La CNIL publie un guide pour les collectivités territoriales

Le 18 septembre 2019, la CNIL a publié un « guide de sensibilisation au RGPD » pour les collectivités territoriales dans le but de les accompagner dans leur mise en conformité à la réglementation en matière de protection des données personnelles. Destiné prioritairement aux communes de petite et moyenne taille, ce guide explique les enjeux du RGPD avant de décrire les piliers d’une politique de conformité et de fournir des conseils pratiques.

  Pour lire le guide de la CNIL

La CNIL sanctionne une société d’intermédiation en assurance

Par une délibération du 18 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre d’une société d’intermédiation en assurance pour atteinte à la sécurité des données de ses clients. La CNIL a constaté un défaut de sécurité et une violation des données relatives aux clients de la société telles que des copies de permis de conduire, des relevés d’identité bancaire ou des données relatives à des infractions commises par les personnes concernées et a condamné la société en raison de l’absence de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du RGPD.

  Pour lire la délibération de la CNIL

La CNIL délivre son premier agrément pour la certification des compétences du délégué à la protection des données (DPO)

Par une délibération du 4 juillet 2019, la CNIL a délivré un agrément à une société en application de son référentiel d’agrément en matière de certification des compétences du DPO de septembre 2018. Cet agrément a été délivré pour une durée de 5 ans. A cette occasion, la CNIL a annoncé que ses prochains travaux en matière de certification "concerneront la formation en matière de protection des données personnelles".

  Pour lire le communiqué et la délibération de la CNIL

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Sanction de 20 000 euros à l’encontre d’une société ayant placé ses salariés sous surveillance constante

Par une délibération du 13 juin 2019, la Cnil a prononcé une amende administrative de 20 000 euros à l’encontre d’une société pour avoir placé un ses salariés sous surveillance permanente via un dispositif de vidéosurveillance sans qu’aucune circonstance exceptionnelle ne le justifie. La Cnil a ainsi rappelé que “si la surveillance de zones sensibles [pouvait] être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne [pouvait] toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir”.

Pour lire la délibération de la Cnil sur Légifrance

Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL