Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Un gendarme sanctionné pour consultation de fichiers à des fins personnelles sans justification

Un gendarme s’était vu infliger quinze jours d’arrêts pour avoir consulté des fichiers de la gendarmerie et des fiches individuelles de renseignement à des fins personnelles. Par une décision du 24 avril 2019, le Conseil d’Etat a confirmé la sanction prononcée à l’encontre du requérant considérant qu’”il ressort[ait] des pièces du dossier que la consultation par [le requérant], à des fins personnelles, des fichiers (…) pour rechercher des informations concernant l’employeur de sa fille ainsi que plusieurs autres personnes constitu[ait] un détournement de la finalité d’un traitement de données à caractère personnel” et qu’“un tel manquement [était] constitutif d’une faute de nature à justifier une sanction disciplinaire, indépendamment des suites réservées aux procédures judiciaires éventuellement engagées”.

Pour lire la décision sur Légalis.net

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net

La Cour d’appel de Paris condamne un auteur pour contrefaçon du titre d’un ouvrage

A la suite de vérifications en ligne, la CNIL avait constaté que les données personnelles des clients d’une enseigne d’optique étaient librement accessibles sur son site internet. Deux jours après avoir été alertée par la CNIL, la société avait corrigé le défaut de sécurité. Par un arrêt du 17 avril 2019, le Conseil d’Etat a jugé qu’“en retenant une sanction pécuniaire d’un montant de 250 000 euros sans prendre en compte la célérité avec laquelle la société (…) a apporté les mesures correctrices de nature à remédier aux manquements constatés, la formation restreinte de la CNIL a infligé à cette société une sanction disproportionnée”. Le Conseil d’Etat a ainsi ramené le montant de la sanction a 200.000 euros.

Pour lire l’arrêt sur Légalis.net

Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL

La CNIL présente son rapport d’activité pour 2018 et les enjeux pour 2019

Le 15 avril 2019, la CNIL a présenté le bilan de son activité de l’année 2018 et sa stratégie de contrôle pour 2019. Elle a ainsi indiqué vouloir articuler son action autour de la pédagogie et la dissuasion. La CNIL a également annoncé “concentrer son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD” telles que “la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre” et “les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Pour lire le communiqué de presse et le rapport annuel de la CNIL

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

Le Conseil d’Etat précise la notion de motif légitime invoqué à l’appui d’une demande d’opposition à l’enregistrement et à la conservation de données

Un inspecteur d’académie avait rejeté l’opposition, formée par la mère de deux élèves, à l’enregistrement et la conservation des données personnelles de ses enfants dans deux bases de données. Par un arrêt du 18 mars 2019, le Conseil d’Etat a rejeté le recours de la requérante, précisant que ce droit d’opposition était “subordonné à l'existence de raisons légitimes tenant de manière prépondérante à sa situation particulière”. Il a ainsi approuvé la Cour administrative d’appel qui avait relevé que “pour faire opposition au traitement des données concernant ses enfants, [la requérante] se bornait à invoquer des craintes d'ordre général (…) sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants”.

Pour lire l’arrêt sur Légifrance