Absence d’autorisation pour le traçage de déplacements piétonniers

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser une expérimentation visant à comptabiliser des flux de piétons au motif de l’insuffisance du procédé d’anonymisation. Une société souhaitait procéder à un traitement de données visant à comptabiliser des déplacements piétonniers par la collecte des adresses des terminaux mobiles des personnes passant à proximité de ses mobiliers urbains. Or, d’une part, le traçage ne satisfaisait pas à l’obligation d’information et aux droits d’opposition, d’accès et de rectification des personnes concernées par le traitement. D’autre part, s’agissant du procédé d’anonymisation, la technique empêchait certes les tiers d’accéder aux données, mais le responsable de traitement pouvait toujours identifier les individus, de telle sorte que les données ne pouvaient être regardées comme rendues anonymes. Enfin, “les objectifs mêmes de la collecte des données (…) étaient incompatibles avec une anonymisation des informations recueillies”, dès lors que le traitement avait “pour objet d’identifier les déplacements des personnes et leur répétition”.

Pour lire l’arrêt sur Legalis.net

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

Caractère excessif de la sanction de publication sans limite de temps d’une délibération CNIL

Par un arrêt en date du 28 septembre 2016, le Conseil d’Etat a annulé la délibération du 12 février 2015 par laquelle la CNIL avait prononcé un avertissement à l’encontre d’un directeur de théâtre qui avait utilisé les adresses de messagerie électronique de ses abonnés à des fins de communication politique, étrangères aux finalités du traitement. En effet, la CNIL avait assorti cet avertissement d’une sanction complémentaire de publication de la délibération, sans toutefois en préciser la durée. Le Conseil d’Etat a approuvé le raisonnement de la CNIL sur le fond, mais a annulé la peine complémentaire au motif que celle-ci était excessive, puisqu’“en omettant de fixer la durée pendant laquelle la publication de l’avertissement restait accessible de manière non anonyme sur [son site internet ainsi que le site Légifrance], la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle”. La fixation de la durée de cette sanction complémentaire est renvoyée à la formation restreinte de la CNIL.

Pour lire l’arrêt sur Légifrance

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Formalités simplifiées de la CNIL dans le secteur de l’action sociale et médico-sociale

La CNIL a adopté, le 14 avril 2016, trois autorisations uniques simplifiant les formalités des organismes œuvrant dans le champ de l’action sociale et médico-sociale. Ces organismes pourront procéder en ligne, sur le site de la CNIL, à un engagement de conformité à une ou plusieurs de ces autorisations, correspondant au(x) traitements(s) effectué(s) dans le cadre de leur activité. La CNIL rappelle qu’il ne s’agit pas pour ces organismes, de collecter de manière systématique l’ensemble des données visées par ces autorisations, et que “ces derniers demeurent soumis aux principes clés de la Loi Informatique et libertés”, notamment celui de ne collecter que les informations strictement nécessaires aux finalités du traitement.

 Pour lire le communiqué de la CNIL

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Clôture de la mise en demeure de la CNIL à l’encontre d’un site de rencontre

Par une lettre du 30 mars 2016, la CNIL a clôturé la mise en demeure qu’elle avait adressée le 24 juin 2015 à une société éditrice d’un site de rencontre de se conformer aux dispositions de la Loi Informatique et Libertés. La CNIL a notamment constaté que la société avait inséré “des mentions d’information complètes sur tous ses formulaires de collecte de données”, qu’elle recueillait désormais “le consentement exprès des personnes à la collecte de données sensibles grâce à une case à cocher spécifique” et qu’elle avait également “modifié sa politique de conservation des données (…) afin d’assurer une suppression effective des profils des internautes ayant clôturé leur compte”.

Pour lire le communiqué de la CNIL

Avertissement public de la CNIL à l’encontre d’un opérateur de télécommunications

Par une délibération du 1er mars 2016, la CNIL a prononcé un avertissement public à l’encontre d’un opérateur de télécommunications pour manquement à “son obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés” imposée par l’article 6-4° de la Loi Informatique et Libertés. En l’espèce, en raison d’un dysfonctionnement de l’application informatique développée par la société lui permettant de traiter de manière automatisée les demandes d’identification provenant de la Hadopi et des services de gendarmerie ou de police, un seul abonné avait été automatiquement identifié par défaut lorsque l’application ne parvenait pas à associer une adresse IP à une personne. Après avoir effectué un contrôle auprès de l’opérateur, la CNIL a constaté que la société n’avait pas respecté son obligation légale de transmettre des données exactes, notamment aux autorités de poursuite.

Pour lire la délibération de la CNIL

Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance