Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Selon l’autorité, vous pouvez faire appel à un mandataire pour exercer votre droit d’accès

L’autorité finlandaise a jugé qu’une personne peut faire une demande d’accès à ses propres données avec l’aide d’un agent, par exemple en demandant à une organisation de fournir à l’agent des informations la concernant. La législation sur la protection des données n’empêche pas l’exercice des droits relatifs à la protection des données par l’intermédiaire d’une autre personne. En l’occurrence, la personne avait demandé à l’administration fiscale de transmettre toutes les données personnelles à l’adresse postale de l’agent. Cependant, l’administration fiscale a refusé de fournir les informations à l’agent, arguant que les informations ne pouvaient être fournies qu’à la personne elle-même. Le contrôleur adjoint a ordonné à l’administration fiscale d’autoriser le recours à un agent pour les demandes de vérification de données à caractère personnel.

Le règlement sur la protection des données n’empêche pas l’utilisation d’un agent, par exemple, lorsqu’une personne souhaite accéder aux données la concernant. La position antérieure selon laquelle une demande d’accès à ses propres données ne pouvait être faite par l’intermédiaire d’une autre personne remonte à l’ancienne loi sur les données à caractère personnel et ne s’applique plus en vertu de la législation actuelle. Si la demande est faite par l’intermédiaire d’une autre personne, des exigences telles que la représentation légale de l’autre personne doivent être respectées.

L’administration fiscale a ainsi reçu l’ordre de modifier sa politique de traitement des demandes d’accès aux données à caractère personnel afin de la mettre en conformité avec les exigences du GDPR.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Non-désignation d’un délégué à la protection des données : la commune de KOUROU devra encore payer 6 900 euros

Dans une décision du 12 décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé une amende de 5 000 euros et enjoint à la commune de désigner un délégué à la protection des données. La formation restreinte a assorti l’injonction d’une astreinte – une somme d’argent à payer en cas de non-respect d’une décision – de 150 euros par jour de retard à l’issue d’un délai de deux mois.

Le 22 juillet 2024, la CNIL a décidé de liquider l’astreinte prononcée à l’encontre de la commune de KOUROU. La commune devra payer la somme de 6 900 euros pour ne s’être toujours pas conformée à son obligation de désigner un délégué à la protection des données malgré l’injonction.

Disponible sur: CNIL.fr

Conseil d’Etat (via Légifrance)

Le Conseil d’Etat confirme la sanction de la commune de Beaucaire pour des systèmes vidéosurveillance 

Le 30 avril 2024, le Conseil d’Etat n’a pas fait droite à la demande de Beaucaire d’annuler la mise en demeure prononcée par la CNIL début 2023 de mettre fin dans un délai ce 6 mois à des manquements constatés lors d’un contrôle en lien avec leur système de vidéosurveillance. Pour rendre sa décision, le Conseil d’Etat a considéré les éléments suivants:

* Sur l’absence de fondement juridique: Si la commune de Beaucaire est une autorité compétente au sens des articles L. 251-2 du code de la sécurité intérieure et 87 de la loi du 6 janvier 1978, elle n’a mis en œuvre les dispositifs litigieux qu’aux seules fins de répondre aux réquisitions des forces de l’ordre en mettant les données ainsi collectées à leur disposition pour l’exercice de leurs missions de police judiciaire. Il s’ensuit que la CNIL, qui n’a au demeurant pas commis d’erreur factuelle quant à l’indétermination des finalités poursuivies, a retenu à bon droit que cette finalité n’est pas au nombre de celles prévues par l’article L. 251-2 du code de la sécurité intérieure et que la mise en œuvre des dispositifs litigieux méconnaît donc l’article 87 de la loi du 6 janvier 1978.

* Sur la nécessité de réaliser une AIPD : Le dispositif de vidéoprotection mis en œuvre par la commune de Beaucaire comportait, à la date de la décision attaquée, 73 caméras implantées dans des zones accessibles au public, notamment à proximité d’axes de passage importants et de plusieurs services et infrastructures publics. Par conséquent, la CNIL, qui a suffisamment motivé sa décision, a exactement qualifié les faits en retenant que la mise en œuvre du dispositif de vidéoprotection litigieux était, eu égard à sa nature et à son ampleur, susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et nécessitait par conséquent la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel en application des dispositions citées au point 6.

* Sur la sécurité des données : La décision attaquée retient un manquement à l’obligation de sécurité imposée par l’article 32 du RGPD à raison de l’absence de segmentation du réseau de la commune de Beaucaire. Ce faisant, la CNIL a exposé dans la décision attaquée, ainsi qu’elle en la faculté pour l’exercice de ses missions rappelées au point 8, les mesures techniques dont la mise en œuvre est, selon elle, de nature à garantir le respect des dispositions de l’article 32 du RGPD.

Disponible sur: legifrance.gouv.fr

CNIL

Jeux olympiques et paralympiques 2024 : les observations de la CNIL sur le dispositif de laissez-passer

Le 25 avril 2024, la CNIL s’est prononcée sur le texte qui institue un laissez-passer dans les « zones de sécurité » où la circulation sera restreinte en raison de l’organisation des JOP 2024. Elle a admis la légitimité du dispositif mais émis des observations sur l’utilisation de la photographie et les durées de conservation des données.

Disponible sur: CNIL.fr

Retour en haut