CE6 juin 2018CE, 10-9 chambres réunies, 6 juin 2018, Société Éditions Croque Futur, n° 412589412589, Rec., point 11 412589, Rec., point 11(source)
Traitement de données consistant en l'utilisation de témoins de connexio n ( « cookies » ) répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 – 1) « Cookies » déposés par l'éditeur du site ou mis en place pour son compte par un sous - traitant – Responsable de traitement – É diteur du site – 2) a) « Cookies » déposés par des tiers – Responsables de traitement – b) Cookies déposés par des tiers autorisés par l'éditeur du site – Responsables de traitement – Tiers et éditeur du site – Obligations pesant sur l'éditeur du site
1) Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Il en va de même lorsque l’éditeur du site sous‑traite à des tiers la gestion de cookies mis en place pour son compte.
2) a) Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur du site doivent être considérés comme responsables de traitement.
b) Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tier qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la réglementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
CNIL14 juin 2021CNIL, FR, 14 juin 2021, Sanction, Société X, n° SAN-2021-008, publié, point 15(source)
Caractérisation du manquement à l'obligation de sécurité du traitement – 1) L'absence de violation de données ne suffit pas à démontrer l'absence de manquement à l'article 32 du RGPD. – 2) Appréciation des mesures techniques et organisationnelles mises en œuvre par le responsable de traitement ou le sous-traitant
L'absence de violation de données à caractère personnel ne suffit pas à démontrer l'absence de manquement aux obligations de sécurité résultant de l'article 32 du RGPD, pas plus qu'une violation de données ne suffit à caractériser en soi un manquement. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données.
Le caractère approprié des mesures s'apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l'état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.
CNIL26 avril 2022CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 33 Voir aussi: CE, 10 ème chambre, 26 avril 2022, Optical Center, n° 449284, Inédit; CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié(source)
Suivi des instructions contractuelles par le sous-traitant – Contrôle par le responsable de traitement
Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui‑ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par un sous-traitant.
CE21 octobre 2022CE, 10-9 chambres réunies, 21 octobre 2022, Mme A… C…, n° 459254, Rec., point 10(source)
Protection du délégué à la protection des données contre toute décision défavorable en relation avec ses missions – 1) Portée – a) Protection garantissant l'effectivité du RGPD – Existence – b) Obstacle au licenciement d'un délégué – Absence, par elle - même – c) Protection régissant globalement ses relations de travail avec le responsable du traitement – Absence – 2) Conséquence – Possibilité pour le délégué de faire l'objet d'une sanction ou d'un licenciement – Conditions
1) a) Il résulte du paragraphe 3 de l’article 38 du RGPD, éclairé par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C‑534/20), Leistritz AG c/ LH, qu’en protégeant le délegué à la protection des données contre toute décision défavorable qui mettrait en péril ses fonctions, on lui ferait subir un désavantage ou une sanction lorsqu’une telle décision serait liée à l’exercice de ses missions, ces dispositions visent essentiellement à préserver son indépendance fonctionnelle et, par conséquent, à garantir l’effectivité du RGPD.
b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles‑ci conformément au RGPD.
c) Il ressort également de cet arrêt que ces dispositions n’ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous‑traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD.
2) Il en résulte clairement que l’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délegué au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec son indépendance fonctionnelle qui lui est garantie par le RGPD.
CE6 novembre 2019CE, 2–7 chambres réunies, 6 novembre 2019, Fédération des acteurs de la solidarité et autres, n° 434376, T., point 13(source)
Analyse d’impact devant être effectuée par le responsable d’un traitement de données (art. 35 du RGPD) – 1) Obligation relevant de la mise en œuvre du traitement – 2) Conséquence – Circonstance que cette analyse n’a pas été réalisée avant l’édition de l’acte définissant le traitement – Circonstance sans incidence sur la légalité de cet acte
1) L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés liés aux données à caractère personnel.
2) Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la CNIL en application de l’article 20 de la loi n° 78‑17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu’elle n’aurait pas été réalisée avant la signature de l’instruction définissant les caractéristiques du traitement n’est pas de nature à entacher celle‑ci d’illégalité.
CE18 décembre 2015CE, 10ème/9ème SSR, 18 décembre 2015, SARL Loc Car Dream, n° 384794, Inédit., point 5(source)
Notification du rapport établi par l'un des membres de la CNIL – Transmission des observations écrites du responsable du traitement au rapporteur et à la formation restreinte – Délai d'un mois à compter de la notification du rapport
Le délai d'un mois dont dispose le responsable du traitement pour transmettre au rapporteur et à la formation restreinte ses observations écrites en application de l'article 75 du décret du 20 octobre 2005 ne s'applique qu'à la notification du rapport et non à celle des procès‑verbaux de l'article 44 de la loi du 6 janvier 1978.
