GuiGui's Show

Les décisions de la CNIL de sanctionner Google et Shein sont intéressantes.

Google : délibération SAN-2025-004
Shein : délibération SAN-2025-005

Dans les deux cas, la CNIL réexplique la compétence qu'elle tire d'e-Privacy, l'absence de guichet unique RGPD (pour la création de compte Google), et l'intrication entre un établissement en Irlande et un en France (en gros, tant que l'étab FR facilite ou favorise, dans le cadre de ses activités, le déploiement en France d'un traitement, y compris par la promotion ou la vente d'espace pub avec traceurs, alors la CNIL est compétente). Google points 84-86 (Google LLC conçoit et implémente la technologie Google, a un rôle fondamental dans le processus décisionnel, y compris dans l'UE, cf. organigramme, opère dans le monde entier, et le DPO de Google Irlande témoigne de l'implication de Google USA) ; Shein point 44.

Dans Shein, sur le test A/B :

88 […] En effet, les cookies de " A/B testing " nécessitent uniquement d’identifier la cohorte (groupe A ou B) à laquelle appartient un utilisateur et cela sur une période très limitée. Ce cookie, au vu de ses caractéristiques [identifiant + durée de vie 10 ans], ne peut dès lors pas être considéré comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peut pas non plus être considéré comme strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

Dans Shein, sur le retrait effectif du consentement aux cookies et traceurs (points 145 à 149), y compris ceux déposés par des tiers : bloquer les requêtes réseaux depuis le site web de Shein vers les tiers ne suffit pas, ces tiers peuvent retrouver le visiteur sur d'autres sites, il faut informer les tiers du retrait du consentement. Début 2026, la CNIL a retenu ce manquement de sites web français dans le cadre des plaintes de l'association PURR.

#ePrivacy

Usage domestique

Le RGPD ne s'applique pas dans le cadre d'une activité strictement personnelle ou domestique. Qu'est-ce que ça n'est pas ?

Dans le recueil de la CNIL, on trouve :

• C-25/17 (Jehovan), pt 42 et suivants : notes aides-mémoire sur les visites rendues par des prédicateurs de porte-à-porte de Jéhovah contenant nom, adresse, convictions religieuse ou situation de famille. Jéhovah donne des lignes directrices et organise / coordonne l'activité de porte-à-porte. Liste d'opposition. Pour la CJUE, il s'agit d'une activité dirigée vers l'extérieur de la sphère privée des membres prédicateurs + nombre indéfini de prédicateurs à travers le temps = pas activité domestique ;
  
  
• C-212/13 (Ryneš), dispositif : des caméras filmant une maison familiale pour la protéger cesse d'être une activité domestique dès lors qu'elles filment aussi, même partiellement, l'espace public. Activitée dirigée vers l'extérieur de la sphère privée ;

On a aussi :

• C-101/01 (Bodil Lindqvist), pt 47 : quelques pages web contenant des infos sur des collègues paroissiens (identité, nom, loisirs, situation familiale, téléphone, etc.). Publication sur Internet = rendre accessible à un nombre indéfini de personnes ;
  
  
• C-73/07 (Satakunnan Markkinapörssi et Satamedia), pt 44 : journal centré sur la publication de données publiques obtenues auprès de l'administration fiscale (nom, prénom, revenus, imposition) = porter des données collectées à la connaissance d'un nombre indéfini de personnes.

Oui, ces arrêts ont été pris sous l'empire de la directive de 95, mais les déductions restent valables, cf. article 94 du RGPD et les références à ces arrêts dans des décisions plus récentes (sur la co-responsabilité de traitement, C-604/22 (infra) pointe C-25/17, par ex.).

Transparency and Consent Framework (TCF) de l'Interactive Advertising Bureau (IAB)

C-604/22. Communiqué de presse.

TC String, chaîne de caractère stockant les consentements aux cookies et autres traceurs, peut constituer une donnée à caractère personnel (DCP) lorsqu'elle peut raisonnablement être associée à un identifiant, comme l'adresse IP.

IAB Europe serait responsable conjoint de traitement en ce qu'elle a établi des règles techniques et des modalités de stockage et de diffusion d'une DCP (TC String) si elle influait, à ses fins, sur les moyens et finalités du traitement, même si elle n'a pas accès aux DCP.

