GuiGui's Show

Délibération SAN-2025-017.

L'association Pour un RGPD respecté puis la presse ont immédiatement identifié, en recoupant les infos de la décision avec celles publiquement disponibles, qu'il s'agit d'Intersport (qui a repris Go Sport, d'ailleurs).

Il y a fort à parier que la conclusion que la CNIL tirera de cet épisode sera une moindre publication de ses décisions. 🙁️ Alors que le public a le droit de savoir, ne serait-ce que pour déterminer s'il est impacté par une mauvaise pratique, s'il doit entreprendre des démarches (comme stopper sa relation avec l'entité fautive ou ne pas entrer en relation avec elle), et pour permettre une saine concurrence.

Intéressant :

La CNIL a relevé que l’information fournie sur le site web de la société était imprécise, en particulier parce qu’elle ne liait pas clairement les finalités des traitements aux bases légales correspondantes. L’information était également incomplète sur certains points (absence de mention relative à la finalité du traitement de publicité ciblée et à la durée de conservation des données des adhérents au programme de fidélité) et/ou erronée (l’information relative au transfert des données renvoyant au bouclier de protection des données « », qui n’est plus en vigueur).

Association entre finalités et bases légales.

An investigation into data flows at the Austrian credit agency CRIF has shed further light on the matter: most of the address data in the CRIF database comes from address brokers AZ Direct (Bertelsmann Group), Compass-Verlag and DPIT in Vienna. But where do these address traders get their data from? A new noyb evaluation involving more than 2,400 affected individuals shows that they access public registers such as the company and land registers, the register of associations and the Business Information System (GISA) which was introduced in 2015. Compass also lists the chamber of commerce (WKO) as a data source. However, it remains unclear where AZ Direct (CRIF’s largest data supplier) obtains its data. AZ Direct says it does not know where it got the data on 7 million people in Austria.

[…]

Government does nothing to combat ‘scraping’ of public registers? Public registers are indispensable in a well-administered state of law (e.g. to check whether someone has a business licence or is the owner of a property). In the past, this had to be done manually. Thanks to digitalisation, most registers are now also available online – but apparently often without sufficient protection against large-scale ‘scraping’. Basic protective measures such as captchas, query limits per IP address, or terms and conditions that clearly stipulate that data may only be used for specific purposes (e.g. to verify a trade, ownership, or power of representation) seem to be lacking.

The law is clear: public registers are subject to ‘purpose limitation’. Not only is it obvious that this commercial reuse is not in the public interest, it also violates the GDPR principle of ‘purpose limitation’ in Article 5(1)(b) GDPR. The Austrian Data Protection Authority (DSB) has already decided with regard to the Registry of Deeds that, for example, further processing for advertising purposes violates the GDPR. The well-known CJEU ruling on the ‘right to be forgotten’ also concerned legally published data, which, however, could not simply be reused by Google Search.

Max Schrems: “Just because data is publicly available does not mean it can be used for any purpose. You cannot simply film people on a public street for your own purposes.”

Détournement de finalité / mésusage des registres de transparence (registre des sociétés, registre des associations, registre des propriétés). Dingue parce que, en parallèle, d'après la CJUE, les registre des bénéficiaires effectifs ne peuvent pas être ouverts au public.

Le merdier de la compilation et revente de données à caractère personnel par des courtiers / data brokers… Impressionnant. Tout ça pour de la notation en vue d'un crédit…

La procureure de la République, saisie par Eric Coquerel, estime que l’ex-secrétaire général de l’Elysée ne commet aucune infraction en séchant la commission d’enquête sur le dérapage budgétaire.
[…]
Alexis Kohler a également rejeté d’un revers de main la convocation de la commission d’enquête sénatoriale sur les eaux en bouteille.

Trololololo. C'est bien d'avoir des lois, c'est mieux de les appliquer.

Dans un arrêt du 30 décembre 2025, le Conseil d'État confirme la légalité du décret de publication de l'accord franco-britannique relatif à la prévention des traversées périlleuses, c'est-à-dire celles effectuées par des migrants sur des embarcations de fortune. […] L'accord a été publié par un décret du 11 août 2025 […]

[…]

La question posée est donc de nature constitutionnelle. L'accord entre-t-il dans le champ de l'article 53, imposant une autorisation législative avant la ratification ? Pour répondre à cette question, il faut se demander s'il modifie des dispositions législatives ou s'il touche à une matière réservée à la loi. Si c'est le cas, le décret de publication est illégal.

La recevabilité du recours pour excès de pouvoir contre un décret de publication d’un accord international est admise de longue date. Dans son arrêt SARL du parc d'activités de Blotzheim du 18 décembre 1998, l'assemblée du Conseil d'État acceptait déjà de contrôler si un accord entrait dans le champ de l'article 53, sa ratification devant alors nécessiter l'intervention du parlement.

