La CNIL émet un avis sur la proposition de Loi « Sécurité Globale »

Le 26 janvier 2021, la CNIL a indiqué qu’en l’état, le cadre juridique envisagé est insuffisamment protecteur de la vie privée et des données personnelles. Prenant en considération les enjeux soulevés par les nouveaux dispositifs vidéo, elle a notamment recommandé que le législateur conditionne l’utilisation des caméras aéroportées à une expérimentation préalable et que, lorsque le recours à ces dispositifs est nécessaire, les atteintes portées à la vie privée soient strictement proportionnées aux finalités poursuivies.

Pour lire la délibération de la CNIL

La CNIL sanctionne l’absence de mesures correctives rapides à des attaques de type « credential stuffing »

Le 27 janvier 2021, la CNIL a annoncé avoir sanctionné un responsable de traitement et son sous-traitant à hauteur de 150 000 € et de 75 000 € pour manquement à leur obligation de sécurité. Elle a jugé que la société, victime d’attaques par bourrage d'identifiants, aurait pu prendre des mesures plus efficaces que le développement d’un outil de détection et de blocage des attaques lancées par robot, comme la limitation du nombre de requêtes autorisées par adresse IP ou l’apparition de CAPTCHA. Elle a également reproché au sous-traitant de ne pas avoir suggéré de telles mesures.

Pour lire le communiqué de la CNIL

La CNIL condamne une société à la suite d’une campagne de prospection sans consentement préalable

Le 8 décembre 2020, la CNIL a prononcé une amende de 20 000 € à l’encontre d’une société pour avoir adressé des courriels de prospection sur la base d’adresses professionnelles reconstituées à partir d’un réseau social professionnel. À l’occasion de son contrôle, la CNIL a également relevé des manquements aux obligations d’information des personnes, de respect de leur droit d’accès et de sécurité des données, le fait de ne pas imposer un mot de passe fort à la création d’un compte utilisateur étant suffisant à caractériser le manquement à cette obligation.

Pour lire la délibération de la CNIL

La CNIL sanctionne deux médecins libéraux

Le 7 décembre 2020, la formation restreinte de la CNIL a infligé des amendes respectives de 3 000 et 6 000 euros à deux médecins, à la suite de la découverte de milliers d’images médicales de leurs patients accessibles en ligne. La CNIL leur a notamment reproché de ne pas lui avoir notifié cette violation de données dès qu’ils en ont eu connaissance avant de souligner que la sensibilité des données concernées appelait "une vigilance toute particulière".

Pour lire la première et la seconde délibérations de la CNIL

La CNIL sanctionne une filiale européenne du groupe Amazon, Google LLC, et sa filiale irlandaise

Par deux délibérations du 7 décembre 2020, la formation restreinte de la CNIL a condamné une filiale d’Amazon et deux sociétés du groupe Google à des amendes respectives de 35 millions, 60 millions et 40 millions d’euros pour non-respect des règles relatives aux cookies. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies et, dans le cas des sociétés Google, d’avoir fourni un mécanisme d’opposition "partiellement défaillant".

Pour lire la première et la seconde délibérations

L’adresse IP d’un salarié peut constituer une preuve illicite

Dans un arrêt du 25 novembre 2020 rendu sous l’empire de la Loi Informatique et Libertés dans sa version antérieure au RGPD, la Cour de cassation a jugé que l’adresse IP d’un salarié doit être considérée comme une donnée personnelle dont le traitement doit être déclaré à la CNIL. En l’absence de déclaration, la production de l’adresse IP d’un salarié pour justifier son licenciement constitue un moyen de preuve illicite, qui peut cependant être recevable si sa production est indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi.

Pour lire l'arrêt de la Cour de cassation

La CNIL sanctionne un groupe de grande distribution et sa filiale

Par deux délibérations du 18 novembre 2020, la formation restreinte de la CNIL a condamné un groupe de grande distribution et sa filiale à des amendes respectives de 2 250 000 euros et 800 000 euros pour non-respect de la réglementation relative à la protection des données. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de limitation de la durée de conservation et de traitement loyal des données, et de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies.

Pour lire la première et la seconde délibérations de la CNIL

La CNIL publie sa position sur l’application « TousAntiCovid »

Le 23 octobre 2020, la CNIL a indiqué que le déploiement de l’application de traçage des cas contacts, remplaçant "StopCovid", "ne nécessitait pas de saisine obligatoire de la CNIL dès lors qu’aucune modification substantielle touchant au traitement de données personnelles n’a été mise en œuvre dans le cadre de l’utilisation [de la nouvelle application]". Celle-ci reprend en effet le protocole antérieur "conçu dans une logique de minimisation des données et de protection dès la conception".

Pour lire le communiqué de la CNIL

   

La CNIL adopte un référentiel relatif à l’agrément des organismes de contrôle des codes de conduite

Le 24 juillet 2020, la CNIL a publié un référentiel concernant les organismes chargés du contrôle des codes de conduite. Afin qu’ils puissent obtenir l’agrément leur permettant d’effectuer de tels contrôles, la CNIL indique qu’ils doivent notamment satisfaire à des exigences relatives à l’indépendance, à l’absence de conflit d’intérêts, au niveau d’expertise requis ou au traitement des plaintes. La durée de cet agrément est fixée à cinq ans, renouvelables après "un réexamen de l’éligibilité de l’organisme" par la CNIL.

Pour lire la délibération de la CNIL

Application « StopCovid » : la CNIL met en demeure le Ministère des Solidarités et de la Santé

Le 16 juillet 2020, à la suite de trois contrôles portant sur le traitement des données personnelles dans le cadre de l’application "StopCovid", la CNIL a mis en demeure le Ministère des Solidarités et de la Santé de se conformer au RGPD. La CNIL a notamment constaté des manquements aux obligations "de traiter les données conformément au décret du 29 mai 2020", "d’informer les personnes concernées et d’obtenir [leur consentement]" et "d’encadrer par un acte juridique formalisé les traitements effectués par les sous-traitants".

Pour lire la décision de la CNIL