Cette responsabilité ne s'étend pas automatiquement aux traitements ultérieurs effectués par les éditeurs de sites web.

Champ / étendue / périmètre de l'enquête d'une autorité de protection des données

T-70/23.

Précise mollement le considérant 141 du RGPD. Voir aussi C-768/21 infra.

49 En effet, l’article 57 du règlement 2016/679, qui porte sur l’ensemble des missions des autorités de contrôle, prévoit comme première mission, à son paragraphe 1, sous a), celle de contrôler l’application dudit règlement et de veiller au respect de celui-ci. Ainsi, contrairement à ce qu’a avancé en substance la requérante à l’audience, l’analyse des conditions dans lesquelles un traitement de données à caractère personnel est effectué et de sa conformité à ce règlement ne doit pas être limitée à ce que la réclamation d’un plaignant met en exergue.

50 Surtout, assurer pleinement les missions prévues à l’article 57, paragraphe 1, sous a) et f), du règlement 2016/679, de veiller au respect de celui-ci et de traiter les réclamations dans la mesure nécessaire, implique de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine […]

[…]

55 Au titre d’une interprétation téléologique, la requérante soutient, tout d’abord, que reconnaître au CEPD le pouvoir d’imposer à une autorité de contrôle chef de file d’élaborer un projet de décision complémentaire et d’élargir préalablement à cet effet le champ de son enquête est incompatible avec les finalités du mécanisme du « guichet unique » voulu par le législateur lorsqu’il a adopté le règlement 2016/679. L’instauration d’une autorité de contrôle unique pour les intéressés aurait notamment visé à leur éviter des coûts superflus et des désagréments excessifs, ainsi que l’indiquerait le considérant 129 de ce règlement. Rouvrir une enquête en raison d’un simple désaccord entre autorités de contrôle méconnaîtrait cet objectif, en obligeant les auteurs de réclamations et les entreprises visées à faire face à la reprise de l’enquête, avec des coûts et des désagréments, alors que cette phase devait être terminée.

56 Cependant, sans qu’il soit nécessaire de se prononcer sur les intentions du législateur, il suffit de constater qu’un guichet unique répond à un objectif de simplification de nature procédurale qui ne saurait primer sur l’objectif essentiel du règlement 2016/679 de faire respecter le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel. Le premier considérant dudit règlement rappelle à ce propos que l’article 8, paragraphe 1, de la charte des droits fondamentaux et l’article 16, paragraphe 1, TFUE disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Un élargissement d’enquête, nécessairement demandé par au moins la moitié des autorités de contrôle dans le cadre du CEPD, ne vise pas, contrairement à ce que soutient la requérante, à compliquer la tâche de la personne ayant déposé une réclamation ou celle du responsable de traitement visé par celle-ci, mais constitue une mesure pour défendre leurs droits respectifs. Au demeurant, une enquête et une analyse de l’autorité de contrôle chef de file couvrant d’emblée l’ensemble des aspects nécessaires à l’élaboration d’une décision finale complète concernant le cas en cause permettent d’éviter les inconvénients mentionnés par la requérante.

Attention à C-169/23.

La juridiction de renvoi s'interroge : les « mesures appropriées visant à protéger les intérêts légitimes d'une personne concernée » prévues par l'article 14(5)c du RGPD incluent-elles les mesures de sécurité du traitement au titre de l'article 32 ? La CJUE répond non.

Partant, l'autorité de protection des données (APD), saisie du fait qu'un responsable de traitement a invoqué à tort l'article 14(5)c du RGPD, n'avait pas à étudier le respect de l'article 32 qui est disjoint.

Donc, il se déduit que l'auteur d'une réclamation doit préciser sa réclamation à l'APD.

70 En second lieu, s’agissant de savoir si cette vérification doit porter également sur le caractère approprié, au regard de l’article 32 du RGPD, des mesures que le responsable du traitement est tenu de mettre en œuvre pour assurer la sécurité du traitement, il y a lieu de souligner que l’article 14, paragraphe 5, sous c), de ce règlement établit une exception uniquement à l’obligation d’information prévue à l’article 14, paragraphes 1, 2 et 4, dudit règlement, sans prévoir une dérogation aux obligations contenues dans d’autres dispositions du même règlement, parmi lesquelles l’article 32 de celui-ci.

