Jouets connectés : mise en demeure d’une société pour atteinte d’une particulière gravité à la vie privée

Suite à une plainte d’une association de consommateurs, la CNIL a procédé à des contrôles en ligne de jouets connectés distribués par une société chinoise en France. Dans une décision du 20 novembre 2017, elle a mis cette société en demeure de se conformer à la loi Informatique et Libertés ainsi qu’à la réglementation sur le respect de la vie privée, ayant constaté plusieurs manquements, notamment une absence de sécurisation des données et d’information des personnes. La CNIL a ajouté que "l’atteinte à la vie privée [était] d’une particulière gravité en ce qu’elle concern[ait] un public vulnérable à savoir des enfants".

Pour lire la délibération de la CNIL

Mise en garde de la CNIL sur des messages de « mise en conformité »

Dans un communiqué de presse du 24 novembre 2017, la CNIL a émis une mise en garde suite à la réception, par plusieurs entreprises, par fax et par téléphone, de "messages pour une « mise en conformité » avec le règlement européen sur la protection des données personnelles ( dit « RGPD »)". La CNIL a souligné que ces messages n’émanaient pas d’elle et qu’ils pouvaient avoir pour finalité de "faire appeler un numéro de téléphone surtaxé, de (…) faire signer un engagement frauduleux (…) ou de collecter des informations sur [l’]organisation [des entreprises concernées] pour préparer une escroquerie ou une attaque informatique".

Pour lire le communiqué de presse de la CNIL

Manquement à l’obligation de sécurité d’un éditeur de sites de démarches administratives en ligne

Après avoir "été alertée[s] par l’éditeur d’un site web (…) de la découverte d’un incident de sécurité sur [plusieurs sites de démarches administratives en ligne]", les délégations de la CNIL ont réalisé plusieurs contrôles, à l’issue desquels elles "ont constaté qu’en modifiant les derniers numéros [des adresses URL des sites concernés], correspondant à l’identifiant attribué à une démarche, les informations renseignées par d’autres utilisateurs du site étaient accessibles". Dans une délibération du 16 novembre 2017, la formation restreinte de la CNIL a prononcé à l’encontre de la société éditrice des sites concernés une sanction pécuniaire de 25 000 euros ainsi que la publicité de sa décision.

Pour lire la délibération sur Légifrance

Audit international de 455 sites internet et applications mobiles

Le 24 octobre 2017, la CNIL a publié les résultats d’un audit réalisé dans le cadre du "Sweep Day 2017" par les "autorités de protection des données membres du Global Privacy Enforcement Network", et mené sur 455 sites internet et applications mobiles de différents secteurs, afin de vérifier "la qualité de l’information délivrée aux personnes". Au niveau national, la CNIL a concentré son audit sur les domaines du voyage et de la vente en ligne, constatant notamment que "82% des sites et applications inform[ai]ent insuffisamment les personnes sur la nature des données transmises à des tiers et sur l’identité de ces derniers". Il a permis aux autorités "de se préparer aux futures opérations conjointes qui pourront être réalisées (…) une fois le règlement européen sur la protection des données applicable".

 Pour lire le communiqué de presse de la CNIL

RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Lutte contre la fraude fiscale : établissement d’une liste de personnes sous conditions

Dans un arrêt du 27 septembre 2017, la CJUE a dû répondre à une question préjudicielle posée dans le cadre d’un litige opposant un particulier à la direction des finances de la République slovaque et au bureau de lutte contre la criminalité financière. En l’espèce, la direction des finances avait établi une liste de personnes considérées comme servant de prête-noms dans le cadre de la perception de l’impôt, et ce sans leur consentement. La Cour a considéré que l’article 7, sous e), de la directive relative aux données personnelles ne s’opposait pas à un tel traitement dans le cadre de la lutte contre la fraude fiscale, à la condition que les autorités “aient été investies de missions d’intérêt public (…), que l’établissement de cette liste et l’inscription sur celle-ci (…) soient aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste”. Les conditions de licéité d’un tel traitement doivent aussi être respectées.

