directement l’identité de la personne propriétaire de l’ordinateur qui s’est connectée au site.
La Cour en conclut que le fait que les données soient détenues par un tiers au site n’exclue pas qu’elles soient considérées comme des données à caractère personnel. D’autant qu’il existe des moyens légaux permettant aux sites collecteurs de telles informations de s’adresser au FAI, par le biais de l’autorité compétente, pour obtenir les données d’identification.
Sanction de la CNIL vis-à-vis de l’application Gossip
CNIL – 14 octobre 2016
La CNIL a rendu publique sa décision à l’encontre des créateurs d’une application pour téléphone mobile permettant à tout un chacun de publier des « potins anonymes », commérages ou accusations sous forme de textes, de photos ou de vidéos concernant l’une des personnes inscrites dans son répertoire de contacts, ou parmi ses « amis » Facebook. L’intéressé mis en cause n’est pas informé s’il n’est pas lui-même utilisateur de cette application.
La CNIL a décidé de procéder à des contrôles et a pu constater que certains de ces commérages pouvaient viser des mineurs.
Cette application comportait des infractions à la loi Informatique et Libertés : la Commission a constaté que l’ensemble de l’application utilisait de manière massive la totalité des contacts téléphoniques et Facebook des utilisateurs de l’application, sans limitation d’espace ni de durée, pratique délibérément contraire aux principes de la loi sur la protection des données personnelles notamment son article 1er qui dispose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Elle a également constaté que le principe de consentement, prévu par l’article 7 n’était pas respecté puisque les données étaient collectées à l’insu des intéressés, au sein des répertoires de contacts de leurs connaissances.
La Cnil a pris la décision, le 26 septembre dernier, de prononcer une mise en demeure envers la société éditrice de se mettre en conformité avec la loi sous un délai d’un mois.
Publication d’une sanction de la CNIL : pas de durée de conservation illimitée
CE 28 septembre 2016
Dans le contexte des dernières élections municipales, le directeur du Théâtre National de Rennes avait envoyé un email aux abonnés rennais du théâtre dont le contenu avait pour but de valoriser le bilan de la politique culturelle menée à Rennes. Dans une délibération du 12 février 2015, la CNIL a prononcé un avertissement à l’encontre du théâtre, pour n’avoir pas respecté l’article 6 de la loi du 6 janvier 1978 qui impose que les données soient « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». La Cnil avait constaté que les adresses électroniques des abonnés avaient été utilisées pour envoyer une communication politique, alors qu’elles avaient été initialement collectées pour assurer la gestion des abonnements.
En conséquence, le Conseil d’État a complètement approuvé le raisonnement de l’autorité de contrôle sur ce point et la sanction qui en découle. Il a cependant donné gain de cause au TNR sur la peine complémentaire de publication. Elle doit cependant respecter le principe de proportionnalité, en prenant en considération le support retenu et éventuellement la durée pendant laquelle la publication est libre et continue. Or, « en omettant de fixer la durée pendant laquelle la publication de l’avertissement resterait accessible de manière non anonyme sur ces deux sites, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle » et donc excessive.