GuiGui's Show

Délibération SAN-2025-017.

L'association Pour un RGPD respecté puis la presse ont immédiatement identifié, en recoupant les infos de la décision avec celles publiquement disponibles, qu'il s'agit d'Intersport (qui a repris Go Sport, d'ailleurs).

Il y a fort à parier que la conclusion que la CNIL tirera de cet épisode sera une moindre publication de ses décisions. 🙁️ Alors que le public a le droit de savoir, ne serait-ce que pour déterminer s'il est impacté par une mauvaise pratique, s'il doit entreprendre des démarches (comme stopper sa relation avec l'entité fautive ou ne pas entrer en relation avec elle), et pour permettre une saine concurrence.

Intéressant :

La CNIL a relevé que l’information fournie sur le site web de la société était imprécise, en particulier parce qu’elle ne liait pas clairement les finalités des traitements aux bases légales correspondantes. L’information était également incomplète sur certains points (absence de mention relative à la finalité du traitement de publicité ciblée et à la durée de conservation des données des adhérents au programme de fidélité) et/ou erronée (l’information relative au transfert des données renvoyant au bouclier de protection des données « », qui n’est plus en vigueur).

Association entre finalités et bases légales.

An investigation into data flows at the Austrian credit agency CRIF has shed further light on the matter: most of the address data in the CRIF database comes from address brokers AZ Direct (Bertelsmann Group), Compass-Verlag and DPIT in Vienna. But where do these address traders get their data from? A new noyb evaluation involving more than 2,400 affected individuals shows that they access public registers such as the company and land registers, the register of associations and the Business Information System (GISA) which was introduced in 2015. Compass also lists the chamber of commerce (WKO) as a data source. However, it remains unclear where AZ Direct (CRIF’s largest data supplier) obtains its data. AZ Direct says it does not know where it got the data on 7 million people in Austria.

[…]

Government does nothing to combat ‘scraping’ of public registers? Public registers are indispensable in a well-administered state of law (e.g. to check whether someone has a business licence or is the owner of a property). In the past, this had to be done manually. Thanks to digitalisation, most registers are now also available online – but apparently often without sufficient protection against large-scale ‘scraping’. Basic protective measures such as captchas, query limits per IP address, or terms and conditions that clearly stipulate that data may only be used for specific purposes (e.g. to verify a trade, ownership, or power of representation) seem to be lacking.

The law is clear: public registers are subject to ‘purpose limitation’. Not only is it obvious that this commercial reuse is not in the public interest, it also violates the GDPR principle of ‘purpose limitation’ in Article 5(1)(b) GDPR. The Austrian Data Protection Authority (DSB) has already decided with regard to the Registry of Deeds that, for example, further processing for advertising purposes violates the GDPR. The well-known CJEU ruling on the ‘right to be forgotten’ also concerned legally published data, which, however, could not simply be reused by Google Search.

Max Schrems: “Just because data is publicly available does not mean it can be used for any purpose. You cannot simply film people on a public street for your own purposes.”

Détournement de finalité / mésusage des registres de transparence (registre des sociétés, registre des associations, registre des propriétés). Dingue parce que, en parallèle, d'après la CJUE, les registre des bénéficiaires effectifs ne peuvent pas être ouverts au public.

Le merdier de la compilation et revente de données à caractère personnel par des courtiers / data brokers… Impressionnant. Tout ça pour de la notation en vue d'un crédit…

#RGPD

La procureure de la République, saisie par Eric Coquerel, estime que l’ex-secrétaire général de l’Elysée ne commet aucune infraction en séchant la commission d’enquête sur le dérapage budgétaire.
[…]
Alexis Kohler a également rejeté d’un revers de main la convocation de la commission d’enquête sénatoriale sur les eaux en bouteille.

Trololololo. C'est bien d'avoir des lois, c'est mieux de les appliquer.

