RGPD : comment la doctrine de la CNIL a évolué en 2024

Qu'a dit la CJUE sur le droit à la réparation ? la Cour de cassation sur l'usage de la reconnaissance faciale ? le Conseil d'État sur le droit d'accès aux documents administratifs ?

Des éléments de jurisprudence sur ces sujets figurent dans les Tables Informatiques et Libertés de la CNIL.
La commission y a aussi intégré ses "décisions pertinentes". En voici quelques-unes prises en 2024. Elles sont ici traitées dans leurs grandes lignes et catégorisées en fonction de leur nature.

Mises en demeure

Effacement d'éléments dans une décision de justice (22 janvier)

Dans le cadre d'une telle demande, il faut tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si ce n'est pas possible, il faut mettre en balance l'atteinte à la vie privée, les droits et intérêts du responsable de traitement, ainsi que l'intérêt du public à connaître la décision.

Exception domestique (28 février)

Une personne physique utilise un logiciel d'un tiers - accessible sur Internet ou sous forme d'app mobile - pour traiter des données personnelles à des fins non professionnelles, relevant de la sphère domestique.
En principel, le RGPD n'est pas applicable à un tel traitement. Aussi longtemps qu'il est initié à la discrétion de cette personne, opéré sous son contrôle et pour son seul compte, et réalisé dans un environnement cloisonné, sans intervention possible du tiers sur ces données.

Politique d'habilitation pour les dossiers patients informatisés (26 avril et 19 décembre)

Le responsable de traitement d'un dispositif de DPI doit mettre en place une politique d'habilitation combinant deux critères. D'une part, le métier exercé. De l'autre, la notion d'équipe de soins (seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués doivent pouvoir accéder aux informations couvertes par le secret médical).

Les habilitations accordées peuvent être complétées d'un mode "bris de glace" permettant aux agents administratifs et professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient.

Eu égard au volume et à la sensibilité des données traitées, des contrôles réguliers des accès doivent être opérés. L'absence de contrôle régulier des journaux d'accès au DPI alors qu'il contient des données sensibles qui concernent un nombre important de personnes constitue un manquement au RGPD.

Lecture automatisée de plaques d'immatriculation (27 mai)

Lors de la lecture automatisée de plaques d'immatriculation, la prise de vue d'individus, y compris les occupants des véhicules, est proscrite.

Conservation d'images de vidéosurveillance (11 juillet)

Le responsable de traitement doit définir une durée conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées. Ou faire l'objet d'un archivage intermédiaire pour les seules données pertinentes lorsque leur conservation est nécessaire.

La CNIL recommande une durée de conservation de quelques jours. Lorsqu'un incident est survenu et la justifie, les images pertinentes peuvent être conservées plus longtemps. La durée est en tout cas d'un mois maximum.

Individualisation des comptes pour l'accès à des données personnelles (24 juillet)

L'accès à un SI contenant des données personnelles qui n'ont pas vocation à être publiées doit en principe se faire au moyen d'un compte individuel. Les comptes partagés rendent effectivement beaucoup plus difficile l'imputabilité d'une action.

Cette exigence d'individualisation des comptes présente une acuité particulière s'agissant des administrateurs. À défaut, et en particulier lorsque des systèmes ou des équipements ne permettent pas de disposer de plusieurs comptes d'administration, il faut mettre en oeuvre des mesures complémentaires (bastion, main courante...).

L'absence de telles mesures et/ou d'individualisation des comptes est susceptible de constituer un manquement au RGPD.

Dispositifs de "caméras augmentées" (24 juillet)

Les dispositifs de "caméras augmentées" qui poursuivent une finalité dite de "police-justice" dans l'espace public sont interdits en l'absence de cadre légal spécifique.

Annuaires réutilisant des données publiées sur Internet (24 juillet)

Les éditeurs peuvent se prévaloir de l'autorisation de ne pas informer les personnes concernées lorsque cela exigerait des "efforts disproportionnés". Mais uniquement dans des "hypothèses limitées", explique la CNIL. En particulier, lorsqu'une information individuelle peut être effectuée par envoi automatisé d'e-mails, l'effort à fournir n'est en principe pas disproportionné.

Annuaires recensant les données de médecins (24 juillet)

Pas besoin de consentement préalable lorsque ces annuaires consistent uniquement uniquement à référencer des professionnels et se limitent à rediffuser les données "élémentaires" sur leur activité, publiées dans format ouvert en vertu d'un cadre légal spécifique.
Pour autant, il faut informer les personnes concernées des finalités poursuivies et des conditions de mise en oeuvre.

Rappels aux obligations légales

Envoi d'un e-mail à plusieurs destinataires (23 avril)

L'utilisation de la fonction Cc (copie carbone) ou Cci (copie carbone invisible) est à apprécier en fonction des circonstances. Notamment l'objet de l'e-mail et le nombre et la qualité des destinataires.

Enregistrement en continu de données de géolocalisation d'un véhicule professionnel (29 mai)

Les employés doivent pouvoir désactiver cette fonction pendant le temps de pause ou à l'issue du temps de travail, lorsque ces véhicules peuvent être utilisés à des fins privées durant ces périodes.
Cela n'empêchepas la société de réactiver le dispositif à distance, comme cela est parfois possible, s'il a pour finalité de lutter contre le vol du véhicule.

L'obligation légale comme base légale de traitement (1^er août)

Cette option ne peut être retenue que s'il y a effectivement réponse à une obligation légale qui s'imposer au responsable de traitement sans viser d'autre objectif que celui poursuivi par l'auteur de l'obligation. Et sans qu'il existe de moyen moins intrusif d'atteindre cet objectif.

Consultation du fichier des incidents de remboursement des crédits aux particuliers (1^er août)

Dans les cas obligatoires de consultation, les traitements de données personnelles ne peuvent être fondés que sur le respect d'une obligation légale.
Dans les cas facultatifs, ils peuvent reposer sur l'intérêt légitime. Auquel cas le responsable de traitement doit réaliser, au cas par cas, une mise en balance avec les intérêts et libertés et les droits fondamentaux des personnes concernées.

Décisions d'autres natures

Le numéro de sécurité sociale comme identifiant (11 avril ; avis)

Contexte : un projet de décret. Celui-ci devait modifier les conditions d'organisation du scrutin destiné à mesurer l'audience des organisations syndicales auprès des salariés des entreprises de moins de 11 salariés.

La CNIL a affirmé, dans ce cadre, qu'un numéro de sécurité sociale pouvait constituer un moyen d'identification de personnes sur des SI, mais qu'il ne devait pas être utilisé comme un secret pour l'authentification.

En l'espèce, il s'agissait d'utiliser ce numéro pour vérifier l'adresse postale dont dispose l'administration. Le ministère avait précisé que l'usager devait également valider un CAPTCHA. Mais le système initialement étudié laissait courir un risque de divulgation des adresses postales à qui disposerait du numéro de sécurité sociale d'une personne, avait conclu la CNIL.

Informations sur la vidéoprotection (29 mai ; courrier)

Le responsable de traitement est tenu d'informer de l'existence de la vidéoprotection d'un territoire, d'une zone ou d'un bâtiment. Mais pas de communiquer l'emplacement exact de chaque caméra.

Illustration © portalgda via Visualhunt / CC BY-NC-SA