Le bilan des six premiers mois de l’année 2014 démontre à nouveau que le domaine de la protection des données à caractère personnel est en pleine effervescence depuis l’affaire PRISM et continue à alimenter les premières pages des journaux et les fils d’actualité de la CNIL. Voici les plus importants titres qui ont marqué l’année les premiers mois de 2014.
11 février 2014 : la CNIL élargit la liste des domaines pour lesquels un système d’alerte professionnelle est autorisé.
Après s’être opposée à la mise en place de dispositifs d’alerte professionnelle (« whistleblowing »), la CNIL avait fixé de manière stricte les conditions dans lesquelles les entreprises pouvaient mettre en œuvre de tels dispositifs sans avoir à passer par le formalisme d’une demande d’autorisation spécifique auprès de ses services. Ces conditions de mise en œuvre ont été fixées par l’autorisation unique référencée « AU-004 » en date du 8 décembre 2005, modifiée le 14 octobre 2010. Par une délibération publiée au Journal officiel le 11 février 2014, la CNIL assouplit les conditions de mise en place, sans autorisation spécifique, des dispositifs d’alerte professionnelle.
Maintenant tout organisme public ou privé peut bénéficier de l’AU-004 si le dispositif d’alerte professionnelle répond à une obligation légale ou à un intérêt légitime dans les domaines mentionnés par l’AU-004 (financier, comptable, bancaire et de la lutte contre la corruption ; pratiques anticoncurrentielles ; lutte contre les discriminations et le harcèlement au travail ; santé, hygiène et sécurité au travail ; protection de l’environnement).
27 février 2014 : la nomination d’Isabelle Falque-Pierrotin à la présidence du « G29 ».
Sous le mandat d’Isabelle Falque-Pierrotin, le G29 aura à faire face à deux défis : préparer la transition vers la nouvelle gouvernance prévue dans le projet de règlement de l’Union européenne sur la protection des données et développer la coopération entre autorités de protection des données sur le plan international.
12 mars 2014 : Adoption par le Parlement Européen de la proposition de Règlement sur la protection des données personnelles tel qu’amendé par la commission « Libertés Civiles ».
Le Parlement européen s’est prononcé en assemblée plénière sur la proposition de règlement européen ainsi que sur la directive « police et de justice ». Il a par ailleurs adopté une résolution sur la surveillance massive des citoyens européens par la NSA.
25 mars 2014 : Nouvelle recommandation du « G29 » sur les obligations de notification aux personnes concernées en cas de failles de sécurité affectant leurs données personnelles
Dans cet avis, le G29 donne des orientations aux contrôleurs afin de les aider à décider s’il convient de notifier les personnes concernées en cas de “violation de données à caractère personnel”. Bien que cette opinion prend en compte l’obligation existante de fournisseurs de communications électroniques en ce qui concerne la directive 2002/58/CE, il fournit des exemples provenant de plusieurs secteurs, dans le cadre du projet de règlement sur la protection des données, et présente les bonnes pratiques pour tous les contrôleurs.
8 avril 2014 : La CJUE invalide la directive 2006/24/CE sur la conservation des données.
Dans le cadre d’une question préjudicielle (C-293/12), la Cour de Justice de l’Union européenne a invalidé la Directive 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, modifiant la directive 2002/58/CE pour incompatibilité avec les droits fondamentaux et la protection données à caractère personnel.
13 mai 2014 : Arrêt de la Cour de Justice de l’Union Européenne (C‑131/12) reconnaissant l’application du droit local au moteur de recherche Google, en sa qualité de responsable de traitement.
Dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne a confirmé l’application du droit de la protection des données aux moteurs de recherche et a consacré le droit à l’oubli numérique. La Cour retient ainsi la qualification de traitement de données à caractère personnel en ce qui concerne les activités du moteur de recherche. Ainsi, les données indexées et enregistrées par les moteurs de recherche et mises à la disposition des utilisateurs sont des données à caractère personnel au sens de l’article 2 de la directive 95/46/CE puisque l’exploitant d’un moteur de recherche « collecte » de telles données, qu’il « extrait », « enregistre » et « organise » par la suite dans le cadre de ses programmes d’indexation, « conserve » sur ses serveurs et, le cas échéant, « communique et met à disposition » de ses utilisateurs sous forme de liste de résultats de leurs recherches.
19 mai 2014 : Bilan 2013 de la CNIL. Dans son 34e rapport d’activité, la CNIL a montré, une tendance observée depuis quelques années déjà, quant à son activité en forte croissance avec plus de 5640 de plaintes enregistrées (plus de 2000 concernaient la e-réputation) et 414 contrôles qui ont été effectués en 2013, dont 134 ont porté sur des dispositifs de vidéoprotection. L’année 2013 se caractérise aussi par de nombreuses initiatives de la CNIL pour accompagner les entreprises dans leur démarche de conformité avec les exigences de la loi (labels, packs de conformité, recommandations sur les cookies, conservation de données bancaires et coffre forts numériques). En outre, la CNIL a fait quelques propositions d’évolution législative qui devraient respecter les lignes directrices du Projet de règlement européen.
Pour l’année 2014-2015, la CNIL annonce des actions de contrôles encore plus importantes que les années précédentes, sur les thèmes qu’elle juge prioritaires :
- le fonctionnement du Fichier des Incidents de remboursement de Crédits aux Particuliers (FICP) ;
- les modalités de gestion des violations de données personnelles par les opérateurs de communications électroniques ;
- les réseaux sociaux de rencontre en ligne ;
- les traitements mis en œuvre au titre du paiement et recouvrement de l’impôt sur le revenu ;
- le paiement en ligne au travers de la lutte contre la fraude et la conservation des données bancaires ;
- le fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV).
A suivre !
Mariana OPRIS
Etudiante en Master 2 Droit de l’Economie Numérique à l’Université de Strasbourg.