Dans un arrêt du 30 décembre 2025, le Conseil d'État confirme la légalité du décret de publication de l'accord franco-britannique relatif à la prévention des traversées périlleuses, c'est-à-dire celles effectuées par des migrants sur des embarcations de fortune. […] L'accord a été publié par un décret du 11 août 2025 […]

[…]

La question posée est donc de nature constitutionnelle. L'accord entre-t-il dans le champ de l'article 53, imposant une autorisation législative avant la ratification ? Pour répondre à cette question, il faut se demander s'il modifie des dispositions législatives ou s'il touche à une matière réservée à la loi. Si c'est le cas, le décret de publication est illégal.

La recevabilité du recours pour excès de pouvoir contre un décret de publication d’un accord international est admise de longue date. Dans son arrêt SARL du parc d'activités de Blotzheim du 18 décembre 1998, l'assemblée du Conseil d'État acceptait déjà de contrôler si un accord entrait dans le champ de l'article 53, sa ratification devant alors nécessiter l'intervention du parlement.

Sur ce point, la décision s'inscrit dans une jurisprudence, selon laquelle un accord international ne modifie par la loi au sens de l'article 53, lorsqu'il s'insère dans un cadre normatif déjà ouvert à l'intervention réglementaire. Selon l'arrêt du 9 juillet 2010 Cheriet-Benseghir, un tel accord n'édicte pas de règle nouvelle de niveau législatif, mais active une faculté que la loi avait elle-même autorisée.

Le moyen principal invoqué par les associations requérantes consiste à soutenir que l'accord franco-britannique déroge aux règles législatives fixées dans le code de l'entrée et du séjour des étrangers et du droit d'asile (Ceseda). Relevant du domaine de la loi, l'accord devrait donc être ratifié ou approuvé par la voie parlementaire. Mais ce moyen est écarté par le Conseil d'État, qui considère que les dispositions législatives du Ceseda n'empêchent pas le pouvoir réglementaire de disposer d'une large marge d'appréciation pour organiser des aménagements, voire des exceptions.

L'accord relatif à la prévention des traversées périlleuses n'empiète donc pas sur le domaine de la loi, notamment "les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques". Pour le juge, l'accord franco-britannique se borne à organiser la coopération administrative en matière d'entrée sur le territoire, sans modifier les conditions d'exercice du droit d'asile, de la liberté individuelle ou du droit au respect de la vie privée. […]

La conséquence de cette analyse est que l'accord franco-britannique n'entre pas dans les catégories visées par l'article 53 et pouvait donc être publié par décret. Par voie de conséquence, le Conseil d'État écarte également la demande de suspension formulée en référé.

Le décret n'est pas pour autant transparent, au point de permettre l'examen de la conformité de l'accord à la Constitution ou aux engagements internationaux de la France. Ce principe figurait déjà dans les décisions du 30 octobre 1998 Sarran et Levacher et du 11 avril 2012 Gisti. Les moyens fondés sur la méconnaissance de la convention européenne des droits de l'homme ou de la convention internationale des droits de l'enfant sont donc déclarés inopérants.

[…]

Il est vrai que la décision peut être critiquée, car une procédure de réadmission one in, one out a évidemment des conséquences sur les parcours des demandeurs d'asile et la situation familiale des migrants, même si l'accord n'en précise pas exactement le régime. En revanche, la décision a finalement des conséquences relativement limitées, car le contrôle est seulement déplacé vers les décisions individuelles de réadmission, de refus d'entrée, de placement en détention ou de refus de droit d'asile. Ces décisions ont toujours constitué le terrain privilégié du contentieux des droits et libertés des étrangers. Sur ce plan rien n'est changé et le Conseil d'État sera sans doute appelé à statuer sur ces décisions individuelles d'exécution.

#LLC

+ Projet de loi Fraudes : le Parlement élargit l’accès aux comptes bancaires pour le contrôle du RSA.

