La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

Sanction d’une société de VTC pour manquement à son obligation d’assurer la sécurité des données

Une société de VTC s’est vue sanctionner par la CNIL à hauteur de 400 000 euros le 19 décembre 2018, pour avoir manqué à son obligation, en tant que responsable de traitement, "de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un "manque de précautions généralisé" dès lors qu’elle n’avait pas mis en place "certaines mesures élémentaires de sécurité" telles qu’une "mesure d’authentification multifactorielle" ou un "filtrage des adresses IP" afin d’"éviter toute connexion illicite, en sécurisant les échanges de données".

  Pour lire la décision de la CNIL

Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte

Convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale

Le ministère de l’Education nationale et de la Jeunesse et la CNIL ont signé le 5 décembre 2018 "une convention relative à la protection des données personnelles dans les usages numériques de l’Education nationale". Par cette convention conclue pour une durée de trois ans reconductibles, "ils s’engagent notamment à collaborer et mener des actions communes" pour "la sensibilisation et la formation des membres de la communauté éducative à la protection des données personnelles ; l’accompagnement des structures éducatives dans l’application du RGPD ; la valorisation pédagogique des données dans un cadre protecteur".

Pour lire le communiqué de presse de la CNIL et la convention

Consultation publique de la CNIL sur des projets de référentiels relatifs à la gestion commerciale et aux impayés

La CNIL a annoncé le 29 novembre 2018 le lancement d’une consultation publique sur deux projets de référentiels destinés à actualiser les normes et autorisations uniques antérieures à l’entrée en vigueur du RGPD pour accompagner les organismes dans leur mise en conformité. Le premier projet "encadre la mise en œuvre de fichiers "clients" et "prospects"" à l’exclusion des "traitements établis par les établissements de santé ou d’éducation, les établissements bancaires ou assimilés, les entreprises d'assurances et les opérateurs soumis à l’agrément de l’Autorité de régulation des jeux en ligne". Le second projet "encadre la mise en œuvre par les organismes de droit privé ou public d’un traitement de gestion d’impayés avérés" à l’exclusion des "traitements visant à détecter un risque d’impayé ou à recenser des manquements autres que pécuniaires". La CNIL invite toute personne concernée à présenter ses observations sur ces sujets avant le 11 janvier 2019 et à "illustrer [ses] réponses avec des exemples concrets".

Pour lire le communiqué de presse de la CNIL

Adoption de la liste des traitements pour lesquels l’analyse d’impact relative à la protection des données est obligatoire

La CNIL a adopté le 11 octobre 2018 la liste définitive prévoyant "quatorze types d’opérations de traitement pour lesquelles elle estime obligatoire de réaliser une analyse d’impact relative à la protection des données " (AIPD). Il ne s’agit pas d’une liste exhaustive puisque "des traitements qui n’y figurent pas peuvent néanmoins devoir faire l’objet d’une AIPD", notamment lorsqu’ils sont "susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques au regard des 9 critères issus des lignes directrices du G29". L’adoption d’une liste prévoyant les traitements pour lesquels aucune AIPD n’est cette fois-ci requise est également attendue.

Pour lire le communiqué de presse de la CNIL et la délibération portant adoption de la liste des types d’opérations nécessitant une AIPD

Mise en demeure d’une société de ciblage publicitaire via des applications mobiles par la Présidente de la CNIL

Le 8 octobre 2018, la Présidente de la CNIL a mis en demeure une société qui a pour activité "d’afficher des publicités pour le compte d’annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation" et de "mesurer les visites des mobinautes dans les points de vente de ses clients" de se conformer à la loi Informatique et Libertés dans un délai de trois mois. En effet, la Présidente de la CNIL a constaté en particulier que la société manquait à son obligation de disposer d’une base légale pour la mise en œuvre du traitement, puisqu’elle indiquait qu’il s’agissait  du consentement des personnes concernées, or il ressortait du contrôle opéré par la délégation de la CNIL que "les personnes [n’étaient] pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire" et qu’elles ne fournissaient un consentement ni spécifique puisque seulement global, ni univoque puisqu’il ne leur était pas proposé "clairement de refuser la collecte et le traitement de [leurs] données à caractère personnel".

Pour lire la décision de la Présidente de la CNIL

La graphie en lettres majuscules de la particule d’un patronyme n’entache pas d’inexactitude les données personnelles de son titulaire

Le Conseil d’Etat était saisi d’une demande d’annulation pour excès de pouvoir de décisions par lesquelles la CNIL avait clôturé la plainte d’un particulier qui reprochait à la société éditrice d’un magazine auquel il était abonné de n’avoir pas donné suite à sa demande de rectification consistant à faire apparaître la particule de son nom de famille en minuscule dans ses fichiers. Dans un arrêt du 3 octobre 2018, le Conseil d’Etat, après avoir rappelé que "lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient (…) notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir", a considéré que la CNIL n’avait pas méconnu les dispositions sur lesquelles était fondée la plainte en décidant "que la graphie en lettres majuscules de la particule du patronyme [du demandeur] n’entachait pas d’inexactitude ses données personnelles et n’entrainait aucun risque de confusion ou d’erreur sur la personne"

Pour lire l’arrêt du Conseil d’Etat

Ciblage publicitaire : mise en demeure par la CNIL de deux sociétés du secteur

Suite à des missions de contrôle, la CNIL a, le 25 juin 2018, mis deux sociétés proposant à leurs partenaires des technologies de ciblage publicitaire en demeure, sous un délai de trois mois, de se conformer à la Loi Informatique et Libertés. Elle avait en effet noté qu’aucune d’entre elles ne proposait “aux utilisateurs ayant téléchargé les applications [de leurs] partenaires (…) de mécanisme pour consentir préalablement aux traitements opérés” de sorte qu’elles ne disposaient pas d’une base légale pour la mise en œuvre du traitement. S’agissant en outre de l’une des deux sociétés, la CNIL a relevé qu’elle avait également manqué à son obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en conservant les données de géolocalisation des personnes pendant 13 mois, ainsi qu’à son obligation d’assurer la sécurité et la confidentialité des données gérées par Google, hébergeur de la base de données dans laquelle les données collectées étaient stockées.

Pour lire la première et la seconde mises en demeure de la CNIL

Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL

Par une décision du 6 juin 2018, le Conseil d’Etat a validé la sanction pécuniaire de 25 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs. Il a en effet relevé que “les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition”.

Pour lire la décision du Conseil d’Etat