La CNIL clôture cinq mises en demeure à l’encontre de sociétés d’assurance

Par une décision du 19 février 2019, la CNIL a clôturé cinq mises en demeure prononcées en septembre 2018 à l’encontre de sociétés d’assurances pour détournement de finalités en raison de l’utilisation des données personnelles de leurs assurés. Elles avaient collecté ces données, dans le cadre de leur mission générale de mise en œuvre des régimes de retraite complémentaire, à des fins de prospection commerciale. La CNIL a constaté la mise en conformité avec le RGPD de ces sociétés en relevant que "les sociétés [avaient] modifié leur système informatique afin que les données en lien avec la retraite ne soient plus connues ni utilisées par les services en charge de l’assurance" et avaient "supprimé l’intégralité des données illégalement acquises par ce biais".

Pour lire le communiqué de presse de la CNIL

La CNIL clôture une mise en demeure à l’encontre d’une société de ciblage publicitaire

Par une décision du 25 février 2019, la CNIL a clôturé une mise en demeure prononcée en octobre 2018 à l’encontre d’une société de ciblage publicitaire à laquelle elle reprochait la collecte de données de géolocalisation, sans le consentement des personnes concernées, à des fins de ciblage publicitaire. Selon la CNIL, la société a développé une "nouvelle présentation de la fenêtre contextuelle permettant le recueil du consentement des applications [des] partenaires, intégrant désormais une présentation de chaque finalité en premier niveau d’information, accompagnée d’un bouton activable par l’utilisateur pour exprimer son consentement". Elle a ainsi relevé que "les modèles de fenêtre contextuelle permett[aient] de recueillir un consentement informé, spécifique et univoque des personnes à des fins de publicité géolocalisée" conformément au RGPD.

Pour lire la décision de la CNIL

Mise en demeure d’une société de ciblage publicitaire via des applications mobiles par la Présidente de la CNIL

Le 8 octobre 2018, la Présidente de la CNIL a mis en demeure une société qui a pour activité "d’afficher des publicités pour le compte d’annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation" et de "mesurer les visites des mobinautes dans les points de vente de ses clients" de se conformer à la loi Informatique et Libertés dans un délai de trois mois. En effet, la Présidente de la CNIL a constaté en particulier que la société manquait à son obligation de disposer d’une base légale pour la mise en œuvre du traitement, puisqu’elle indiquait qu’il s’agissait  du consentement des personnes concernées, or il ressortait du contrôle opéré par la délégation de la CNIL que "les personnes [n’étaient] pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire" et qu’elles ne fournissaient un consentement ni spécifique puisque seulement global, ni univoque puisqu’il ne leur était pas proposé "clairement de refuser la collecte et le traitement de [leurs] données à caractère personnel".

Pour lire la décision de la Présidente de la CNIL

Elargissement du champ de collecte de données pour la police nationale

Un décret du 9 octobre 2017, publié au JO le 11 octobre 2017, a modifié le décret du 27 janvier 2011 portant création d'un traitement automatisé de données à caractère personnel dénommé "Logiciel de rédaction des procédures de la police nationale" (LRPPN). Le nouveau décret a pour objet d’autoriser "la collecte des coordonnées (numéros de téléphone et adresses de messagerie électronique) des personnes physiques et morales, mises en cause, témoins ou victimes dans le cadre de procédures judiciaires, ainsi que des coordonnées des personnes faisant l'objet d'une enquête administrative ou citées dans une enquête administrative", ainsi que "la collecte des données relatives aux dates et heures des mesures de garde à vue".

Pour lire le décret sur Légifrance