Un projet de loi de « lutte contre les fraudes sociales et fiscales » est débattu en ce moment à l’Assemblée nationale, après une première lecture au Sénat. Ce texte prévoit d’augmenter les pouvoirs d’enquête pour le contrôle des prestations sociales, en élargissant notamment l’accès aux fichiers des administrations et organismes privés. Il illustre les dérives des politiques de « lutte contre la fraude sociale » qui, en 20 ans, ont démultiplié les capacités de contrôle et de surveillance des administrations sociales. Revenons sur le contexte général de l’accès aux données des administrations avant d’expliquer en quoi ce projet de loi est un danger.

Suivi de ce projet de loi. En avril 2026, la Commission mixte paritaire (CMP) a été convoquée.

Contrairement à ce que relaient LQDN et la presse, dont l'Huma, mon analyse des articles 13 bis AA (codifiant les futurs articles 16-12-1 et 16-12-2 du Code de la sécurité sociale), devenu 29 (codifiant les futurs L114-22-5 et L114-22-6), et 28 (codifiant les futurs 5312-16 et 5312-17 du Code du travail) est que France Travail (et les organismes sociaux) n'auront pas accès aux données de connexion auprès des opérateurs, mais uniquement la possibilité de traiter, pour une finalité de contrôle, lesdites données dont il dispose déjà, c'est-à-dire l'adresse IP à partir de laquelle les formalités déclaratives obligatoires (ex. l'actualisation France Travail) sont accomplies. Données qui sont déjà traitées, mais sur une base légale discutable, je vais y revenir. FT et les organismes sociaux ont déjà accès aux relevés téléphoniques (fadettes).

Au-delà des données de connexion, les mêmes articles octroient à FT (et aux organismes sociaux) un accès aux registres électoraux des Français établis hors de France. Toujours à des fins de contrôle.

Notons que l'Assemblée nationale a retiré l'accès de France Travail (et des organismes sociaux) au Passenger Name Record (PNR) voulu par le Sénat. Depuis le début, il m'était évident que ça n'est pas conforme à la jurisprudence de la CJUE. L'AGS obtient le droit de communication standard (relevés téléphoniques, relevés de compte bancaire, etc.), cf. article 10 qui codifie le futur L3253‑17‑1 du Code du travail.

Ci-dessus, j'écris que ce pjl prévoit uniquement la collecte et l'utilisation de l'adresse IP de connexion aux sites web des organismes sociaux. Ces derniers utilisent l'adresse IP depuis bien longtemps.

En 2019, la CEDH a eu a connaître de cet usage dans le dossier 52319/22. Il s'agit bien de l'adresse IP de connexion au site web de la CAF pour en déduire la localisation et dont l'éligibilité au RSA. Point de récupération auprès d'un opérateur, car les organismes sociaux ne peuvent plus y procéder depuis la décision 2019-789 QPC du Conseil constitutionnel (détails ici).

La CEDH estime que cette ingérence dans la vie privée est prévue par un acte interne à la CAF relatif au téléservice RSA pris après avis de la CNIL, par les conditions générales d'utilisation (CGU) du site web CAF et par la politique de confidentialité dudit site, qu'elle poursuit un but légitime (prévention et lutte contre la fraude), et que les garanties sont suffisantes (collecte licite, loyale et transparente ; accès restreint aux agents CAF, minimisation, et la seule adresse IP, dont la CAF n retient que la localisation, ne permet pas de tirer des conclusions précises sur la vie d'une personne).

D'un point de vue RGPD, la base légale est 6(1)e : exécution mission d'intérêt public ou relevant de l'exercice de l'autorité publique, donc mission de service publique. Or, cette base légale peut être un peu faiblarde pour du contrôle des allocs, comparativement à une obligation légale clairement indiscutable.

Si la CEDH admet qu'une ingérence puisse être prévue par des actes de portée moindre que des actes législatifs, il est inhabituel qu'elle ait accepté les CGU du site web CAF.

C'est pour quoi je pense que le but des articles du pjl est de sécuriser juridiquement l'exploitation, par les organismes sociaux et France Travail, de leurs journaux d'accès à leurs sites web à des fins de contrôle. Pas de relevé téléphonique ni autres données de connexion obtenues auprès des opérateurs.

Les points intéressants de l'arrêt CEDH 52319/22 :

50 En l’état de la jurisprudence du Conseil constitutionnel, ainsi que des explications du Gouvernement, la Cour considère que seules les données bancaires du requérant, et non l’adresse IP de son ordinateur, ont fait l’objet d’un droit de communication aux agents de la Caf, au sens de l’article L. 114‑19 et suivants du CSS. Or, le grief tiré de l’article 8 de la Convention concernant la communication des données bancaires du requérant et des données de connexion y afférentes a été déclaré irrecevable par le Président de la Section siégeant en tant que juge unique (voir le préambule).

[…]

63 Le Gouvernement conclut à l’existence d’une base légale claire et prévisible de la mesure. Il se réfère aux dispositions du RGPD, à la délibération de la CNIL et à l’acte réglementaire du directeur de la Cnaf, ainsi qu’à la Convention 108 (paragraphes 27-28 et 35-37 et 34 ci-dessus). Il renvoie également aux conditions d’utilisation de l’espace « Mon compte » – un instrument juridique de nature contractuelle que chaque utilisateur s’engage à respecter – rappelées dans la rubrique « Informatique et libertés » du site web caf.fr (paragraphes 29-30 ci-dessus). Dans ces conditions, selon le Gouvernement, les personnes concernées sont informées du traitement de leurs données de connexion et le requérant ne pouvait ni alléguer que l’adresse IP de son ordinateur a été collectée à son insu, ni s’attendre à l’anonymat de l’adresse IP lorsqu’il s’était authentifié et connecté à son compte utilisateur.

[…]

72 Conformément à ladite délibération, le 9 mars 2017, le directeur de la Cnaf a adopté l’acte réglementaire relatif au site web caf.fr, contenant des dispositions précises, concernant notamment le traitement des adresses IP. En particulier, l’article 2 de l’acte réglementaire prévoit expressément le traitement des « données de connexion et des données techniques relatives aux traceurs et/ou témoins de connexion qui sont déposées sur l’ordinateur des personnes qui visitent le site » de la Caf. Les articles 3 et 4 prévoient, respectivement, la conservation et l’accès aux données personnelles. L’article 7 de l’acte règlementaire prévoit l’information des internautes relativement au traitement de leurs données personnelles lors de l’utilisation du téléservice (paragraphe 28 ci-dessus).

[…]

78 En l’espèce, la Cour relève, en premier lieu, que la donnée litigieuse – l’adresse IP, transformée en indication géographique « Autres pays », ne présente pas de caractère sensible et ne porte ni sur les aspects les plus intimes (voir, a contrario, Drelon, précité, § 95, les arrêts cités dans la décision L.F. c. France, précitée, § 34, ainsi que dans l’arrêt L.B. c. Hongrie, précité, § 119), ni sur les aspects particulièrement importants de l’existence ou de l’identité d’un individu (S. et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, § 102, CEDH 2008). Par ailleurs, cette donnée, en tant que telle, ne fournit pas d’« informations nombreuses et précises » sur le requérant (au sens du paragraphe 16 de la décision QPC du 14 juin 2019) et ne permet pas d’établir son profil détaillé par le traçage exhaustif de son parcours sur internet. Au contraire, il s’agit d’une information approximative de nature purement géographique, ne méritant pas, de l’avis de la Cour, de protection accrue. En effet, ainsi que le fait valoir le Gouvernement, la Cnaf ne procède pas à une collecte et une conservation généralisée des données de connexion des utilisateurs d’internet, contrairement à un fournisseur de communications électroniques.

Les malfaisants en matière de vie privée, dont la Commission européenne dans son projet législatif Digital omnibus (même si elle semble être revenue sur ce point), déforment ou, a minima, ont une lecture extensive / maximaliste, de l'arrêt C-413/23 (EDPS contre SRB aka CRU aka consortium de résolution) de la CJUE afin de réduire drastiquement ce que recouvre la notion de données à caractère personnel afin qu'un maximum de traitements, notamment les plus intrusifs, échappent au RGPD.