Sur ce point, la décision s'inscrit dans une jurisprudence, selon laquelle un accord international ne modifie par la loi au sens de l'article 53, lorsqu'il s'insère dans un cadre normatif déjà ouvert à l'intervention réglementaire. Selon l'arrêt du 9 juillet 2010 Cheriet-Benseghir, un tel accord n'édicte pas de règle nouvelle de niveau législatif, mais active une faculté que la loi avait elle-même autorisée.

Le moyen principal invoqué par les associations requérantes consiste à soutenir que l'accord franco-britannique déroge aux règles législatives fixées dans le code de l'entrée et du séjour des étrangers et du droit d'asile (Ceseda). Relevant du domaine de la loi, l'accord devrait donc être ratifié ou approuvé par la voie parlementaire. Mais ce moyen est écarté par le Conseil d'État, qui considère que les dispositions législatives du Ceseda n'empêchent pas le pouvoir réglementaire de disposer d'une large marge d'appréciation pour organiser des aménagements, voire des exceptions.

L'accord relatif à la prévention des traversées périlleuses n'empiète donc pas sur le domaine de la loi, notamment "les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques". Pour le juge, l'accord franco-britannique se borne à organiser la coopération administrative en matière d'entrée sur le territoire, sans modifier les conditions d'exercice du droit d'asile, de la liberté individuelle ou du droit au respect de la vie privée. […]

La conséquence de cette analyse est que l'accord franco-britannique n'entre pas dans les catégories visées par l'article 53 et pouvait donc être publié par décret. Par voie de conséquence, le Conseil d'État écarte également la demande de suspension formulée en référé.

Le décret n'est pas pour autant transparent, au point de permettre l'examen de la conformité de l'accord à la Constitution ou aux engagements internationaux de la France. Ce principe figurait déjà dans les décisions du 30 octobre 1998 Sarran et Levacher et du 11 avril 2012 Gisti. Les moyens fondés sur la méconnaissance de la convention européenne des droits de l'homme ou de la convention internationale des droits de l'enfant sont donc déclarés inopérants.

[…]

Il est vrai que la décision peut être critiquée, car une procédure de réadmission one in, one out a évidemment des conséquences sur les parcours des demandeurs d'asile et la situation familiale des migrants, même si l'accord n'en précise pas exactement le régime. En revanche, la décision a finalement des conséquences relativement limitées, car le contrôle est seulement déplacé vers les décisions individuelles de réadmission, de refus d'entrée, de placement en détention ou de refus de droit d'asile. Ces décisions ont toujours constitué le terrain privilégié du contentieux des droits et libertés des étrangers. Sur ce plan rien n'est changé et le Conseil d'État sera sans doute appelé à statuer sur ces décisions individuelles d'exécution.

#LLC

Un projet de loi de « lutte contre les fraudes sociales et fiscales » est débattu en ce moment à l’Assemblée nationale, après une première lecture au Sénat. Ce texte prévoit d’augmenter les pouvoirs d’enquête pour le contrôle des prestations sociales, en élargissant notamment l’accès aux fichiers des administrations et organismes privés. Il illustre les dérives des politiques de « lutte contre la fraude sociale » qui, en 20 ans, ont démultiplié les capacités de contrôle et de surveillance des administrations sociales. Revenons sur le contexte général de l’accès aux données des administrations avant d’expliquer en quoi ce projet de loi est un danger.

Suivi de ce projet de loi. En avril 2026, la Commission mixte paritaire (CMP) a été convoquée.

Contrairement à ce que relaient LQDN et la presse, dont l'Huma, mon analyse des articles 13 bis AA (codifiant les futurs articles 16-12-1 et 16-12-2 du Code de la sécurité sociale) et 28 (codifiant les futurs 5312-16 et 5312-17 du Code du travail) est que France Travail (et les organismes sociaux) n'auront pas accès aux données de connexion auprès des opérateurs, dont les relevés téléphoniques, mais uniquement la possibilité de traiter, pour une finalité de contrôle, lesdites données dont il dispose déjà, c'est-à-dire l'adresse IP à partir de laquelle les formalités déclaratives obligatoires (ex. l'actualisation France Travail) sont accomplies. Données qui sont déjà traitées, mais sur une base légale discutable.

Au-delà des données de connexion, les mêmes articles octroient à FT (et aux organismes sociaux) un accès aux registres électoraux des Français établis hors de France. Toujours à des fins de contrôle.

Notons que l'Assemblée nationale a retiré l'accès de France Travail (et des organismes sociaux) au Passenger Name Record (PNR) voulu par le Sénat. Depuis le début, il m'était évident que ça n'est pas conforme à la jurisprudence de la CJUE.

Les malfaisants en matière de vie privée, dont la Commission européenne dans son projet législatif Digital omnibus (même si elle semble être revenue sur ce point), déforment ou, a minima, ont une lecture extensive / maximaliste, de l'arrêt C-413/23 (EDPS contre SRB aka CRU aka consortium de résolution) de la CJUE afin de réduire drastiquement ce que recouvre la notion de données à caractère personnel afin qu'un maximum de traitements, notamment les plus intrusifs, échappent au RGPD.