71 Cet article 32 oblige le responsable du traitement et son éventuel sous‑traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des données à caractère personnel qui soit adéquat. Le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 42, 46 et 47, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 37 et 38).

72 Au vu des termes respectifs de ces deux dispositions, il convient de relever que les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l’existence ou non d’une obligation d’information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l’obligation d’information prévue à cet article 14.

73 Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l’objet des vérifications à effectuer par l’autorité de contrôle est circonscrit par le champ d’application du seul article 14 dudit règlement, le respect de l’article 32 de celui-ci ne faisant pas partie de ces vérifications.

74 Compte tenu des motifs qui précèdent, il y a lieu de répondre aux deuxième et troisième questions que l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

Compétence d'une autorité de protection des données vis-à-vis d'un parlement et d'une juridiction

C-33/22 (CP) : traitement mis en place par une commission parlementaire de contrôle de l'exécutif = soumis à l'autorité de protection des données (APD). Dans ses conclusions dans CE 494474, le rapporteur public admet, certes en creux, l'examen de la CNIL d'une réclamation visant des manquements sur le site web de l'Assemblée nationale.

C-245/20, pt 38 : données personnelles mises temporairement à dispo de la presse par une juridiction pour lui permettre de mieux rendre compte d'une procédure = fonction juridictionnelle = pas touche pour l'APD "normale". Mais une autorité de contrôle des juridictions devrait avoir compétence, en toute logique.

Droit au traitement licite des données + précisions sur dommages-intérêts

C-655/23.

En gros : le RGPD prévoit un droit d'obtenir un traitement licite des données à caractère personnel ; le RGPD ne prévoit pas qu'un juge judiciaire puisse enjoindre, à titre préventif, à un responsable de traitement (RT) de s'abstenir d'une réitération d'un traitement litigieux, mais les États-Membre peuvent prévoir cela ; Les dommages moraux englobent les sentiments négatifs éprouvés par une personne concernée suite à la transmission à un tiers de ses données à caractère personnel, tels que la crainte ou le mécontentement ou l'atteinte à la réputation (en l'espèce, une personne qui connaissait le requérant a appris, par erreur, le refus de sa prétention salariale par un recruteur), mais il faut démontrer ces sentiments ; la gravité de la faute commise par le RT n'intervient pas dans la détermination des dommages-intérêts.

Conclusions :

38 Il existe donc, en tant que contrepartie immédiate des exigences prévues à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, du RGPD, un droit de la personne concernée à ce que tout traitement de ses données à caractère personnel soit licite. À mon sens, il s’agit là de la prémisse dont il convient de partir, bien que ce droit n’apparaisse pas explicitement dans le chapitre III du RGPD.

39 En effet, si le chapitre III du RGPD, consacré aux droits de la personne concernée, ne contient pas, en tant que telle, la reconnaissance du droit à ce que le traitement des données personnelles de cette personne soit licite, cela est dû au fait qu’une telle reconnaissance expresse n’est pas nécessaire ; la lecture des articles 5 et 6 du RGPD suffit pour conclure que ce droit est présumé.

[…]

41 De surcroît, je ne suis pas certain que les droits de la personne concernée soient uniquement ceux précisés au chapitre III du RGPD. Dans ce règlement, on peut trouver d’autres droits dont l’exercice doit être facilité, en premier lieu, par le responsable du traitement (21). Par exemple, le droit de retirer le consentement est prévu à l’article 7, paragraphe 3, du RGPD, qui ne figure pas en tant que tel au chapitre III de ce règlement.

Arrêt :

29 Cette juridiction se demande, premièrement, si le RGPD confère, à une personne dont les données à caractère personnel ont fait l’objet d’un traitement illicite, le droit d’exiger que le responsable du traitement s’abstienne de réitérer ce traitement, y compris lorsque cette personne ne demande pas l’effacement de ses données. Compte tenu de la jurisprudence nationale et des débats doctrinaux à ce sujet, ladite juridiction souhaite savoir si ce droit, dont elle précise qu’il est exercé à titre purement préventif, pourrait résulter de l’article 17 de ce règlement, relatif au droit à un tel effacement, de l’article 18 de celui‑ci, relatif au droit à la limitation du traitement, de l’article 79 dudit règlement, relatif au droit à un recours juridictionnel effectif contre le responsable du traitement ou le sous‑traitant, ou de toute autre disposition du même règlement.

[…)

40 Comme M. l’avocat général l’a relevé, en substance, aux points 32, 34 et 38 de ses conclusions, l’article 8 de la Charte proclame, à son paragraphe 1, le droit à la protection des données à caractère personnel, mais aussi impose, à son paragraphe 2, que ces données soient traitées dans le respect de certaines conditions, duquel dépend la licéité du traitement considéré. De même, les obligations énoncées au chapitre II du RGPD, qui pèsent sur le responsable du traitement, ont pour pendant des droits spécifiques prévus par ce règlement, qui sont conférés aux personnes concernées. Ainsi, ces dernières bénéficient d’un droit à un traitement licite de leurs données à caractère personnel, qui est le corollaire de l’obligation générale, mise à la charge de ce responsable, de ne pas traiter de telles données d’une manière non conforme aux exigences dudit règlement.

[…]

59 En deuxième lieu, ainsi que la Commission européenne l’a relevé dans ses observations écrites, des situations, telles que celles invoquées dans le litige au principal, tenant à une « atteinte à la réputation » résultant d’une violation de données à caractère personnel ou à une « perte de contrôle » sur de telles données, figurent explicitement parmi les exemples de possibles dommages qui sont énumérés aux considérants 75 et 85 du RGPD.

[…]

62 Ainsi, bien que les sentiments mentionnés par la juridiction de renvoi, en particulier la crainte ou le mécontentement, puissent par ailleurs faire partie des risques généraux inhérents à la vie courante ainsi que cette juridiction l’observe elle‑même, de tels sentiments négatifs sont susceptibles de constituer un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, pour autant que, conformément à l’exigence d’un lien de causalité rappelée au point 56 du présent arrêt, la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, précisément en raison de la violation en cause de ce règlement, telle qu’une transmission non autorisée de ses données à caractère personnel à un tiers engendrant le risque d’un usage abusif de celles‑ci, ce qu’il incombe aux juges nationaux saisis d’apprécier.

[…]
66 À cet égard, il ressort de la jurisprudence de la Cour que, dès lors que le RGPD ne contient pas de dispositions ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union

[…]

71 Ainsi, d’une part, l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement dudit article (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 154).

Obligation d'adoption de mesures correctrices + motivation + information = droit individuel (confirmation article 83(5)b)

C-768/21.

À lire en combinaison avec T-70/23 (supra) C-26/22, l'interprétation de noyb, et l'Internal EDPB Document 02/2021 on SAs duties in relation to alleged GDPR infringements (notamment pts 59, 65, 68) : une autorité de protection des données, comme la CNIL, doit enquêter jusqu'à identifier si un manquement a été commis ou non. Si oui, elle doit remédier à la situation. À titre exceptionnel, elle peut ne pas adopter de mesure correctrice si le manquement au RGPD a cessé et que la conformité du traitement est assurée. Elle n'a le choix que des moyens d'enquête et des mesures correctrices, tant qu'elle atteint ces objectifs (identifier et remédier) et que sa démarche garantit un niveau élevé de protection des personnes.

Sur la motivation, lire aussi.

Conclusions :

55 […] l’obligation principale de cette autorité à l’égard [de l’auteur d’une réclamation] dans le cadre de la procédure de réclamation consiste *à motiver de manière suffisamment précise et détaillée sa décision d’intervenir ou non** en l’espèce, compte tenu des constatations faites dans le cadre de l’enquête menée par l’autorité.

[…]

66 Le second niveau comprend les violations des droits individuels protégés par ce règlement, tels que les droits fondamentaux, les principes de base d’un traitement, les droits à l’information des personnes concernées, les règles de transfert, etc. 

Arrêt :

37 À cet égard, il convient de relever que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112).

38 Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.

[…]

42 En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.

[…]

46 Il s’ensuit que l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, ne pas s’imposer, pourvu que la situation de violation du RGPD ait déjà été rétablie et que la conformité des traitements de données à caractère personnel à ce règlement par leur responsable soit assurée, et qu’une telle abstention de l’autorité de contrôle ne soit pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles, telle que rappelée au point 38 du présent arrêt.