Rappel de la définition d'une donnée à caractère personnel (DCP). Cet arrêt de la CJUE ne revient pas sur le fait qu'une personne peut être identifiable sans qu'un responsable de traitement détienne son identité civile. Point 49 : une information est une DCP lorsqu'elle est liée à une personne identifiable fonction de son contenu, de sa finalité, ou de son effet.

L'analyse pointée expose en quoi cette position est infondée. En résumé :

• Dans le cas d'espèce jugé par la CJUE, les données étaient agrégées et réellement anonymes (l'identifiant portait sur un commentaire, pas sur une personne, et plusieurs commentaires similaires au sein d'une thématique avaient un même ID), loin de la pseudonymisation usuelle. Cas peu propice à la généralisation ;
  
  
• La réidentification reste contextuelle (quels moyens dans chaque cas), pas subjective (en fonction de l'entité) en absolu. L'arrêt de la CJUE doit être lu avec le reste de sa jurisprudence, qu'il confirme.

Voir aussi l'analyse moins accessible de noyb.

Le CEPD est retoqué sur l'affirmation que des données pseudonymisées sont toujours des données identifiantes, donc des DCP (point 80). Des données pseudonymisées transmises à un tiers peuvent permettre à ce denier de lever, directement ou indirectement (point 79), la pseudonymisation, y compris par recoupement, via des moyens raisonnables (moyens déraisonnables : illégaux ou coûteux), y compris en forçant légalement d'autres tiers. Ex. (point 84) : une mise à disposition d'une liste de plaque d'immatriculation peut permettre à autrui, qui disposent des moyens idoines (connaissance d'une plaque, accès au fichier de immatriculation, etc.), d'identifier une personne. Bref, la CJUE répète ce qu'on a toujours su.

De plus, l'information lors de la collecte, y compris des destinataires, ne dépend pas des possibilités d'identification dont disposerait un destinataire :

103 S’agissant, plus particulièrement de l’information relative aux éventuels destinataires des données à caractère personnel, visée à l’article 15, paragraphe 1, sous d), dudit règlement, il s’agit d’une information, à fournir parmi d’autres, lors de la collecte des données auprès de la personne concernée.

[…]

108 Dans ces conditions, il apparaît que l’obligation de fournir à la personne concernée – au moment de la collecte des données à caractère personnel en lien avec elle – l’information relative aux éventuels destinataires de ces données a notamment pour objectif de permettre à cette personne de décider en pleine connaissance de cause si elle fournit ou, au contraire, refuse de fournir ses données à caractère personnel collectées auprès d’elle.

109 Il convient d’ajouter que, comme la Commission l’a, en substance, soutenu lors de l’audience, l’information relative aux éventuels destinataires est, certes, également indispensable pour que la personne concernée puisse, ultérieurement, défendre ses droits à l’encontre de ces destinataires. Toutefois, l’obligation de fournir cette information au moment de la collecte des données à caractère personnel garantit, notamment, que ces données ne soient pas collectées par le responsable de traitement contre la volonté de la personne concernée, voire transférées contre son gré à des tiers.

[…]

113 […] En effet, ainsi qu’il ressort des points 102 à 108 du présent arrêt, cette disposition régit l’obligation d’information incombant au responsable du traitement au moment de la collecte de telles données. Or, la question de savoir si le responsable du traitement a, à ce moment, respecté son obligation d’information ne saurait dépendre des possibilités d’identification de la personne concernée, dont disposerait, le cas échéant, un éventuel destinataire après un transfert ultérieur des données en cause.

La CNIL se comporte comme un panneau publicitaire pour les assurances "cyber". Toute la charge est mise sur le dos des personnes, qui doivent adopter des réflexe et souscrire une assurance… 😡️

Et sanctionner toutes les entités qui se torchent avec la vie privée, non, toujours pas ?!

