La CNIL rend un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées

Le 29 octobre 2019, la CNIL a annoncé avoir rendu un avis défavorable sur l’expérimentation de la reconnaissance faciale à l’entrée de deux lycées menée par la région PACA. La CNIL a considéré que le dispositif n’apparaissait ni nécessaire, ni proportionné pour atteindre les objectifs de sécurisation et de fluidification des entrées, relevant notamment que ces finalités pouvaient être atteintes “par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge”.

  Pour lire la publication de la CNIL

La CNIL publie une liste des traitements qui ne requièrent pas d’analyse d’impact

Par une délibération du 12 septembre 2019, la CNIL a publié une liste non exhaustive d'opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Sont notamment concernés, les traitements mis en œuvre à des fins de ressources humaines pour la gestion du personnel des organismes qui emploient moins de 250 personnes ou encore des traitements ayant pour finalité la gestion des relations fournisseurs.

  Pour lire la délibération de la CNIL

Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL

La CNIL sanctionne une société d’intermédiation en assurance

Par une délibération du 18 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre d’une société d’intermédiation en assurance pour atteinte à la sécurité des données de ses clients. La CNIL a constaté un défaut de sécurité et une violation des données relatives aux clients de la société telles que des copies de permis de conduire, des relevés d’identité bancaire ou des données relatives à des infractions commises par les personnes concernées et a condamné la société en raison de l’absence de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du RGPD.

  Pour lire la délibération de la CNIL

La CNIL délivre son premier agrément pour la certification des compétences du délégué à la protection des données (DPO)

Par une délibération du 4 juillet 2019, la CNIL a délivré un agrément à une société en application de son référentiel d’agrément en matière de certification des compétences du DPO de septembre 2018. Cet agrément a été délivré pour une durée de 5 ans. A cette occasion, la CNIL a annoncé que ses prochains travaux en matière de certification "concerneront la formation en matière de protection des données personnelles".

  Pour lire le communiqué et la délibération de la CNIL

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Sanction de 20 000 euros à l’encontre d’une société ayant placé ses salariés sous surveillance constante

Par une délibération du 13 juin 2019, la Cnil a prononcé une amende administrative de 20 000 euros à l’encontre d’une société pour avoir placé un ses salariés sous surveillance permanente via un dispositif de vidéosurveillance sans qu’aucune circonstance exceptionnelle ne le justifie. La Cnil a ainsi rappelé que “si la surveillance de zones sensibles [pouvait] être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne [pouvait] toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir”.

Pour lire la délibération de la Cnil sur Légifrance

Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil