Modification de la norme simplifiée gestion de clients et prospects

Par une délibération du 21 juillet 2016, la CNIL a modifié la norme simplifiée NS-048 portant sur les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. Cette modification vise à prendre en compte les nouvelles obligations en application du code de la consommation, notamment celle de soumettre ses fichiers de prospection à BLOCTEL, nouvelle liste anti-démarchage téléphonique. La norme ainsi modifiée apporte également des précisions sur la durée de conservation des données, mais aussi sur l’information, le consentement, l’exercice des droits des personnes et les obligations de sécurité des responsables de traitement. Les organismes ayant effectué une déclaration simplifiée en référence à cette norme et ne respectant pas ces nouvelles conditions disposent de 12 mois pour se mettre en conformité.

Pour lire la délibération de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Collecte des données personnelles des supporters du PSG

Par un arrêt du 13 juin 2016, le Conseil d’Etat a annulé la partie de la délibération du 30 janvier 2014 par laquelle la CNIL avait interdit au PSG de conserver les données relatives aux impayés des abonnés au-delà de la date de remboursement de leur dette. Le Conseil d’Etat a néanmoins validé l’autorisation de la CNIL de mettre en place la collecte de données nominatives des abonnés ayant violé les conditions générales de vente et enfreint le règlement intérieur du Parc des Princes, “dès lors que leur utilité à la mission de préservation de l’ordre public lors des rencontres qu’ils organisent, impartie aux clubs par le Code du sport, en légitime la collecte ”. En revanche, il a interdit le PSG de recueillir les données d’abonnés relatives à des infractions, condamnations et mesures de sûreté, leur traitement étant réservé à des personnes strictement énumérées par la loi Informatique et Libertés.

Pour lire l’arrêt sur Légifrance

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Autorisation unique de la CNIL pour les traitements de gestion de contentieux

Par délibération du 14 janvier 2016, publiée au Journal officiel le 12 février 2016, la CNIL a adopté une autorisation unique n°46 qui a pour but de simplifier la collecte et les traitements de données à caractère personnel mis en œuvre par les organismes publics et privés afin de préparer, exercer et suivre une action disciplinaire ou un recours juridictionnel et exécuter les décisions rendues. Dans un tel contexte, et sous réserve du respect des dispositions de l’autorisation unique, ces organismes pourront traiter des données relatives aux infractions et condamnations pénales, aux sanctions disciplinaires et aux mesures de sûreté afférentes aux personnes dont les données sont traitées.

Pour lire la délibération sur Légifrance

Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance

Mise en demeure de Facebook par la CNIL

Par une décision du 26 janvier 2016, la CNIL a considéré que Facebook ne respectait pas la Loi Informatique et Liberté et l’a mis en demeure de s’y conformer. La CNIL reproche notamment à Facebook d’être en mesure de suivre la navigation sur des sites tiers d’internautes non-inscrits. Elle a également constaté que le réseau social ne recueillait pas le consentement exprès des internautes, au moyen d’une case à cocher, lors de la collecte et du traitement de leurs données sensibles et ne délivrait pas d’informations sur l’utilisation de ces données sur le formulaire d’inscription au service. Enfin, la CNIL a relevé que le site déposait des cookies à finalités publicitaires, sans en avoir préalablement  informé les internautes  et  ne proposait pas de mécanisme leur permettant de s’y opposer. Facebook dispose d’un délai de 3 mois pour répondre à cette mise en demeure.

Pour lire la décision de la CNIL sur Légifrance

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Travaux de simplification de la CNIL en matière de recherche dans le domaine de la santé

Dans un communiqué du 19 janvier 2016, la CNIL a rappelé qu’elle souhaitait poursuivre les travaux de simplification engagés en 2014 et 2015 en matière de recherche dans le domaine de la santé, afin de faciliter les démarches et de favoriser la mise en œuvre des projets dans des délais garantissant la compétitivité de la France. Deux projets ont ainsi été soumis à la concertation, jusqu’au 31 janvier 2016, auprès d’organismes publics et privés représentatifs : un  projet de MR-001 modifiée afin de tenir compte des évolutions réglementaires intervenues en matière de recherches interventionnelles et un projet de MR-003 relatif à certaines recherches non interventionnelles. Pour lire le communiqué de la CNIL

Une société de location de véhicules responsable du traitement de données de géolocalisation

Par un arrêt du 18 décembre 2015, le Conseil d’Etat a confirmé la décision de la CNIL sanctionnant une société de location de véhicules pour manquement à l’obligation d’accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement de données issues d’un dispositif de géolocalisation des véhicules. En l’espèce, le loueur avait déposé une requête en annulation de cette décision contestant le fait d’être regardé comme responsable du traitement. Le Conseil d’Etat a cependant considéré qu’il déterminait les finalités et les moyens du traitement et qu’il était donc responsable des traitements au sens de l’article 3-I de la Loi Informatique et Libertés, même sans être propriétaire de tous les véhicules.

 Pour lire l’arrêt sur Légifrance