Madame T. a été engagée en qualité de vendeuse en juillet 2012 par une entreprise commerciale qui vend des vêtements de cérémonie et des robes de mariée. En 2018, elle a été licenciée pour "des manquements à ses obligations professionnelles, notamment des retards et des absences répétées et non justifiées perturbant le bon fonctionnement de l'entreprise, ainsi qu'un manque d'implication (...) dans la réalisation de ses tâches".

Elle estime au contraire que son licenciement est dépourvu de cause réelle et sérieuse, et constitue le point d'aboutissement d'un harcèlement moral durant depuis plusieurs années. Après une saisine des Prud'hommes, Madame T. obtient de la cour d'appel de Paris, le 20 mars 2024, la reconnaissance du harcèlement moral et la nullité du licenciement, ce que confirme la chambre sociale de la cour de cassation, dans un arrêt du 10 décembre 2025.

[…]

Précisément, dans la décision du 10 décembre 2025, l'employeur invoque une multitude d'autres griefs, Sa stratégie consiste, à l'évidence, à neutraliser l'accusation de harcèlement par la recherche de motifs dits "autonomes". Plusieurs arrêts rendus le même jour, le 24 septembre 2008, précisent toutefois que, dans une telle situation, l'employeur peut certes invoquer d'autres motifs, mais il doit démontrer à la fois qu'ils existent et qu'ils sont étrangers à tout harcèlement. Autrement, la preuve de l'absence de harcèlement lui incombe. En l'espèce, la chambre sociale observe que l'employeur n'apporte aucune preuve à l'appui des motifs invoqués. Au contraire, la situation de madame T. comme les témoignages des employés révèlent un "exercice anormal et abusif du pouvoir d'autorité, de direction, de contrôle et de sanction".

Cette formulation laisse entendre que le harcèlement constituait une politique de management et de gestion des ressources humaines. Madame T. n'en était pas la seule victime, et plusieurs témoignages sont venus accabler la direction. En l'espèce, les motifs autonomes de l'employeurs sont d'autant moins reçus que l'on se situe dans un contexte harcelant qui dépasse largement le cas de la requérante

[Lègère différence avec le harcèlement moral institutionnel à la France Telecom] Tel n'est pas tout à fait le cas dans celle où travaille madame T. Nous sommes plutôt confrontés à un harcèlement managérial, initié par des supérieurs hiérarchiques, petits chefs que la direction ne contrôle pas, ou refuse de contrôler.

Sans attendre l'arrêt de la chambre criminelle sur le harcèlement institutionnel de France Télécom, la chambre sociale s'était déjà engagée dans la voie de la sanction du harcèlement managérial. Dans un arrêt du 10 novembre 2009, elle avait ainsi admis que le harcèlement pouvait être le résultat de "méthodes de gestion". Par la suite, la notion de "harcèlement moral managérial" figure expressément dans une décision du 15 juin 2017.

#LLC

Le 28 novembre 2025, lors d'un échange à Mirecourt avec des lecteurs de la presse quotidienne régionale, le Président Macron a évoqué la création d'une nouvelle procédure de référé. Elle aurait pour objet de bloquer en urgence la diffusion de fausses informations sur les réseaux sociaux.

Les lecteurs de Liberté Libertés Chéries savent qu'un tel dispositif existe déjà, et que la procédure s'est révélée, à l'usage, d'une totale inefficacité. Ce n'est pas une difficulté pour le Président de la République qui pense que, pour lutter contre l'inefficacité d'une procédure, il suffit d'en élargir le champ d'application.

Trololo. 🤡️

#LLC

Jean-Noël Luc est professeur émérite à Sorbonne Université. Historien des forces de l'ordre et plus spécialement de la Gendarmerie, il est l'un des fondateurs d'une approche universitaire de ces études, aujourd'hui très développée.

#méga-bassines #LLC