Cette analyse expose en quoi cette position est infondée. En résumé :

• Dans le cas d'espèce jugé par la CJUE, les données étaient agrégées et réellement anonyme (l'identifiant portait sur un commentaire, pas sur une personne, et plusieurs commentaires similaires au sein d'une thématique avaient un même ID), loin de la pseudonymisation usuelle. Cas peu propice à la généralisation ;
  
  
• La réidentification reste contextuelle (quels moyens dans chaque cas), pas subjective (en fonction de l'entité) en absolu. L'arrêt de la CJUE doit être lu avec le reste de sa jurisprudence, qu'il confirme.

Voir aussi l'analyse moins accessible de noyb.

La CNIL se comporte comme un panneau publicitaire pour les assurances "cyber". Toute la charge est mise sur le dos des personnes, qui doivent adopter des réflexe et souscrire une assurance… 😡️

Et sanctionner toutes les entités qui se torchent avec la vie privée, non, toujours pas ?!

Madame T. a été engagée en qualité de vendeuse en juillet 2012 par une entreprise commerciale qui vend des vêtements de cérémonie et des robes de mariée. En 2018, elle a été licenciée pour "des manquements à ses obligations professionnelles, notamment des retards et des absences répétées et non justifiées perturbant le bon fonctionnement de l'entreprise, ainsi qu'un manque d'implication (...) dans la réalisation de ses tâches".

Elle estime au contraire que son licenciement est dépourvu de cause réelle et sérieuse, et constitue le point d'aboutissement d'un harcèlement moral durant depuis plusieurs années. Après une saisine des Prud'hommes, Madame T. obtient de la cour d'appel de Paris, le 20 mars 2024, la reconnaissance du harcèlement moral et la nullité du licenciement, ce que confirme la chambre sociale de la cour de cassation, dans un arrêt du 10 décembre 2025.

[…]

Précisément, dans la décision du 10 décembre 2025, l'employeur invoque une multitude d'autres griefs, Sa stratégie consiste, à l'évidence, à neutraliser l'accusation de harcèlement par la recherche de motifs dits "autonomes". Plusieurs arrêts rendus le même jour, le 24 septembre 2008, précisent toutefois que, dans une telle situation, l'employeur peut certes invoquer d'autres motifs, mais il doit démontrer à la fois qu'ils existent et qu'ils sont étrangers à tout harcèlement. Autrement, la preuve de l'absence de harcèlement lui incombe. En l'espèce, la chambre sociale observe que l'employeur n'apporte aucune preuve à l'appui des motifs invoqués. Au contraire, la situation de madame T. comme les témoignages des employés révèlent un "exercice anormal et abusif du pouvoir d'autorité, de direction, de contrôle et de sanction".

Cette formulation laisse entendre que le harcèlement constituait une politique de management et de gestion des ressources humaines. Madame T. n'en était pas la seule victime, et plusieurs témoignages sont venus accabler la direction. En l'espèce, les motifs autonomes de l'employeurs sont d'autant moins reçus que l'on se situe dans un contexte harcelant qui dépasse largement le cas de la requérante

[Lègère différence avec le harcèlement moral institutionnel à la France Telecom] Tel n'est pas tout à fait le cas dans celle où travaille madame T. Nous sommes plutôt confrontés à un harcèlement managérial, initié par des supérieurs hiérarchiques, petits chefs que la direction ne contrôle pas, ou refuse de contrôler.

Sans attendre l'arrêt de la chambre criminelle sur le harcèlement institutionnel de France Télécom, la chambre sociale s'était déjà engagée dans la voie de la sanction du harcèlement managérial. Dans un arrêt du 10 novembre 2009, elle avait ainsi admis que le harcèlement pouvait être le résultat de "méthodes de gestion". Par la suite, la notion de "harcèlement moral managérial" figure expressément dans une décision du 15 juin 2017.

#LLC

Le 28 novembre 2025, lors d'un échange à Mirecourt avec des lecteurs de la presse quotidienne régionale, le Président Macron a évoqué la création d'une nouvelle procédure de référé. Elle aurait pour objet de bloquer en urgence la diffusion de fausses informations sur les réseaux sociaux.

Les lecteurs de Liberté Libertés Chéries savent qu'un tel dispositif existe déjà, et que la procédure s'est révélée, à l'usage, d'une totale inefficacité. Ce n'est pas une difficulté pour le Président de la République qui pense que, pour lutter contre l'inefficacité d'une procédure, il suffit d'en élargir le champ d'application.

Trololo. 🤡️

#LLC

Jean-Noël Luc est professeur émérite à Sorbonne Université. Historien des forces de l'ordre et plus spécialement de la Gendarmerie, il est l'un des fondateurs d'une approche universitaire de ces études, aujourd'hui très développée.

#méga-bassines #LLC