Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL

La CNIL présente son rapport d’activité pour 2018 et les enjeux pour 2019

Le 15 avril 2019, la CNIL a présenté le bilan de son activité de l’année 2018 et sa stratégie de contrôle pour 2019. Elle a ainsi indiqué vouloir articuler son action autour de la pédagogie et la dissuasion. La CNIL a également annoncé “concentrer son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD” telles que “la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre” et “les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Pour lire le communiqué de presse et le rapport annuel de la CNIL

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

La CNIL adopte un règlement type relatif aux traitements de données biométriques sur les lieux de travail

Le 28 mars 2019, la CNIL a publié son règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès, par authentification biométrique, aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Il fixe des exigences spécifiques applicables à certains traitements de données biométriques mis en œuvre par les employeurs publics ou privés. La CNIL a, par ailleurs, insisté sur le caractère contraignant de ce texte et précisé que “les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type”.

Pour lire le communiqué de presse et la délibération de la CNIL

Sweep Day 2018 : la CNIL publie ses observations à l’issue de l’audit réalisé dans le secteur des prestataires de services en informatique

Dans le cadre des travaux d’audit du Global Privacy Enforcement Network, qui rassemble plusieurs autorités de protection des données européennes, et dont le thème 2018 était la "responsabilisation des acteurs en matière de protection données personnelles", la CNIL a audité les pratiques mises en œuvre dans le secteur des prestataires de services en informatique. Le 5 mars 2019, elle a fait part de ses observations, parmi lesquelles les bonnes pratiques mises en œuvre par les entreprises de ce secteur telles que des "actions de sensibilisation de leurs salariés à la protection des données", l’étude de "leur qualité de sous-traitant ou de co-responsable de traitement" ou encore la prise en compte "de la protection des données dès la phase de conception dans leurs méthodologies de projet". La CNIL identifie également "des marges de progression" devant "impérativement être accomplis pour respecter les exigences du nouveau cadre juridique".

Pour lire le communiqué de la CNIL

La CNIL modifie sa recommandation en matière de paiement en ligne par carte bancaire

Le 28 février 2019, la CNIL a annoncé avoir fait évoluer sa recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par une délibération du 6 septembre 2018, la CNIL avait précisé les précautions que les commerçants devaient prendre pour traiter ces données en conformité avec le RGPD. Elle avait notamment rappelé le principe de non-conservation des données d’identification bancaire après la réalisation de la transaction. Au-delà, le traitement de ces données nécessite "le consentement libre, spécifique, éclairé et univoque des personnes" concernées et vise uniquement à faciliter leurs achats ultérieurs. La doctrine de la CNIL a également évolué s’agissant des abonnements donnant accès à des prestations additionnelles, pour lesquels des règles spécifiques de conservation et de collecte ont été prévues.

Pour lire le communiqué et la recommandation de la CNIL

La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

La CNIL et la DGCCRF signent un nouveau protocole de coopération sur les données personnelles

Le 31 janvier 2019, la CNIL et la DGCCRF ont signé un protocole de coopération visant notamment à “sensibiliser les consommateurs aux risques encourus lors de la communication de leurs données personnelles et diffuser les bonnes pratiques mises en œuvre par les professionnels, faciliter l’échange d’informations relatives au non-respect du droit de la consommation et de la protection des données personnelles des consommateurs  [et] réaliser des contrôles communs”. Elles s’engagent en outre “à porter conjointement des propositions d’actions au niveau européen”.

Pour lire le communiqué de presse de la DGCCRF

Sanction d’une société de VTC pour manquement à son obligation d’assurer la sécurité des données

Une société de VTC s’est vue sanctionner par la CNIL à hauteur de 400 000 euros le 19 décembre 2018, pour avoir manqué à son obligation, en tant que responsable de traitement, "de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un "manque de précautions généralisé" dès lors qu’elle n’avait pas mis en place "certaines mesures élémentaires de sécurité" telles qu’une "mesure d’authentification multifactorielle" ou un "filtrage des adresses IP" afin d’"éviter toute connexion illicite, en sécurisant les échanges de données".

  Pour lire la décision de la CNIL

Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte