La transmission, en clair, d'un mot de passe qui n'est ni temporaire, ni à usage unique et dont le renouvellement n'est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur de la personne concernée. Le fait que le mot de passe soit en lui‑même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d'identité et des tentatives d'hameçonnage. Ces faits sont susceptibles de caractériser un manquement aux obligations de sécurité résultant de l'article 32 du RGPD.

En application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître.

1) La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion.

2) En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.

Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’Éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettront, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

L'absence de violation de données à caractère personnel ne suffit pas à démontrer l'absence de manquement aux obligations de sécurité résultant de l'article 32 du RGPD, pas plus qu'une violation de données ne suffit à caractériser en soi un manquement. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données.

Le caractère approprié des mesures s'apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l'état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.

Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle‑même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

Lorsque l'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.

Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale ou secondaire.

Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat, à des fins comptables ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information, notamment le numéro de la ligne résiliée, dans le cadre de l’émission des facturations en cours et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être mobilisée à la place. Il appartient au responsable du traitement de prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.

Le paramétrage par défaut d’une application prévoyant qu’elle n’est pas quittée lorsque la fenêtre principale est fermée en cliquant sur un « X » en haut à droite, mécanisme qui permet généralement de quitter un logiciel, et conduisant à ce que des données à caractère personnel de l’utilisateur puissent être communiquées à des tiers sans qu’il en ait nécessairement conscience, méconnaît les exigences de l’article 25, paragraphe 2, du RGPD qui impose la protection des données par défaut.

1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

Expérimentation autorisant les administrations fiscales et douanières à collecter et exploiter les contenus données librement accessibles sur les sites internet des opérateurs plateformes en ligne et manifestement rendus publics par leurs utilisateurs. Le Conseil d'État rappelle qu'en vertu de la décision du Conseil constitutionnel n° 2019-796 DC du 17 décembre 2019, les sites ou les plateformes dont les données ne sont accessibles qu'après inscription ou saisie d'un mot de passe ne peuvent donner lieu à collecte et exploitation. Il précise en outre que les commentaires rédigés par des tiers et relatifs au titulaire du compte ne peuvent faire l'objet d'aucune exploitation. Le Conseil d'État écarte des dispositions permettant : de collecter des contenus qui ne seraient accessibles qu'après inscription tout en précisant que la création de comptes est possible aux seules fins de pouvoir collecter de façon automatique des contenus autrement accessibles sans inscription préalable, la collecte et l'exploitation des commentaires figurant sur les pages des utilisateurs de plateformes.

En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’exception prévue à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.

Il y a lieu d’interpréter le titre I er de la loi Informatique et Libertés de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée aux droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I er puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la loi Informatique et Libertés doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.

Cette question ne se pose que pour le titre I er dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.

La possibilité offerte aux utilisateurs d'un réseau social de paramétrer la confidentialité de leurs comptes ne confère pas un caractère public à leurs données dès lors que celles-ci sont traitées dans le cadre d'une communauté d'intérêts fermée et accessible à ses seuls membres.

Les personnes envoyant une candidature, avec les pièces requises, pour adhérer à un organisme ayant une finalité religieuse doivent être assimilées à des personnes entretenant contacts réguliers avec cet organisme au sens de l'article 9.2.d) du RGPD. L'organisme peut dès lors traiter licitement les données sensibles contenues dans la candidature, sur ce fondement ou le consentement, pour examiner et statuer sur la candidature. En cas de rejet de la candidature, il doit supprimer les données sensibles.

L'article 8, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l'article 9, paragraphe 1, du règlement 2016/679, doivent être interprétés en ce sens que dans la situation où l'exploitant d'une pharmacie commercialise, par le biais d'une plateforme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l'adresse de livraison et les éléments nécessaires à l'individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n'est pas soumise à prescription médicale.

L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

Le droit au respect de la vie privée requiert que soit observée une particulière Vigilance dans la communication des données à caractère personnel de nature médicale.

droit d'accès aux documents administratifs – Demande de communication d'un registre de contention et d'isolement au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors au demeurant que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif dossiers patients informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;
• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110‑12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise ». Ce mode permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

Le projet de décret vise à permettre la mise en œuvre d'une application informatique, dénommée « StopCovid », qui pourra être téléchargée sur les téléphones mobiles et qui permettra d'informer les utilisateurs de ces téléphones du fait qu'ils ont été à proximité de personnes diagnostiquées positives au virus du covid‑19 via la technologie « Bluetooth ». Ni les personnes dépistées, ni les cas contacts ne sont identifiés ; les utilisateurs de l'application ne disposent que de très peu d'informations les concernant et le projet de décret consacre le caractère libre et volontaire du téléchargement et de l'utilisation de l'application.

Eu égard à l'objectif de protection de la santé publique poursuivi, le décret ne méconnaît pas ni le droit au respect de la vie privée ni le RGPD. En particulier, la durée du traitement, fixée à six mois après la fin de l'état d'urgence sanitaire, ainsi que la durée de conservation de l'historique de proximité des utilisateurs, fixée à quinze jours à compter de l'émission des données, paraît adaptée.

Le Conseil d'État estime en outre que ce projet ne porte pas secret médical garanti par l'article L. 1110‑4 du code de la santé publique, lequel ne s'impose qu'aux professionnels.

En revanche, le Conseil d'État émet un avis défavorable à une disposition prévoyant que le téléchargement et l'utilisation de l'application ne peuvent donner lieu à des avantages ou droits spécifiques qui seraient refusés aux personnes n'ayant pas téléchargé ou n'utilisant pas l'application et qu'aucun tiers ne peut obliger une personne à utiliser l'application, ni exercer un droit de regard sur l'existence de l'application ou son contenu, dès lors que ces dispositions édictent des interdictions, notamment applicables aux relations entre personnes privées, qui relèvent des principes fondamentaux des obligations civiles et commerciales dont la détermination est réservée au législateur par l'article 34 de la Constitution.

Toutefois, des limites sont posées par la législation en vigueur à des pratiques consistant pour des personnes privées à subordonner des droits ou avantages à l'utilisation de cette application.

Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel ayant pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre, et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n°78‑17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55‑356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux‑mêmes tenus au secret professionnel, le décret n'a par lui‑même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L. 1110‑4 du code de la santé publique.