La CNIL délivre son premier agrément pour la certification des compétences du délégué à la protection des données (DPO)

Par une délibération du 4 juillet 2019, la CNIL a délivré un agrément à une société en application de son référentiel d’agrément en matière de certification des compétences du DPO de septembre 2018. Cet agrément a été délivré pour une durée de 5 ans. A cette occasion, la CNIL a annoncé que ses prochains travaux en matière de certification "concerneront la formation en matière de protection des données personnelles".

  Pour lire le communiqué et la délibération de la CNIL

L’Information Commissioner’s Office (ICO) annonce son intention de sanctionner deux multinationales

Par deux déclarations publiées les 8 et 9 juillet 2019, l’autorité de contrôle pour la protection des données britannique a annoncé son intention de condamner une compagnie aérienne et une chaîne hôtelière pour manquements aux obligations de sécurité issues du RGPD. Ces amendes font suite à des incidents de sécurité ayant conduit à la fuite de centaines de millions de données personnelles concernant les clients des sociétés concernées. Le montant des amendes s’élève à plus de 183 millions et 99 millions de livres.

 Pour lire les déclarations sur le site de l’ICO (en anglais)

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Création d’un traitement automatisé de données personnelles relatif à la gestion des ressources humaines des agents de l’Etat

Par un décret du 19 juin 2019, a été créé un traitement de données ayant pour finalité “d'assurer la gestion administrative, financière et opérationnelle des ressources humaines de chaque administration de l'Etat, établissement public de l'Etat, autorité administrative indépendante, autorité publique indépendante et groupement d'intérêt public (…) ayant décidé d'y recourir”. Ce décret précise également les données traitées, leurs durées de conservation, les catégories de destinataires de ces données ainsi que les modalités d’exercice de leurs droits par les agents.

Pour lire le décret sur Légifrance.

Sanction de 20 000 euros à l’encontre d’une société ayant placé ses salariés sous surveillance constante

Par une délibération du 13 juin 2019, la Cnil a prononcé une amende administrative de 20 000 euros à l’encontre d’une société pour avoir placé un ses salariés sous surveillance permanente via un dispositif de vidéosurveillance sans qu’aucune circonstance exceptionnelle ne le justifie. La Cnil a ainsi rappelé que “si la surveillance de zones sensibles [pouvait] être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne [pouvait] toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir”.

Pour lire la délibération de la Cnil sur Légifrance

Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Un gendarme sanctionné pour consultation de fichiers à des fins personnelles sans justification

Un gendarme s’était vu infliger quinze jours d’arrêts pour avoir consulté des fichiers de la gendarmerie et des fiches individuelles de renseignement à des fins personnelles. Par une décision du 24 avril 2019, le Conseil d’Etat a confirmé la sanction prononcée à l’encontre du requérant considérant qu’”il ressort[ait] des pièces du dossier que la consultation par [le requérant], à des fins personnelles, des fichiers (…) pour rechercher des informations concernant l’employeur de sa fille ainsi que plusieurs autres personnes constitu[ait] un détournement de la finalité d’un traitement de données à caractère personnel” et qu’“un tel manquement [était] constitutif d’une faute de nature à justifier une sanction disciplinaire, indépendamment des suites réservées aux procédures judiciaires éventuellement engagées”.

Pour lire la décision sur Légalis.net

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net