RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL

Clôture d’une mise en demeure pour mise en conformité à la loi Informatique et Libertés

Par une décision du 27 juin 2017, la CNIL a clôturé une mise en demeure publique initiée un an auparavant à l’encontre de Microsoft, suite au lancement de Windows 10. En l’espèce, elle a notamment relevé que “la société [avait] réduit de près de la moitié le volume des données collectées dans le cadre du niveau de « base » de son service de télémétrie qui permet d’identifier des problèmes de fonctionnement du système et de les résoudre”, que “les utilisateurs [étaient] désormais informés, par une mention claire et précise, qu’un identifiant publicitaire [avait] vocation à suivre leur navigation pour leur proposer de la publicité ciblée”, et que “la société [avait] renforcé la robustesse du code PIN de 4 chiffres permettant aux utilisateurs de s’authentifier pour accéder à l’ensemble des services en ligne de la société et notamment à leur compte (…) les combinaisons trop communes [étant] désormais refusées”.

Pour lire le communiqué de presse et la décision de la CNIL

 

Recevabilité à titre de preuve de courriels issus d’une messagerie professionnelle non déclarée

Dans le cadre d’un contentieux relatif au licenciement d’un salarié pour insuffisance professionnelle, la Cour d’appel de Paris avait écarté des débats comme preuves illicites les courriels issus de la messagerie professionnelle de ce dernier, produits par l’employeur, dès lors que celui-ci "n’a[vait] pas effectué de déclaration relative à un traitement de données à caractère personnel auprès de [la CNIL]". Par un arrêt du 1er juin 2017, la Cour de cassation a cassé l’arrêt d’appel, estimant que "l'absence de déclaration simplifiée d'un système de messagerie électronique professionnelle non pourvu d'un contrôle individuel de l'activité des salariés, qui n'est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l'article 24 de la loi “informatique et libertés”, ne rend pas illicite la production en justice des courriels adressés par l'employeur ou par le salarié dont l'auteur ne peut ignorer qu'ils sont enregistrés et conservés par le système informatique".

Pour lire l’arrêt de la Cour de cassation

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Absence d’autorisation pour le traçage de déplacements piétonniers

Par un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser une expérimentation visant à comptabiliser des flux de piétons au motif de l’insuffisance du procédé d’anonymisation. Une société souhaitait procéder à un traitement de données visant à comptabiliser des déplacements piétonniers par la collecte des adresses des terminaux mobiles des personnes passant à proximité de ses mobiliers urbains. Or, d’une part, le traçage ne satisfaisait pas à l’obligation d’information et aux droits d’opposition, d’accès et de rectification des personnes concernées par le traitement. D’autre part, s’agissant du procédé d’anonymisation, la technique empêchait certes les tiers d’accéder aux données, mais le responsable de traitement pouvait toujours identifier les individus, de telle sorte que les données ne pouvaient être regardées comme rendues anonymes. Enfin, “les objectifs mêmes de la collecte des données (…) étaient incompatibles avec une anonymisation des informations recueillies”, dès lors que le traitement avait “pour objet d’identifier les déplacements des personnes et leur répétition”.

Pour lire l’arrêt sur Legalis.net

Lignes directrices du G29 sur le délégué à la protection des données

Le 13 décembre 2016, le G29 a publié ses lignes directrices relatives au délégué à la protection des données (DPO) afin de clarifier les règles posées par le règlement européen sur la protection des données, notamment à propos de sa désignation, de son rôle et de ses missions. À travers ces lignes directrices, le G29 encourage également la désignation d’un DPO en dehors des cas de désignation obligatoire prévus à l’article 37 du règlement, en ce qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles au sein d’une entité.

Pour voir les lignes directrices (en anglais)

Adoption du décret autorisant la création du traitement “Titres électroniques sécurisés” (TES) malgré les réserves de la CNIL

Le 28 octobre 2016 a été adopté un décret autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, dénommé Titres électroniques sécurisés” (TES) et destiné à “procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation” de ces titres et à “prévenir et détecter leur falsification et contrefaçon”. Les personnes ayant accès au fichier TES sont limitativement énumérées par le décret, qui précise également que les données seront conservées 15 ans s’agissant des passeports et 20 ans s’agissant des cartes nationales d’identité. Le projet de décret avait fait l’objet d’un avis de la CNIL, publié le 29 septembre 2016, par lequel elle avait émis des réserves, appelant notamment de ses vœux l’organisation d’un débat parlementaire compte tenu des enjeux soulevés par un tel traitement “comportant des données particulièrement sensibles relatives à près de 60 millions de français”.

Pour lire le décret sur Légifrance et la délibération de la CNIL

Caractère excessif de la sanction de publication sans limite de temps d’une délibération CNIL

Par un arrêt en date du 28 septembre 2016, le Conseil d’Etat a annulé la délibération du 12 février 2015 par laquelle la CNIL avait prononcé un avertissement à l’encontre d’un directeur de théâtre qui avait utilisé les adresses de messagerie électronique de ses abonnés à des fins de communication politique, étrangères aux finalités du traitement. En effet, la CNIL avait assorti cet avertissement d’une sanction complémentaire de publication de la délibération, sans toutefois en préciser la durée. Le Conseil d’Etat a approuvé le raisonnement de la CNIL sur le fond, mais a annulé la peine complémentaire au motif que celle-ci était excessive, puisqu’“en omettant de fixer la durée pendant laquelle la publication de l’avertissement restait accessible de manière non anonyme sur [son site internet ainsi que le site Légifrance], la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle”. La fixation de la durée de cette sanction complémentaire est renvoyée à la formation restreinte de la CNIL.

Pour lire l’arrêt sur Légifrance