• Droit au déréférencement : la Cour de cassation s’oppose aux injonctions d’ordre général et impose une nécessaire mise en balance des intérêts en présence

Un internaute a saisi le juge des référés d’une demande de déréférencement de deux liens constitutifs, selon lui, d’un trouble manifestement illicite. Le moteur de recherche associait à ses nom et prénom des éléments relatifs à son ascendance, ses enfants etc. Le juge des référés ayant fait droit aux demandes de déréférencement de l’internaute, comme portant atteinte à sa vie privée, Google Inc. a saisi en appel la Cour d’appel d’Aix-en-Provence de l’ordonnance de référé.

La Cour confirme l’ordonnance rendue en première instance et enjoint à la société Google Inc de supprimer les deux URL visées par l’internaute qui associaient aux nom et prénom du requérant, lors de requêtes opérées sur le moteur de recherche Google.fr, des informations personnelles sur son ascendances, ses enfants, ou mariage mais également de supprimer les liens qui conduisent, lors de recherches opérées dans les mêmes conditions, à toute adresse URL identifiée et signalée par le requérant comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception de ce signalement.

Rappelant l’arrêt Google Spain et Google de la Cour de justice de l’Union européenne du 13 mai 2014, la Cour de cassation dans un arrêt du 14 février 2018 (17-10.499), casse et annule, par voie de retranchement, l’arrêt de la Cour d’appel, au motif qu’en « prononçant ainsi une injonction d’ordre général et sans procéder, comme il le lui incombait, à la mise en balance des intérêts en présence » la Cour d’appel a violé les articles 38 et 40 de la loi Informatique et libertés ainsi que l’article 5 du code civil défendant « aux juges de prononcer par voie de disposition générale et règlementaire sur les causes qui leur sont soumises ».

En effet, la Cour de cassation soulève que, dès lors qu’une juridiction est saisie « d’une demande de déréférencement, celle-ci est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence ».

Ainsi, si les personnes concernées bénéficient d’un droit d’opposition et d’un droit à la rectification et à l’effacement des données, la mise en oeuvre de ces droits par les juridictions compétentes nécessite la recherche d’un équilibre avec l’intérêt légitime des internautes.

Par conséquent, la juridiction saisie ne pourra pas ordonner « une mesure d’injonction d’ordre générale conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages internet contenant des informations relatives à cette personne ».

• Actualité des sanctions de la CNIL : insuffisance des mesures de sécurité mises en place par la CNAMTS dans sa gestion de la base de données de santé du SNIIRAM

Le Système National d’Information Interrégimes de l’Assurance Maladie (ci-après SNIIRAM) prévu à l’article L161-28-1 du code de la sécurité sociale est assuré par la CNAMTS (Caisse nationale de l’assurance maladie des travailleurs salariés). Cette base de données rassemble les informations transmises par les organismes gérant un régime de base d’assurance maladie et, pour ce qui concerne les informations relatives à l’activité hospitalière, par l’Agence technique de l’information sur l’hospitalisation (ATIH). Chaque assuré est individualisé par son NIR doublement anonymisé. Le volume des données enregistrées dans le SNIIRAM et leur caractère sensible, nonobstant le fait que les données sont pseudonymisées, ainsi que le nombre important d’organismes ayant accès à ces données font de cette base extrêmement riche, une base sensible qui doit être protégée. A cet égard, la CNIL a relevé des insuffisances de sécurité susceptibles de fragiliser le dispositif. Sont pointées par la CNIL l’insuffisante sécurité des postes de travail des utilisateurs et des prestataires du SNIIRAM ainsi que l’insuffisance des procédures de sauvegarde des données et de la pseudonymisation des données. Ce constat a donné lieu à une mise en demeure de la CNIL dans une décision en date du 8 février 2018.

Ces points reprennent en partie les remarques formulées par la Cour des Comptes dans son rapport sur le sujet rendu public le 3 mai 2016.

Compte tenu de la nature sensible des données et des risques présentés par le traitement, la CNIL a décidé de rendre public la mise en demeure dans une délibération en date du 15 février 2018. A ce titre la CNAMTS se doit de prendre toute mesure utile afin de garantir la sécurité et la confidentialité des données des assurés sociaux conformément aux exigences de l’article 34 de la loi Informatique et Libertés.

En tout état de cause, cette base de données désormais rassemblée avec d’autres au sein du nouveau Système national des données de santé (SNDS) relèvera à compter du 25 mai prochain des catégories de traitement devant faire l’objet d’une étude d’impact sur la vie privée (article 35 du RGPD). Cette étude d’impact permettra d’identifier les mesures de sécurité adéquates devant être mises en œuvre afin de réduire le risque.

La CNAMTS dispose d’un délai de trois mois pour se conformer aux demandes précitées.

• La certification, un nouvel outil mis en place par la CNIL dans le processus de conformité au RGPD

Le Règlement européen sur la protection des données personnelles (ci-après le RGPD) consacre aux articles 40 et 42 le développement des outils de Soft law et en particulier les codes de conduite et certifications. Ces mécanismes et procédures internes permettent au responsable du traitement ou au sous-traitant de démontrer, de manière volontaire, le respect des règles relatives à la protection des données personnelles. Il s’agit ici d’une illustration forte du principe d’accountability.

La certification a pour objet de donner l’assurance aux responsables de traitement que le service, produit, compétence ou le processus mis en œuvre est conforme aux règles posées par le RGPD.

Les autorités de protection des données européennes sont invitées à développer des mécanismes de certification.

Notons que l’article 1 f) bis du projet n° 351, actuellement en discussion au Sénat, modifiant l’article 11, 2°, f) bis) de loi Informatique et Libertés, donne pour mission à la CNIL d’élaborer ou d’approuver des référentiels de certifications délivrées par des organismes certificateurs agréés par la CNIL elle-même ou accrédités par un organisme national d’accréditation tel que le COFRAC.

La CNIL indique qu’elle ne recevra plus de nouvelle demande de labellisation à compter du 30 mars 2018.

En effet, la délibération n° 2018-102 du 15 mars 2018 adoptée par la CNIL et portant abrogation des référentiels de labellisation a été publiée au JO du 23 mars 2018.

Les labels suivants sont abrogés à compter du 30 juin 2018 :

• référentiel pour la délivrance de labels en matière de formation relative à la protection des personnes à l’égard du traitement des données à caractère personnel, adopté par délibération n° 2017-220 du 13 juillet 2017 ;
• référentiel pour la délivrance de labels en matière de procédures de gouvernance tendant à assurer la protection des données, adopté par délibération n° 2017-219 du 13 juillet 2017 ;
• référentiel pour la délivrance de labels en matière de services de coffre-fort numérique, adopté par délibération n° 2014-017 du 23 janvier 2014 ;
• référentiel pour la délivrance de labels en matière de procédure d’audit tendant à la protection des personnes à l’égard du traitement des données à caractère personnel, adopté par délibération n° 2011-316 du 6 octobre 2011.

Toutefois, les labels délivrés avant le 30 juin, restent valables jusqu’à la fin de la durée prévue par la décision de délivrance du label. Ainsi, un label en matière de formation délivré en 2017 pour une durée de 3 ans sera encore valable jusqu’en 2020.