Cnil : organisation et pouvoirs

En matière de protection des données en Europe, une législation nationale ne peut rendre plus restrictives, au regard de la directive 95/45, les conditions dans lesquelles un traitement de données à caractère personnel peut être effectué sans le consentement de la personne. C’est en substance ce qu’a jugé la Cour de justice de l’Union européenne dans un arrêt du 24 novembre 2011. En l’espèce le droit espagnol a ajouté, à la condition tirée de l’intérêt légitime au traitement des données sans le consentement de la personne concernée, une condition qui n’existe pas dans la directive (art.7 f de la directive), à savoir que les données figurent dans les sources accessibles au public. La CJUE a considéré que le droit espagnol a dépassé les limites du texte en ajoutant des conditions supplémentaires à celles qui étaient prévues par la directive, en rappelant que l’harmonisation recherchée par la directive ne se limitait pas à une harmonisation minimale mais en principe complète au sein de l’union. La cour déclare, par ailleurs, que la disposition visée dans la directive est suffisamment précise et possède un effet direct permettant à un particulier de l’invoquer. Cet arrêt met en lumière les différences de transposition de la directive au sein des Etats membres de l’Union européenne contraignant les entreprises intervenant dans plusieurs pays de l’Union à tenir compte des spécificités locales et plaide en faveur d’une harmonisation complète des dispositions relatives à la protection des données, comme le défend la vice-présidente de la Commission Viviane Reding dans le cadre de la modification de la directive 95/46. CJUE 24-11-2011 aff. C-468/10 et C-469/10 Asnef et Fecemd c./ Espagne

Informatique et libertés et contrats informatiques – Par une décision rendue le 4 octobre 2011, la Chambre commerciale de la Cour de cassation a reproché à la Cour d’appel de Paris de ne pas avoir examiné la licéité de l’objet d’un contrat portant sur la location d’un système de contrôle biométrique. Celui-ci n’avait pas fait l’objet d’une autorisation de la Commission nationale de l’Informatique et des libertés (Cnil). Informatique et libertés et contrats informatiques Dans cette espèce, une société avait conclu un contrat d’installation, de location et de maintenance d’un système de contrôle d’accès biométrique avec le fournisseur de cette solution. Le système de contrôle objet du contrat n’avait pas été autorisé par la Cnil, contrairement aux dispositions Informatique et libertés applicables. Quelques mois plus tard, et pour une toute autre raison, la société utilisatrice du dispositif a dénoncé le contrat et a ainsi cessé le versement des mensualités. A l’occasion de la vente d’un de ses fonds de commerce par cette dernière, la société propriétaire des matériels a alors formé opposition au paiement du prix de vente de ce fonds, invoquant une créance certaine à son égard. Pour demander la mainlevée de cette opposition, la société utilisatrice du dispositif faisait valoir que le contrat de location du système de contrôle d’accès biométrique était nul comme portant sur un objet illicite en ce qu’il n’avait pas été autorisé par la Cnil. Location d’un système biométrique non autorisé Cassant l’arrêt par lequel la Cour d’appel de Paris avait rejeté la demande de mainlevée de l’opposition, la Cour de cassation lui reproche de ne pas s’être prononcée sur cet argument. S’il ne peut pas être déduit de la motivation de l’arrêt que le contrat de location aurait nécessairement dû être annulé, la Cour de cassation demande a minima à la Cour d’appel de renvoi de se prononcer sur la licéité de l’objet du contrat de location du dispositif biométrique en l’absence d’autorisation de la Cnil. Cass com 4-10-2011 n° 10-21954

En 2007, le maire d’une commune du Nord a profité de sa qualité d’édile pour intercepter les fichiers du recensement et ainsi mettre à jour le fichier population de sa commune.