FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Surveillance de l’activité des salariés : la CNIL sanctionne la filiale logistique d’une plateforme de e-commerce d’une amende de 32 millions d’euros
La société mesurait notamment, par le biais des scanners, les interruptions d’activité et la vitesse d’utilisation du scanner par les salariés.
Dans sa délibération du 27 décembre 2023, la CNIL a jugé que le dispositif de surveillance était excessif, et a notamment relevé les manquements suivants :
- Défaut de base légale : les intérêts légitimes mis en avant par la société ne pouvaient justifier un traitement de données aussi intrusif ;
- L’intérêt de la société devait être mis en balance avec la protection de la vie privée des salariés et leur droit à des conditions de travail respectant leur santé et sécurité ;
- Manquements aux principes de minimisation et de limitation de la durée de conservation : la collecte de données aussi précises et en continu était excessive, et leur conservation sur 31 jours disproportionnée.
Lire la délibération de la CNIL du 27 décembre 2023, n°SAN-2023-021
Une banque peut-elle être condamnée au paiement de dommages et intérêts pour avoir transmis à l’administration fiscale une déclaration erronée ?
Dans le cadre de la réglementation FATCA, une banque a transmis à l’administration fiscale une déclaration erronée relative à l’un de ses clients. Elle n’a, par ailleurs, fait suite à sa demande de rectification que tardivement.
Par un arrêt du 19 décembre 2023, la Cour d’appel de Grenoble a condamné la banque au paiement de dommages et intérêts après avoir notamment considéré que :
- La banque avait commis une faute et agi avec légèreté en ne vérifiant pas la pertinence des informations transmises à un tiers ;
- La banque avait causé un préjudice à son client en procédant à la rectification de son système d’information plus d’un an après avoir constaté l’anomalie.
Lire l’arrêt de la Cour d’appel de Grenoble du 19 décembre 2023, n°22/01108
La CJUE précise les conditions de réparation du préjudice résultant d’une violation du RGPD
À la suite d’une erreur commise par l’employé d’un magasin, un document contenant des données personnelles d’un client avait été communiqué à un autre pendant un laps de temps très court. La personne concernée avait alors assigné le responsable de traitement pour obtenir la réparation de son supposé préjudice moral causé par cet accès temporaire non autorisé.
Par un arrêt du 25 janvier 2024, la CJUE a précisé que la réparation du préjudice subi par les personnes concernées en violation du RGPD était conditionnée à la démonstration de :
- Une faute du responsable de traitement, laquelle est présumée ;
- L’existence d’un dommage, matériel ou moral, qui n’est pas purement hypothétique.
La CJUE a rappelé que la gravité de la violation était indifférente dans le calcul des dommages et intérêts octroyés en réparation du préjudice de la personne concernée.
Lire l’arrêt de la CJUE du 25 janvier 2024, affaire C-687/21
Consentement des personnes concernées : la CNIL sanctionne un courtier en données à hauteur de 75 000 euros
Par une délibération du 29 décembre 2023, la CNIL a sanctionné une société qui transmettait illicitement à ses partenaires commerciaux des données personnelles collectées par le biais de formulaires de participation à des jeux-concours.
La Commission a considéré que la société avait manqué à son obligation de disposer d’une base légale et n’avait pas valablement recueilli le consentement des personnes concernées.
Le visuel du formulaire incitait les personnes concernées à choisir le bouton exprimant le consentement à la transmission des données, au détriment du bouton leur permettant de participer aux jeux-concours sans accepter cette transmission.
La société transmettait à ses partenaires les données pour la réalisation d’opérations techniques et de qualification (dédoublonnage, enrichissement, etc.) sans avoir informé et collecté le consentement des personnes concernées.
Lire la délibération de la CNIL du 29 décembre 2023, n°SAN-2023-025
Contrôles CNIL : la Commission annonce les 4 thématiques prioritaires pour 2024
Chaque année, la CNIL axe une partie de ses contrôles sur des sujets à forts enjeux. En 2024, elle se concentrera sur :
- Les données collectées dans le cadre des JO 2024, notamment au moyen des dispositifs de sécurité déployés à cette occasion et des services de billetterie.
- Les données des mineurs collectées par les applications et sites les plus utilisés. La CNIL a annoncé vérifier l’existence de mécanismes de contrôle de l’âge et de mesures de sécurité.
- Les données collectées dans le cadre de programmes de fidélité et de la dématérialisation des tickets de caisse : les vérifications porteront sur le respect de l’information et du consentement des personnes concernées.
- Mise en œuvre du droit d’accès : ce contrôle, réalisé en coordination avec les CNIL européennes, vise à harmoniser l’application du RGPD.
Lire le communiqué de la CNIL du 8 février 2024