#jurisprudence

Rappel. Il reste jusqu'à vendredi 24 avril pour financer l'épisode avec Spinoza (palier 140 k€).

+ Le plus gros projet de ma chaîne ! (vidéo)

Un financement participatif pour des PhilosopherView sous stéroïdes par Monsieur Phi, c'est-à-dire des saisons (une par siècle) d'entrevues façon talk show ricain >= 1 heure avec un philosophe + explications complémentaires en voix off.

Première saison = 17^e siècle = Descartes interrogé par la philosophe Élisabeth de Bohême (elle a critiqué les thèses de Descartes et a réellement conversé avec lui), Hobbes, Spinoza, et un choix des contributeurs (Leibniz ? Locke ? Pascal ? Galilée ?).

Y compris pour faits antérieurs à son recrutement et/ou n'ayant pas donné lieu à sanction pénale.

TA Marseille 2105073 : révocation d'un fonctionnaire pour violences sur épouse

Cour administrative d'appel de Toulouse 23TL02197 : révocation d'un inspecteur des finances publiques suite à des propos racistes, antisémites, ou xénophobes sous pseudonyme sur les réseaux sociaux (son taff était impliqué puisqu'il a fait mention de sa réussite au concours). On a environ pareil dans le privé.

TA Paris 2409592 : refus d'agrément pour être policier municipal pour cause de violences conjugales.

CE 500487 : refus de réintégration d'un ex-ambassadeur après une sanction pénale pour manquement à la probité.

Via https://nitter.poast.org/N_Hervieu/.

#Discipline

The Norwegian Supervisory Authority, SA received several complaints about the browser extension Shinigami Eyes, which is available for Chrome and Firefox. The purpose of the browser extension is to identify and tag individuals on the internet and in social media, indicating to users of the browser extension whether the tagged individual is pro- or anti-trans.

Sérieusement…

Ça me rappelle l'extension pour navigateur web The Coincidence Detector qui marquait les présumés juifs avec le symbole Echo (« ((( nom ))) »)…

Ça me rappelle le fichage et l'exclusion préventive et arbitraire des cortèges de prétendus fachos par les militants de différentes organisations, dont la CGT et Solidaires, durant la réforme des retraites 2023 dans mon bled…

Rappels :

• le fichage politique ou religieux ou sexuel est interdit par principe (article 9 du RGPD) ;
  
  
• une donnée publique (ex. : un article de presse qui expose qu'untelle est juive ou untel est trans) ne peut pas être réutilisée pour n'importe quelle finalité (ex. : construire un annuaire des anti-trans, par ex.) au motif qu'elle est publique (article 5(1)b du RGPD). Voir ici et là ;
  
  
• le droit est neutre aux causes des uns et des autres : En Allemagne, “nul n’a le droit de se faire justice soi-même, même contre des nazis”. Fin de l'histoire : Allemagne : Confirmation de peine pour Lina. Légitime défense, oui, attaquer, non, ficher préventivement, non, exclure préventivement des cortèges, non.

+ Décret n° 2025-840 du 22 août 2025 relatif à la protection des informations relatives au domicile de certaines personnes physiques mentionnées au registre du commerce et des sociétés
+ Délibération n° 2025-058 du 17 juillet 2025 portant avis sur un projet de décret en Conseil d’État relatif à la protection des informations personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au registre du commerce et des sociétés

Le bordel…

Par obligation légale, l'INPI est chargé de publier le Registre national des entreprises (RNE) et le Registre du commerce et des sociétés (RCS), cf. L123-52 Code du commerce. Publication de toutes les infos et pièces annexées au registre. Or, les pièces contiennent bien plus de données à caractère personnel (profession, signature, situation matrimoniale, etc.) que celles qui doivent expressément être mises à la disposition du public. Le même problème se pose avec la base SIRENE de l'INSEE.

