La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

L’administrateur d’une page Facebook coresponsable de traitement avec Facebook Ireland

Par un arrêt du 5 juin 2018, la CJUE, statuant sur une question préjudicielle du juge allemand dans le cadre d’un litige opposant une société spécialisée dans le domaine de l’éducation à une autorité régionale allemande de protection des données qui lui avait fait injonction de désactiver sa “page fan” hébergée sur Facebook, a jugé que la société, en tant qu’“administrateur d’une page fan hébergée sur Facebook (…), particip[ait], par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan” de sorte qu’elle devait être “qualifié[e] de responsable (…), conjointement avec Facebook Ireland, de ce traitement”.

Pour lire l’arrêt de la CJUE

Rapport d’activité 2017 de la « personnalité qualifiée » désignée par la CNIL

Le 30 mai 2018, la personnalité qualifiée désignée par la CNIL afin de contrôler les demandes formulées par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), autorité compétente pour prendre des mesures de blocage administratif, a présenté son rapport d’activité pour l’année 2017. Elle est revenue à cette occasion sur l’augmentation importante du nombre de demandes formulées par l’Office notamment en matière de retrait de contenus à caractère terroriste, représentant plus de 85% des contrôles opérés, ainsi que sur les quatre saisines de la juridiction administrative qu’elle a effectuées pour la première fois aux fins de suspension et d’annulation de mesures de retrait et de déréférencement de contenus prises par l’Office.

Pour lire le rapport d’activité de la « personnalité qualifiée » désignée par la CNIL

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Examen d’une application mobile de sécurité par la CNIL

La CNIL, réunie en séance plénière, a examiné le 15 mars 2018 un projet de la ville de Nice consistant en la mise en place d’une application permettant aux utilisateurs de signaler à la police municipale des incivilités graves ou des “‘situations critiques’ (…) en transmettant en direct aucentre de supervision urbain’ la localisation géographique (…) accompagnée d’un enregistrement vidéo et sonore”. La Commission a indiqué qu’“au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, (…) il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique” et a par ailleurs conclu que “la proportionnalité du dispositif (…) n’était en l’état pas garantie”.

Pour lire l’article de la CNIL

Mise en demeure d’un établissement public pour manquement à l’obligation de sécurité des données

Par une décision du 8 février 2018, la CNIL a mis la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) en demeure de se conformer à la Loi informatique et libertés, après avoir relevé qu’elle ne respectait pas son article 34 sur la sécurité et la confidentialité des données. La CNIL reproche à la CNAMTS de “multiples insuffisances” à ce titre, en ce qui concerne notamment “la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs […] et par des prestataires, la sécurité des postes de travail des utilisateurs”. Elle dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Absence d’atteinte à la vie privée par l’ouverture de fichiers d’un employé non identifiés comme privés

Une personne avait sollicité que son licenciement, prononcé sur le fondement de fichiers figurant sur le disque dur de son ordinateur professionnel, soit déclaré dénué de cause réelle et sérieuse, au motif que l’ouverture de ces fichiers par son employeur en son absence avait porté atteinte à sa vie privée. Dans un arrêt du 22 février 2018, la Cour européenne des droits de l’homme, saisie suite au rejet de cette demande par le juge français, a jugé qu’il n’y avait pas eu atteinte à la vie privée au sens de l’article 8 de la CEDH, considérant que les fichiers litigieux n’avaient pas été clairement identifiés comme privés, alors qu’il était prévu dans la charte utilisateur que "les informations à caractère privé [devaient] être clairement identifiées comme telles".

Pour lire l’arrêt de la Cour européenne des droits de l’homme

Lignes directrices du G29 sur le profilage et les décisions individuelles automatisées

Le 6 février 2018, le G29 a adopté la version révisée de ses lignes directrices sur le profilage et les décisions individuelles automatisées, dont le régime est prévu par l’article 22 du RGPD. En distinguant les notions de “profilage”, “décision fondée sur le profilage” et “décision exclusivement automatisée produisant des effets juridiques ou d’importance similaire”, le G29 précise que le régime prévu par l’article 22 du RGPD s’applique exclusivement à ce dernier type de décision. Le G29 aborde également la question de la publicité ciblée en ligne, qui pourrait dans certains cas être soumise à cet article.

Pour lire les lignes directrices du G29 (en anglais)

Lignes directrices du G29 sur les notifications de violations de données personnelles

Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.

Pour lire les lignes directrices du G29 (en anglais)