Consultation publique de la CNIL sur des projets de référentiels relatifs à la gestion commerciale et aux impayés

La CNIL a annoncé le 29 novembre 2018 le lancement d’une consultation publique sur deux projets de référentiels destinés à actualiser les normes et autorisations uniques antérieures à l’entrée en vigueur du RGPD pour accompagner les organismes dans leur mise en conformité. Le premier projet "encadre la mise en œuvre de fichiers "clients" et "prospects"" à l’exclusion des "traitements établis par les établissements de santé ou d’éducation, les établissements bancaires ou assimilés, les entreprises d'assurances et les opérateurs soumis à l’agrément de l’Autorité de régulation des jeux en ligne". Le second projet "encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion d’impayés avérés" à l’exclusion des "traitements visant à détecter un risque d’impayé ou à recenser des manquements autres que pécuniaires". La CNIL invite toute personne concernée à présenter ses observations sur ces sujets avant le 11 janvier 2019 et à "illustrer [ses] réponses avec des exemples concrets".

Pour lire le communiqué de presse de la CNIL

Adoption de la liste des traitements pour lesquels l’analyse d’impact relative à la protection des données est obligatoire

La CNIL a adopté le 11 octobre 2018 la liste définitive prévoyant "quatorze types d’opérations de traitement pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données " (AIPD). Il ne s’agit pas d’une liste exhaustive puisque "des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD", notamment lorsqu’ils sont "susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29". L’adoption d’une liste prévoyant les traitements pour lesquels aucune AIPD n’est cette fois-ci requise est également attendue.

Pour lire le communiqué de presse de la CNIL et la délibération portant adoption de la liste des types d’opérations nécessitant une AIPD

Mise en demeure d’une société de ciblage publicitaire via des applications mobiles par la Présidente de la CNIL

Le 8 octobre 2018, la Présidente de la CNIL a mis en demeure une société qui a pour activité "d’afficher des publicités pour le compte d’annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation" et de "mesurer les visites des mobinautes dans les points de vente de ses clients" de se conformer à la loi Informatique et Libertés dans un délai de trois mois. En effet, la Présidente de la CNIL a constaté en particulier que la société manquait à son obligation de disposer d’une base légale pour la mise en œuvre du traitement, puisqu’elle indiquait qu’il s’agissait  du consentement des personnes concernées, or il ressortait du contrôle opéré par la délégation de la CNIL que "les personnes [n’étaient] pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire" et qu’elles ne fournissaient un consentement ni spécifique puisque seulement global, ni univoque puisqu’il ne leur était pas proposé "clairement de refuser la collecte et le traitement de [leurs] données à caractère personnel".

Pour lire la décision de la Présidente de la CNIL

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

Ciblage publicitaire : mise en demeure par la CNIL de deux sociétés du secteur

Suite à des missions de contrôle, la CNIL a, le 25 juin 2018, mis deux sociétés proposant à leurs partenaires des technologies de ciblage publicitaire en demeure, sous un délai de trois mois, de se conformer à la Loi Informatique et Libertés. Elle avait en effet noté qu’aucune d’entre elles ne proposait “aux utilisateurs ayant téléchargé les applications [de leurs] partenaires (…) de mécanisme pour consentir préalablement aux traitements opérés” de sorte qu’elles ne disposaient pas d’une base légale pour la mise en œuvre du traitement. S’agissant en outre de l’une des deux sociétés, la CNIL a relevé qu’elle avait également manqué à son obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en conservant les données de géolocalisation des personnes pendant 13 mois, ainsi qu’à son obligation d’assurer la sécurité et la confidentialité des données gérées par Google, hébergeur de la base de données dans laquelle les données collectées étaient stockées.

Pour lire la première et la seconde mises en demeure de la CNIL

Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL

Par une décision du 6 juin 2018, le Conseil d’Etat a validé la sanction pécuniaire de 25 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs. Il a en effet relevé que “les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition”.

Pour lire la décision du Conseil d’Etat

La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

Rapport d’activité de la CNIL pour l’année 2017

Le 10 avril 2018, la CNIL a présenté le bilan de son activité 2017 et notamment des contrôles menés auprès de divers organismes. Elle est revenue à cette occasion sur l’opération d’audit international coordonnée, menée lors du “Sweep Day” par 24 autorités de protection des données et au cours de laquelle elle s’est concentrée, au niveau national, “sur 49 sites web et applications mobiles dans les domaines du “voyage” et de la “vente en ligne””, faisant apparaitre, pour plus de 80% d’entre eux, une insuffisance de l’information relative à “la nature des données transmises à des tiers”, à “l’identité de ces derniers”, aux “modalités de stockage des données” et aux “mesures prises pour en garantir la sécurité et la confidentialité”.

Pour lire le rapport d’activité de la CNIL

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Examen d’une application mobile de sécurité par la CNIL

La CNIL, réunie en séance plénière, a examiné le 15 mars 2018 un projet de la ville de Nice consistant en la mise en place d’une application permettant aux utilisateurs de signaler à la police municipale des incivilités graves ou des “‘situations critiques’ (…) en transmettant en direct aucentre de supervision urbain’ la localisation géographique (…) accompagnée d’un enregistrement vidéo et sonore”. La Commission a indiqué qu’“au regard des risques élevés de surveillance des personnes et d’atteinte à la vie privée qui pourraient résulter d’un usage non maîtrisé d’un tel dispositif, (…) il était hautement souhaitable qu’un tel dispositif fasse l’objet d’un encadrement législatif spécifique” et a par ailleurs conclu que “la proportionnalité du dispositif (…) n’était en l’état pas garantie”.

Pour lire l’article de la CNIL