• En utilisant le bouton « j’aime » de Facebook, vous êtes co-responsable de traitement

Par un arrêt du 29 juillet 2019, la Cour de justice de l’UE a estimé que l’administrateur d’un site internet doté du bouton « j’aime » de Facebook peut être déclaré conjointement responsable de traitement de la collecte et de la transmission au réseau social des données à caractère personnel des visiteurs du site. En cliquant sur ce bouton, Facebook récupère les données personnelles des visiteurs du site, que ces derniers soient membres ou non du réseau social.

En conséquence, « il doit être considéré que Facebook Ireland et Fashion ID déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID. » précise la CJUE.

Toutefois, elle a jugé que Fashion ID n’était pas responsable du traitement ultérieur de ses données effectué par Facebook.

A ce titre, la Cour a considéré que Fashion ID devait recueillir le consentement préalable des personnes pour les opérations relatives à la collecte et à la transmission des données au réseau social. Fashion ID doit également fournir à ses visiteurs une information sur ces opérations de traitement. En effet, la présente affaire a été initiée par une plainte de l’association de consommateurs de Rhénanie du Nord Westphalie, qui reproche à Fashion ID d’avoir transmis à Facebook Ireland des données à caractère personnel appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.

• L’employeur peut-il enregistrer les actions de ses employés au travail ?

La Commission nationale de l’informatique et des libertés (CNIL) a publié le 17 septembre 2019 sur son site les conditions dans lesquelles l’employeur peut enregistrer l’historique des actions informatiques de ses employés lors de conversations téléphoniques avec des clients, des prestataires ou autre interlocuteur.

L’autorité rappelle qu’en principe il ne peut pas y avoir de capture d’écran couplée à l’enregistrement des conversations téléphoniques dans la mesure où il s’agit d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail. Dès lors, cette information n’est ni pertinente ni proportionnée.

A l’inverse, l’enregistrement vidéo de l’écran couplé aux conversations téléphoniques permet de refléter de manière plus fidèle les actions de l’employé à condition de l’utiliser pour le seul objectif de formation du personnel et sous réserve de la mise en place effective de garanties.

En effet, le recours à ce dispositif peut conduire l’employeur à surveiller les employés ou à capter des éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels). Il est particulièrement intrusif et doit donc être strictement encadré.

Il convient donc d’informer les employés de cet enregistrement et de le limiter à la/aux fenêtre(s) de l’application métier sur laquelle porte la formation. La CNIL préconise également des actions complémentaires pour la mise en place de ce dispositif.

• Quelles sont les conséquences d’un Brexit sans accord sur la protection des données personnelles ?

La Commission nationale de l’informatique et des libertés (CNIL) a publié le 10 septembre 2019 sur son site des recommandations sous forme de questions-réponses ainsi que des étapes à suivre dans l’hypothèse où il n’y aurait aucun accord portant sur la protection des données personnelles à l’issue du Brexit.

Initialement prévue au 29 mars 2019, la date de retrait du Royaume-Uni de l’Union européenne a été reportée au 31 octobre 2019. Comme le rappelle la CNIL : « Cela signifie qu’au 1^er novembre 2019 le Royaume-Uni deviendra un pays tiers et, en l’absence d’accord avec l’UE pour un retrait dit « ordonné », les flux de données personnelles seront considérés comme un transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) ».

En l’absence de cet accord, les responsables de traitement et les sous-traitants qui transfèrent des données personnelles vers le Royaume-Uni doivent mettre en place à partir du 1^er novembre 2019 (sauf si la date de retrait est à nouveau reportée) des garanties suffisantes pour assurer un niveau de protection adéquat et approprié, notamment en encadrant ces transferts par des clauses contractuelles types adoptées par la Commission européenne dans leur dernière version en vigueur.

En l’absence de telles garanties, les responsables de traitement et les sous-traitants peuvent recourir aux dérogations de l’article 49 du RGPD qui font l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.

Enfin, le gouvernement britannique a annoncé que les transferts de données personnelles envoyées depuis le Royaume-Uni vers l’Union Européenne seraient autorisés sans besoin de garantie supplémentaire. Il n’y a donc a priori pas de changement pour ces traitements, qui devront toutefois être conformes aux dispositions du RGPD ou à tout autre cadre juridique spécifique applicable une fois les données reçues.