La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Sanction de 20 000 euros à l’encontre d’une société ayant placé ses salariés sous surveillance constante

Par une délibération du 13 juin 2019, la Cnil a prononcé une amende administrative de 20 000 euros à l’encontre d’une société pour avoir placé un ses salariés sous surveillance permanente via un dispositif de vidéosurveillance sans qu’aucune circonstance exceptionnelle ne le justifie. La Cnil a ainsi rappelé que “si la surveillance de zones sensibles [pouvait] être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne [pouvait] toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir”.

Pour lire la délibération de la Cnil sur Légifrance

Sanction de la CNIL pour atteinte à la sécurité des données et non-respect des durées de conservation

Par une délibération du 28 mai 2019, la CNIL a prononcé une amende administrative à l’encontre d’une société immobilière à hauteur de 400 000 euros pour avoir manqué à ses obligations d’assurer la sécurité des données personnelles et de conserver les données pour une durée proportionnée. La CNIL a notamment constaté un défaut de sécurité du site internet de la société ayant permis d’accéder, à partir de la seule modification d’adresses URL, aux données à caractère personnel relatives aux candidats locataires en soulignant le caractère aggravé du manquement au regard de la nature des données rendues accessibles.

Pour lire la délibération de la Cnil

Publication d’un décret d’application de la loi Informatique et libertés

Le 30 mai 2019, le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été publié. Il complète les dispositions de la loi Informatique et libertés telles que modifiées par l’ordonnance du 12 décembre 2018 en modifiant notamment les règles applicables aux contrôles effectués par la CNIL et en précisant les modalités d’exercice de leurs droits par les personnes concernées. Ce décret est entré en vigueur le 1er juin 2019.

Pour lire le décret sur Légifrance

Publication d’un guide de bonnes pratiques à destination des développeurs

Le 13 mai 2019, la CNIL a publié un ensemble de fiches pratiques à destination des développeurs présentant “les bonnes pratiques à appliquer dès la conception, afin d’améliorer la gestion des données et sécuriser leurs programmes”. Ces fiches pratiques portent sur différentes thématiques telles que: le choix des outils de travail, la sécurité au stade du développement, la gestion des codes source et leur qualité, l’intégration de composants tiers tels que les Bibliothèques ou les SDK ainsi que la gestion de la documentation.

  Pour lire le Kit développeur de la CNIL

Publication d’une série de fiches pratiques à destination des startup

Le 16 avril 2019, la CNIL a publié plusieurs fiches pratiques destinées à répondre aux enjeux réglementaires auxquels les opérateurs et notamment les startups peuvent être confrontées dans le cadre de leurs activités. La CNIL a ainsi publié des fiches portant sur plusieurs thématiques telles que la conception d’un parcours utilisateur, la sécurité des données ainsi qu’une foire aux questions présentant les règles en matière d’envoi de mails publicitaires, de conservation de la preuve de l’effacement des données associées à un compte à la suite d’une demande d’effacement ou de sauvegarde et de suivi de l’adresse IP des internautes dont le comportement est douteux pour prévenir une tentative de piratage.

Pour lire les fiches pratiques de la CNIL

La CNIL présente son rapport d’activité pour 2018 et les enjeux pour 2019

Le 15 avril 2019, la CNIL a présenté le bilan de son activité de l’année 2018 et sa stratégie de contrôle pour 2019. Elle a ainsi indiqué vouloir articuler son action autour de la pédagogie et la dissuasion. La CNIL a également annoncé “concentrer son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD” telles que “la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre” et “les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Pour lire le communiqué de presse et le rapport annuel de la CNIL

La CNIL lance une consultation publique sur deux projets de référentiels

Le 11 avril 2019, la CNIL a annoncé le lancement d’une consultation publique sur les projets de référentiels relatifs aux traitements de données personnelles aux fins de gestion du personnel et destinés à la mise en œuvre d’un dispositif d’alerte professionnelle. Elle entend ainsi guider les organismes “dans leurs démarches de conformité” et “constituer une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire. La CNIL adoptera le document final sur la base des observations recueillies.

Pour lire le communiqué de presse de la CNIL

La CNIL adopte un règlement type relatif aux traitements de données biométriques sur les lieux de travail

Le 28 mars 2019, la CNIL a publié son règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès, par authentification biométrique, aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Il fixe des exigences spécifiques applicables à certains traitements de données biométriques mis en œuvre par les employeurs publics ou privés. La CNIL a, par ailleurs, insisté sur le caractère contraignant de ce texte et précisé que “les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type”.

Pour lire le communiqué de presse et la délibération de la CNIL

Sweep Day 2018 : la CNIL publie ses observations à l’issue de l’audit réalisé dans le secteur des prestataires de services en informatique

Dans le cadre des travaux d’audit du Global Privacy Enforcement Network, qui rassemble plusieurs autorités de protection des données européennes, et dont le thème 2018 était la "responsabilisation des acteurs en matière de protection données personnelles", la CNIL a audité les pratiques mises en œuvre dans le secteur des prestataires de services en informatique. Le 5 mars 2019, elle a fait part de ses observations, parmi lesquelles les bonnes pratiques mises en œuvre par les entreprises de ce secteur telles que des "actions de sensibilisation de leurs salariés à la protection des données", l’étude de "leur qualité de sous-traitant ou de co-responsable de traitement" ou encore la prise en compte "de la protection des données dès la phase de conception dans leurs méthodologies de projet". La CNIL identifie également "des marges de progression" devant "impérativement être accomplis pour respecter les exigences du nouveau cadre juridique".

Pour lire le communiqué de la CNIL