Autorisation de systèmes d’authentification par reconnaissance vocale à titre expérimental

Par neuf délibérations en date du 27 avril 2017, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre de manière expérimentale, pour une durée d’un an et sur un périmètre restreint, un mécanisme d’authentification de leurs clients par la reconnaissance vocale. Les objectifs sont notamment de “sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité »” et de “tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci”. La CNIL a noté que ces projets satisfaisaient à ses exigences en matière d’expérimentation, mais a toutefois mis en garde sur le fait que “les conditions dans lesquelles ces expérimentations [étaient] autorisées ne présage[aient] nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif”.

Pour lire le communiqué de presse de la CNIL

Collecte des données personnelles des supporters du PSG

Par un arrêt du 13 juin 2016, le Conseil d’Etat a annulé la partie de la délibération du 30 janvier 2014 par laquelle la CNIL avait interdit au PSG de conserver les données relatives aux impayés des abonnés au-delà de la date de remboursement de leur dette. Le Conseil d’Etat a néanmoins validé l’autorisation de la CNIL de mettre en place la collecte de données nominatives des abonnés ayant violé les conditions générales de vente et enfreint le règlement intérieur du Parc des Princes, “dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le Code du sport, en légitime la collecte ”. En revanche, il a interdit le PSG de recueillir les données d’abonnés relatives à des infractions, condamnations et mesures de sûreté, leur traitement étant réservé à des personnes strictement énumérées par la loi Informatique et Libertés.

Pour lire l’arrêt sur Légifrance

Recevabilité de l’action civile d’une union syndicale en matière de vidéosurveillance

A l’occasion d’une instance en diffamation contre les salariés d’une société, le directeur de cette société avait produit des enregistrements d’images de distribution de tracts syndicaux, issues du système de vidéosurveillance de l’entreprise. Un contrôle de l’inspection du travail ayant relevé des irrégularités dans la mise en œuvre de ce système, une union syndicale départementale à fait citer la société devant le tribunal correctionnel pour non déclaration à la CNIL du système de vidéosurveillance. La Cour de cassation, dans un arrêt du 9 février 2016, a déclaré recevable l’action de l’union syndicale, considérant que le fait pour l’employeur de “permettre l’enregistrement illicite de l’image des salariés dans leur activité, et notamment dans l’exercice de leurs droits syndicaux, et d’en permettre le traitement et la conservation, sans le consentement des intéressés” était de nature à porter préjudice aux intérêts collectifs représentés par cette union syndicale.

Pour lire l’arrêt sur Légifrance

Autorisation unique de la CNIL pour les traitements de gestion de contentieux

Par délibération du 14 janvier 2016, publiée au Journal officiel le 12 février 2016, la CNIL a adopté une autorisation unique n°46 qui a pour but de simplifier la collecte et les traitements de données à caractère personnel mis en œuvre par les organismes publics et privés afin de préparer, exercer et suivre une action disciplinaire ou un recours juridictionnel et exécuter les décisions rendues. Dans un tel contexte, et sous réserve du respect des dispositions de l’autorisation unique, ces organismes pourront traiter des données relatives aux infractions et condamnations pénales, aux sanctions disciplinaires et aux mesures de sûreté afférentes aux personnes dont les données sont traitées.

Pour lire la délibération sur Légifrance

Refus de mise en œuvre d’un traitement en matière d’infractions pédopornographiques par une société privée

Dans un arrêt du 11 mai 2015, le Conseil d’Etat a rejeté un recours pour excès de pouvoir formulé par une société à l’encontre d’une décision de la CNIL ne l’autorisant pas à mettre en œuvre un “traitement de données personnelles de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés”. En l’espèce, l’employeur souhaitait rapprocher les consultations de sites et chargements opérés à partir des postes des salariés avec un fichier correspondant à des contenus pédopornographiques communiqué par les autorités de police, afin, en cas de coïncidence, de saisir les autorités compétentes d’une infraction suspectée. Le Conseil d’Etat a relevé que la société n’était pas habilitée par la loi à créer de tels traitements, et que le fait que le traitement litigieux soit au nombre de ceux soumis à autorisation de la CNIL “ne saurait (…) lui ouvrir droit à la création de ce traitement”, de telle sorte qu’elle “n’était pas fondée à soutenir que la CNIL aurait fait une inexacte application” des textes.

Pour lire l’arrêt sur Légifrance