Pour lire l’arrêt de la CJUE

Admission Post-Bac (APB) : mise en demeure pour plusieurs manquements

Saisie d’une plainte dénonçant la mise en œuvre par le ministère de l’Éducation Nationale, sur le portail APB, d’un traitement automatisé de données à caractère personnel contraire à la loi Informatique et Libertés à divers égards, la CNIL a procédé à une mission de contrôle dans les locaux de l’Institut national polytechnique de Toulouse. Ce contrôle a effectivement révélé plusieurs manquements, notamment à “l’interdiction de prendre une décision produisant des effets juridiques sur le seul fondement d’un traitement automatisé”, à l’obligation d’information et de respect du droit d’accès, ou encore d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant. Dès lors, par une décision du 30 août 2017, la CNIL a mis en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation, de prendre, sous un délai de trois mois, plusieurs mesures afin de faire cesser lesdits manquements.

Pour lire la décision sur Légifrance

Consultation du fichier de traitement d’antécédents judiciaires : annulation d’une décision administrative pour non-respect de la procédure

Le gérant d’une société privée de sécurité ainsi que ladite société avaient demandé au Tribunal administratif de Lille d’annuler pour excès de pouvoir les décisions par lesquelles leur avait été refusé le renouvellement de leurs agrément et autorisation nécessaires à l’exercice de leur activité. Dans un arrêt du 13 juillet 2017, la Cour administrative d’appel de Douai a annulé les jugements du Tribunal administratif de Lille rejetant cette demande. Elle a en effet relevé qu’il ne ressortait pas des pièces du dossier que “la consultation [du fichier relatif au traitement des antécédents judiciaires] réalisée dans le cadre de l’enquête administrative pour l’instruction de la demande [du gérant avait] été faite dans des conditions régulières par un agent habilité”, irrégularité qui avait porté atteinte à la garantie liée à la protection des données et de la vie privée. Considérant que cette consultation irrégulière avait exercé une influence sur le sens du refus de renouvellement de l’agrément sollicité”, la Cour a estimé que le gérant était fondé à demander l’annulation pour excès de pouvoir de ce refus de renouvellement.

Pour lire l’arrêt sur Légifrance

Questions préjudicielles sur le droit au déréférencement

Par une décision du 19 juillet 2017, le Conseil d’État a saisi la Cour de justice de l’Union européenne de trois questions préjudicielles relatives à la mise en œuvre du droit au déréférencement. En l’espèce, la société Google Inc. sollicitait l’annulation d’une délibération du 10 mars 2016 par laquelle la CNIL l’avait sanctionnée pour n’avoir pas, faisant droit à une demande de déréférencement, mis en œuvre la suppression des liens litigieux sur toutes les extensions de son moteur de recherche. La première question préjudicielle porte donc sur le point de savoir si le déréférencement doit être opéré “sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche est lancée (…), y compris hors du champ d’application territorial (…) du droit de l’Union européenne”. La seconde question, n’intervenant qu’en cas de réponse négative à la première, a également trait à la portée du droit au déréférencement. La troisième porte quant à elle sur la question de l’utilisation de la technique du “géo-blocage” dans la mise en œuvre d’un déréférencement.

Pour lire la décision sur Légifrance

Clôture d’une mise en demeure pour mise en conformité à la loi Informatique et Libertés

Par une décision du 27 juin 2017, la CNIL a clôturé une mise en demeure publique initiée un an auparavant à l’encontre de Microsoft, suite au lancement de Windows 10. En l’espèce, elle a notamment relevé que “la société [avait] réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre”, que “les utilisateurs [étaient] désormais informés, par une mention claire et précise, qu’un identifiant publicitaire [avait] vocation à suivre leur navigation pour leur proposer de la publicité ciblée”, et que “la société [avait] renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte (…) les combinaisons trop communes [étant] désormais refusées”.

Pour lire le communiqué de presse et la décision de la CNIL