La CNIL condamne une société à la suite d’une campagne de prospection sans consentement préalable

Le 8 décembre 2020, la CNIL a prononcé une amende de 20 000 € à l’encontre d’une société pour avoir adressé des courriels de prospection sur la base d’adresses professionnelles reconstituées à partir d’un réseau social professionnel. À l’occasion de son contrôle, la CNIL a également relevé des manquements aux obligations d’information des personnes, de respect de leur droit d’accès et de sécurité des données, le fait de ne pas imposer un mot de passe fort à la création d’un compte utilisateur étant suffisant à caractériser le manquement à cette obligation.

Pour lire la délibération de la CNIL

La CNIL sanctionne une filiale européenne du groupe Amazon, Google LLC, et sa filiale irlandaise

Par deux délibérations du 7 décembre 2020, la formation restreinte de la CNIL a condamné une filiale d’Amazon et deux sociétés du groupe Google à des amendes respectives de 35 millions, 60 millions et 40 millions d’euros pour non-respect des règles relatives aux cookies. La CNIL leur a notamment reproché d’avoir manqué à leurs obligations d’information, de ne pas avoir recueilli le consentement préalable des internautes au dépôt de cookies et, dans le cas des sociétés Google, d’avoir fourni un mécanisme d’opposition "partiellement défaillant".

Pour lire la première et la seconde délibérations

La pratique des « cookie walls » ne peut pas être interdite par des lignes directrices

Le 19 juin 2020, le Conseil d’État a annulé les dispositions des lignes directrices de la CNIL du 4 juillet 2020 relatives aux opérations de lecture et écriture dans le terminal d’un utilisateur, qui interdisaient les restrictions d’accès à un site internet ou une application mobile en cas de refus des cookies et traceurs. La CNIL a excédé ses pouvoirs en déduisant, de l’exigence d’un consentement libre posée par le RGPD, une interdiction absolue et générale de la pratique des "cookie walls". Pour lire la décision du Conseil d’État

Le Conseil d’État valide la sanction de Google par la CNIL

Le 19 juin 2020, le Conseil d’État a rejeté la requête de Google visant à annuler la sanction prononcée par la CNIL en 2019. Le Conseil indique que l’arborescence choisie par Google pour présenter l’information aux utilisateurs ne permettait pas de satisfaire à ses obligations d’information et de transparence, et que l’information trop vague sur la portée du traitement aux fins de ciblage publicitaire ne permettait pas d’obtenir un consentement valable. Le Conseil ajoute que la sanction pécuniaire de 50 millions d’euros n’est pas disproportionnée.

Pour lire la décision du Conseil d’État

L’Autorité de protection des données belge (APD) impose une amende relative à la fonction « inviter des contacts »

Le 14 mai 2020, l’APD a imposé une amende de 50 000 euros à un réseau social recueillant et traitant les données de contacts importés par les utilisateurs, en se fondant sur le consentement de ces derniers. Selon, l’APD ce traitement ne reposait pas sur une base légale valable, le consentement devant être donné par la personne concernée – en l’occurrence, les contacts importés. Les cases précochées lors de l’importation ne permettaient pas non plus d’obtenir un consentement libre et univoque des utilisateurs eux-mêmes.

Pour lire le communiqué de l’APD

Le contrôle d’accès au lycée par reconnaissance faciale est illégal

Le 27 février 2020, le Tribunal administratif de Marseille a annulé une délibération du conseil régional de PACA lançant l’expérimentation du contrôle d’accès par reconnaissance faciale. Le Tribunal a jugé que le consentement des lycéens au traitement de leurs données biométriques n’était pas assorti de garanties suffisantes eu égard à l’autorité exercée sur eux par les établissements, et que la région aurait dû démontrer que la fluidification et la sécurisation des contrôles ne pouvaient être atteintes par des moyens moins intrusifs.

Pour lire le jugement sur Legalis.net

Publication de deux mises en demeure concernant les compteurs communicants

Le 11 février 2020, la CNIL a publié deux délibérations mettant en demeure des sociétés de fourniture d’énergie pour non-respect de la réglementation applicable en matière de protection des données personnelles concernant les compteurs communicants. La CNIL a relevé des manquements relatifs aux modalités de recueil du consentement et aux durées de conservation des données. Les sociétés ont trois mois pour se mettre en conformité.

Pour lire le communiqué de la CNIL

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

Absence de trouble manifestement illicite résultant d’une violation du RGPD par l’exploitation des compteurs communicants

Un distributeur d’énergie avait été assigné par plusieurs centaines consommateurs qui lui reprochaient, notamment, une violation du RGPD par l’exploitation des compteurs électriques communicants. Par une décision du 23 avril 2019, le Tribunal de grande instance de Bordeaux, statuant en référé, a jugé que “les demandeurs n’apport[aient] aucun élément de preuve d’une utilisation par [le distributeur] des données relatives à la consommation d’électricité de leur logement qui ne serait pas licite, loyale ou transparente” et que “c’est sans provoquer un trouble manifestement illicite que [le distributeur] recueill[ait] les informations de consommation d’électricité (…) sans recueillir le consentement de chacun des occupants du ou des locaux desservis”.

Pour lire la décision sur Legalis.net