L'ensemble de ces données est exploité à mauvais escient et/ou republié par de nombreux sites web (Société.com, Pappers, etc.), parfois sous une forme qui permet des recherches automatiques sur les mentions dont la mise à disposition du public n'est pas obligatoire (date de naissance complète au lieu de mois et année, signature, profession, situation matrimoniale, etc.). Mais, a minima, les actes sont disponibles en PDF, ce qui se traite facilement et en masse avec de l'OCR. Ces republications sont fondées sur l'intérêt légitime (article 6(1)f du RGPD) de chaque éditeur, donc un entrepreneur peut s'y opposer… en fonction de sa situation… et l'éditeur peut opposer un motif impérieux, ce n'est pas acquis (voir la FAQ de la CNIL : 1, 2). Et faire ça pour chaque site présent ou futur, laisse béton…

Première piste pour résoudre le problème à la racine : dans les actes constitutifs d'une société commerciale, en fonction de son statut juridique (SNC, SAS, SA, SCI, etc.), il n'y a aucune obligation légale de faire figurer certaines infos, comme la profession ou le statut matrimonial d'un dirigeant ou d'un associé. Pour moi, l'« identité », c'est nom, prénom, lieu et date de naissance, point, pas profession ou statut matrimonial. Mais, comme d'hab, les mauvais exemples se propagent plus vite que la bonne littérature, donc beaucoup mettent trop d'infos.

Deuxième piste : depuis le décret d'août 2025 sus-cité, il est possible de demander la confidentialité de l'adresse personnelle d'un dirigeant OU d'un associé indéfiniment responsable (donc exit SARL, SA, SAS… 😑️), y compris quand elle figure dans une pièce, via le guichet unique INPI. Uniquement numérique, uniquement FranceConnect+, et donc uniquement GAFAM. Évidemment, si siège social = adresse personnelle (auto-entrepreneur, EI, EURL, etc.), alors pas d'anonymisation puisque toute façon l'adresse de la personne morale est publique.

Rien n'est explicitement prévu pour les autres données que l'adresse du domicile… Décret pavlovien en réaction aux enlèvements dans l'univers des cryptomonnaies… Dans l'avis précité, la CNIL consigne être saisie de nombreuses plaintes, et dans un document de 2024, elle dit travailler sur la question (bas de page 5). 😑️

La CJUE avait retoqué la publication des bénéficiaires effectifs. Mais du coup, les fondateurs et dirigeants, ça serait OK ? 😮️ Dans son arrêt C-200/23 de fin 2024, elle a jugé que la publication de pièces contenant des données personnelles autres que celles dont la publication est exigée par l'État-Membre, n'est pas obligatoire au sens de la directive UE (je prolonge : donc intérêt légitime, donc opposition et possibilité de fournir version occultée). De même, une signature manuscrite est une donnée à caractère personnel (sans déc' !).

Reste à voir comment appliquer ce dernier arrêt CJUE puisque le L123-52 Code du commerce précité prévoit la publication de l'intégralité des actes annexés au registre, et que la fourniture des actes est obligatoire. A priori, le guichet unique permet le dépôt d'une version occultée et d'une version complète d'un même acte sans limiter à l'adresse perso, mais à voir comment ça se passe en pratique pour les données autres que le domicile.

Cela me rappelle la réutilisation des données publiques de trafic aérien pour suivre les jets privés et/ou calculer leur empreinte carbone…

Dans Google Street View, il est possible de demander le floutage d'une photo si elle contient un visage ou une propriété privée (maison, véhicule, plaque d'immatriculation, objet), ou de signaler à Google qu'il a emprunté une route privée.

Sur la prise de vue litigieuse, dans le pied de page, en bas à droite, il y a un lien « Signaler un problème ». Remplir le très court formulaire. Aucun justificatif n'est demandé (j'ai eu du mal à y croire venant de l'ogre Google).

J'ignore si cela est permanent, car, en trois ans, Google n'est pas repassé dans ma rue.

Ma demande a été traitée en 28 h il y a trois ans. La photo montrait tout pile et bien l'intérieur de ma piaule (fenêtre ouverte), en haute qualité, au point qu'on pouvait y reconnaître la charte graphique de certains documents administratifs posés sur un bureau. Entre son apparition, ma détection, et le floutage, la photo est restée en ligne environ six mois.

Je ne m'attendais pas à ce que ça fonctionne. À l'époque, j'étais dégoûté, persuadé que je partais pour trouzemilles années de procédures avec la lente et inutile CNIL, l'inutile Conseil d'État, etc.

