• Données personnelles

    L’année 2016 en droit des données à caractère personnel

    L’année 2016 a été particulièrement riche en actualités concernant le droit des données à caractère personnel. Le règlement 2016/679 qui a été définitivement adopté le 27 avril 2016 met fin à quatre années d’intenses négociations. Un nouveau cadre pour le transfert de données vers les Etats-Unis a également été établi avec le Privacy Shield. Le législateur français a également été très actif avec l’adoption de la loi pour une république numérique, la loi de modernisation du système de santé et la loi pour une justice du 21ème siècle qui ont toutes modifié le cadre juridique français applicable.

    Retour sur les principales actualités de l’année 2016.

    1. LES EVOLUTIONS LEGISLATIVES

      • Le règlement européen sur la protection des données à caractère personnel a été adopté le 27 avril 2016. Notre résumé ici.
      • La loi de modernisation du système de santé du 26 janvier 2016 modifie plusieurs aspects concernant les données personnelles. Pour lire notre analyse, cliquez ici.
      • Un projet de réforme de la directive e-privacy est dans les cartons de la commission. Notre résumé ici.
      • La loi Lemaire, dite loi pour une république numérique a été adoptée le 7 octobre 2016 et introduit notamment en droit français, le droit à l’oubli pour les mineurs et des sanctions plus importantes. Notre analyse ici.
      • La loi de modernisation de la justice du 21ème siècle adoptée le 16 novembre 2016 introduit l’action de groupe en matière de données à caractère personnel.
      • Adoption du Privacy Shield pour sécuriser les transferts de données entre les Etats-Unis et l’Europe. La liste des entreprises adhérentes est disponible ici.
    2. LES MISES EN DEMEURE ET SANCTIONS PRONONCEES PAR LA CNIL
      • La CNIL sanctionne un moteur de recherche pour non respect du droit au déréférencement le 10 mars 2016. Notre analyse ici.
      • Une société sanctionnée d’un avertissement pour défaut de sécurité des données de son site internet le 21 avril 2016. Notre étude ici.
      • Un site de e-commerce, épinglé par la CNIL et sanctionné à 30 000€ d’amende le 7 juillet 2016. Nos impressions dans cet article.
      • Deux sites de rencontres sanctionnés par la CNIL notamment pour absence de recueil du consentement express à la collecte de données sensibles. Une synthèse des décisions sur le site de la CNIL en cliquant ici.
      • Un Parti politique sanctionné d’un avertissement public pour non respect de la sécurité des données et absence du respect d’une durée de conservation. L’avertissement est disponible ici.
      • Un site de e-commerce averti et mis en demeure par la CNIL pour plusieurs manquements à la loi informatique et libertés. Les délibérations et un résumé de la décision sur le site de la CNIL en cliquant ici.
      • Un réseau social mis en demeure pour atteinte à la vie privée et absence de base légale au traitement de données. La mise en demeure ici.
      • Un éditeur de logiciels mis en demeure pour non respect de la réglementation cookie, défaut d’information, collecte excessive, absence de formalités préalables et défaut de sécurité. La délibération ici.
      • Avertissement public à l’encontre d’un Fournisseur d’accès à internet le 1er mars 2016 pour non respect du principe de qualité des données. La délibération ici.
      • Un réseau social mis en demeure pour non respect de la règlementation cookie, absence de respect du consentement à la collecte de données sensibles et défaut d’encadrement des transferts de données hors UE le 26 janvier 2016. La délibération ici.
    1. LES JURISPRUDENCES EN MATIERE DE DONNEES PERSONNELLES
      • L’adresse IP dynamique attribuée par un FAI est une donnée à caractère personnel selon la Cour de Justice de l’Union Européenne statuant dans un arrêt du 19 octobre 2016). Pour lire la décision, cliquez ici
      • Des précisions de la CJUE sur la notion d’ « établissement » du responsable de traitement au sens de la directive 95/46/CE. Pour lire la décision, cliquez ici.
      • La CJUE s’oppose à la généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique dans un arrêt du 21 décembre 2016. Arrêt disponible ici.
    2. LES EVOLUTIONS DE LA DOCTRINE DE LA CNIL
      • La norme simplifiée 48 de la CNIL concernant la gestion des clients / prospects a été modifiée. Retrouvez notre analyse complète ici.
      • Le G29 adopte des lignes directrices sur l’interprétation du règlement concernant la désignation du DPO. Notre analyse ici
      • Deux nouvelles autorisations uniques pour l’utilisation de la biométrie (AU n°52 et AU n°53). Les délibérations sont disponibles ici.
    1. DES NOUVEAUX TRAITEMENTS MIS EN ŒUVRE
      • La liste d’opposition au démarchage téléphonique Bloctel est opérationnelle depuis le 1er juillet 2016. Nous expliquons son fonctionnement en vidéo ici.
      • Le gouvernement souhaite mettre en œuvre le Fichier TES regroupant les données des passeports et des pièces d’identité 30 octobre. Ce fichier analysé par le cabinet ici.