Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Examen d’une application mobile de sécurité par la CNIL

La CNIL, réunie en séance plénière, a examiné le 15 mars 2018 un projet de la ville de Nice consistant en la mise en place d’une application permettant aux utilisateurs de signaler à la police municipale des incivilités graves ou des “‘situations critiques’ (…) en transmettant en direct aucentre de supervision urbain’ la localisation géographique (…) accompagnée d’un enregistrement vidéo et sonore”. La Commission a indiqué qu’“au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, (…) il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique” et a par ailleurs conclu que “la proportionnalité du dispositif (…) n’était en l’état pas garantie”.

Pour lire l’article de la CNIL

Mise en demeure d’un établissement public pour manquement à l’obligation de sécurité des données

Par une décision du 8 février 2018, la CNIL a mis la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) en demeure de se conformer à la Loi informatique et libertés, après avoir relevé qu’elle ne respectait pas son article 34 sur la sécurité et la confidentialité des données. La CNIL reproche à la CNAMTS de “multiples insuffisances” à ce titre, en ce qui concerne notamment “la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs […] et par des prestataires, la sécurité des postes de travail des utilisateurs”. Elle dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Lignes directrices du G29 sur les notifications de violations de données personnelles

Le 6 février 2018, le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a clarifié la notion de violation de données en distinguant trois catégories de violation : la violation de la confidentialité, celle de l’intégrité et celle de la disponibilité des données. Le G29 a également précisé que la prise de connaissance de la violation par le responsable de traitement, constituant le point de départ du délai pour notifier, devrait être établie dès lors qu’il présente un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.

Pour lire les lignes directrices du G29 (en anglais)

Nécessité d’une appréciation concrète sur le bien-fondé d’une demande de déréférencement

Il avait été ordonné à Google Inc. de supprimer des liens conduisant à deux adresses URL lors de recherches opérées avec les nom et prénom du demandeur sur son moteur de recherche. Google Inc. reprochait à la Cour d’appel de lui avoir également enjoint de supprimer les liens conduisant, lors de recherches opérées dans les mêmes conditions, à toute adresse URL identifiée et signalée par le demandeur comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception de ce signalement. Dans un arrêt du 14 février 2018, la Cour de Cassation a considéré qu’en “prononçant ainsi une injonction d’ordre général”, la Cour d’appel n’avait pas procédé, “comme il le lui incombait, à la mise en balance des intérêts en présence”, et à l’appréciation du bien-fondé de la demande de déréférencement.

Pour lire l’arrêt de la Cour de Cassation

Publication par la CNIL d’un guide sur la sécurité des données personnelles

Le 23 janvier 2018, la CNIL a annoncé avoir publié un guide pour rappeler aux responsables de traitement et sous-traitants "les précautions élémentaires à mettre en œuvre de façon systématique" dans le cadre d’une gestion des risques. À ce titre, la CNIL recommande de "recenser les traitements de données à caractère personnel", "apprécier les risques engendrés par chaque traitement", "mettre en œuvre et vérifier les mesures prévues" et enfin de "faire réaliser des audits de sécurité périodiques".

Pour lire le communiqué et le guide de la CNIL

Sanction par la CNIL d’un responsable de traitement pour manquement à l’obligation de sécurité

Dans une délibération du 8 janvier 2018, la formation restreinte de la CNIL a prononcé à l’encontre d’une société spécialisée dans la vente d’appareils électroménagers une sanction pécuniaire de 100 000 euros et la publicité de sa décision pour manquement à l’obligation d’assurer la sécurité des données de clients, après l’avoir qualifiée de responsable de traitement au motif notamment que si le traitement était mis en œuvre par un sous-traitant, il avait une “finalité unique de suivi des demandes de service après-vente adressées à cette société”.

Pour lire la délibération de la CNIL

Mise en demeure d’une société par la CNIL pour absence de base légale du traitement mis en œuvre

Suite à une décision rendue par sa Présidente en 2016, une délégation de la CNIL a procédé à trois contrôles en ligne d’une société américaine exploitant une application mobile en France. Dans une décision du 27 novembre 2017, elle l’a mise en demeure de se conformer à la loi Informatique et Libertés après avoir constaté plusieurs manquements, notamment une absence de base légale pour la  transmission aux "sociétés de la famille Facebook" des données des utilisateurs, le consentement de ces derniers ne pouvant être considéré comme "valablement recueilli par la société, faute d’être libre et spécifique".

Pour lire la décision de la CNIL

Avis de la CNIL sur le projet de loi d’adaptation du droit national au droit de l’UE

Après avoir été saisie par la Ministre de la Justice, la CNIL a rendu le 30 novembre 2017 une délibération portant avis sur le projet de loi visant à mettre en conformité le droit national avec le paquet européen de protection des données comprenant le Règlement Général sur la Protection des Données (RGPD) et la directive du 27 avril 2016 relative aux traitements de données personnelles dans la sphère pénale. Ainsi, selon la CNIL, bien que "le projet (…) rempli[sse] globalement [cet] objectif principal" et "semble faire un usage raisonnable [des marges de manœuvre ouvertes aux États par le Règlement]", il y a un "risque réel de non-respect des délais de mise en œuvre du paquet européen".

Pour lire la délibération de la CNIL