Dans Writer, on peut chercher (et remplacer) du texte en fonction de son apparence (style, gras, italique, souligné, surligné, police, taille, position, etc.). Idem pour des paragraphes, à partir de son style.

Pour ce qui m'intéresse : ctrl+h (rechercher/remplacer), bouton « Format ».

#Libre Office

Arrêt de la CEDH sur une législation prévoyant, entre autres, le décryptage des communications chiffrées de bout en bout (E2E). Ici, Telegram.

Communiqué de presse.

Points 76 et suivants :

• Affaiblir le chiffrement (pour tout le monde) et une obligation de décrypter les communications (de tout le monde) = pas proportionné ;
  
  
• Loi de surveillance secrète, donc les autorisations des services de renseignement n'ont pas été montrés = opacité, et accès direct aux communications stockées par les services secrets… ;
  
  
• La législation russe prévoyait aussi une conservation systémique, généralisée, et indifférenciée des communications, y compris leur contenu. Cela constitue déjà une ingérence, peu importe si exploitation ultérieure ou non (point 51) ;

Point 54 : seule l'existence de lois craignos suffit, il n'y a pas besoin de prouver un accès effectif aux communications, car cela est impossible (loi de surveillance secrète…).

Europol, ENISA, Commissaire aux droits humains de l'ONU, etc. donnent des alternatives : les criminels ont besoin que l'info soit à moment donné, donc live forensic sur le matos saisi, taff de police standard mieux financé (infiltration, etc.), coopération internationale, analyse des métadonnées, interceptions légales ciblées (= écoutes), etc.

4 Lorsqu'une personne entend exercer, à l'égard d'un traitement de données à caractère personnel la concernant, les droits garantis par le RGPD et la loi du 6 janvier 1978, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de cette loi, il lui appartient, ainsi que cela découle des dispositions qui fondent ces droits, d'adresser sa demande au responsable du traitement auquel incombent les obligations définies par ces dispositions, préalablement à une éventuelle saisine de la CNIL, chargée, en application du 2° du I de l'article 8 de la même loi, de traiter les réclamations, pétitions et plaintes introduites par une personne concernée. A défaut d'une telle saisine préalable du responsable du traitement, la CNIL peut prononcer la clôture de la plainte qui lui a été adressée directement.

5 En l'espèce, il ne ressort pas des pièces des dossiers que Mme F... aurait justifié avoir adressé au docteur E... ou au docteur C..., responsables des traitements litigieux des données de santé la concernant, une demande tendant à l'effacement de ces données, ni avoir fait valoir auprès d'eux son droit d'opposition au traitement de ces données. La CNIL était, par suite, en droit de clôturer les plaintes que Mme F... lui a adressées directement sans avoir au préalable saisi de ses demandes les responsables des traitements.

6 Si Mme F... fait valoir que la CNIL aurait dû l'inviter à régulariser ses plaintes en saisissant les responsables des traitements, elle ne peut à cette fin utilement se prévaloir des dispositions de l'article L. 114-5 du code des relations entre le public et l'administration, selon lesquelles " Lorsqu'une demande adressée à l'administration est incomplète, celle-ci indique au demandeur les pièces et informations manquantes exigées par les textes législatifs et réglementaires en vigueur. Elle fixe un délai pour la réception de ces pièces et informations ", ses plaintes n'ayant pas été clôturées en raison de leur caractère incomplet. Elle ne peut davantage utilement invoquer les dispositions de l'article L. 114-6 du code des relations entre le public et l'administration, qui prévoient que " Lorsqu'une demande adressée à une administration est affectée par un vice de forme ou de procédure faisant obstacle à son examen et que ce vice est susceptible d'être couvert dans les délais légaux, l'administration invite l'auteur de la demande à la régulariser en lui indiquant le délai imparti pour cette régularisation, les formalités ou les procédures à respecter ainsi que les dispositions légales et réglementaires qui les prévoient ", le défaut de saisine préalable des responsables des traitements ayant pour conséquence non pas d'entacher les plaintes d'un simple vice de forme ou de procédure au sens de ces dispositions, mais de les priver de leur objet.