CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL

Mise en demeure par la CNIL d’une société de distribution pour commentaires excessifs sur ses clients

Par une décision du 26 juin 2015, la CNIL a mis en demeure une société spécialisée dans la vente de produits électroménagers de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. Elle a rappelé que “les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées” et a constaté en l’espèce la présence de 5828 commentaires non pertinents. Elle a également considéré que la société avait commis un manquement à l’obligation d’informer et d’obtenir l’accord des personnes accédant au site de la société avant de déposer des cookies sur leurs équipements ainsi qu’un manquement à l’obligation de définir et respecter une durée de conservation des données enregistrées dans certains cookies.

Pour lire la décision de la CNIL

Mise en demeure de la CNIL pour des données traitées par des sites de rencontre en ligne

Par huit décisions du 24 juin 2015, la CNIL a mis en demeure huit sites de rencontre de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. En effet, la CNIL a constaté que les sites n’avaient pas obtenu le consentement exprès des utilisateurs pour le traitement de leurs données sensibles relatives à leur vie sexuelle, leurs origines ethniques et leurs opinions religieuses. Elle a également estimé que les sites avaient commis des manquements à l’obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en n’ayant pas procédé à la suppression des données des utilisateurs après leurs demandes de désinscription.

Pour lire les décisions de la CNIL

Décret sur la durée de conservation des données du dossier pharmaceutique

Un décret du 24 février 2015portant sur les durées d’accessibilité et de conservation dans le dossier pharmaceutique des données relatives à la dispensation des vaccins et des médicaments biologiques” a été publié au journal officiel. Le décret prévoit un allongement de la durée de conservation des données du dossier pharmaceutique pour deux catégories particulières de médicaments : les vaccins, d’une part, afin de permettre une meilleure information des patients quant à leur statut vaccinal et les médicaments biologiques, d’autre part, dans le but de permettre au pharmacien d’assurer la continuité du traitement.

Pour lire le décret sur Légifrance

Mise en demeure pour système de vidéosurveillance disproportionné

Le 12 septembre 2013, la CNIL a rendu publique une mise en demeure à l’encontre d’un centre commercial en raison de son système de vidéosurveillance excessif. La CNIL relève des manquements aux obligations d’information, de fixation d’une durée de conservation des données, de respect de la vie privée des salariés, de sécurité et de confidentialité des données. Elle rappelle que « sauf à justifier de circonstances particulières, l’accès aux images du dispositif de vidéosurveillance doit être limité aux personnes en charge d’assurer la sécurité des biens et des personnes ».

Pour lire le communiqué de la CNIL.

Recul des moteurs de recherche en matière de conservation des données

Alors que l’avis du 24 avril 2008 du G29 regroupant les Cnil européennes recommandait aux moteurs de recherche de conserver les informations sur leurs utilisateurs pendant 6 mois maximum et que des avancées avaient été constatées en ce sens, les moteurs de recherche ont tendance à présent à augmenter la durée de conservation des données. Regrettant ce recul de la protection de la vie privée des internautes, la Cnil invite à nouveau les moteurs de recherche à suivre les recommandations du G29 et elle préconise également que le consentement des internautes soit recueilli pour que leurs informations soient conservées au delà de 6 mois.

 Pour consulter l’article sur le site de la Cnil

Délibération de la Cnil relative au contrôle des données signalétiques des véhicules.

Le 26 mai 2009, la Cnil a rendu public son avis sur un projet d’arrêté portant création d’un traitement automatisé de contrôle des données signalétiques des véhicules. Constatant que ces dispositifs de lecture automatisée de plaque d’immatriculation ont pour finalité la constatation d’infractions, elle demande qu’une expérimentation soit menée sur une période d’un an. Par ailleurs, s’agissant de la durée de conservation proposée (un mois en cas de rapprochement positif avec le fichier des voitures volées, huit jours dans le cas contraire), elle "prend acte qu'à l'expiration des délais autorisés, les données feront l'objet d'une suppression automatique, totale et définitive" mais elle considère que le projet n'apporte pas d'élément permettant, en l’état, d'apprécier et de justifier le choix de ces durées de conservation. La délibération de la Cnil sur le site de Légifrance

Données des passagers de transport aérien

À la suite des accords passés entre l’Union européenne et les États-Unis concernant le transfert de données à caractère personnel concernant les passagers de transport aérien, le Sénat a examiné, le 5 mars 2009, la proposition de décision-cadre de la Commission européenne relative à l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives. Ce texte précise notamment les finalités d’un tel système (lutte contre le terrorisme et les infractions graves référencées dans une liste de 32 infractions), les données utilisées, les destinataires des données, la durée de conservation des données et le régime de protection. Les vols intracommunautaires ne sont pas concernés par ce texte. La proposition de résolution européenne sur le site du Sénat

Conservation des données par les moteurs de recherche

La Commission nationale de l’informatique et des libertés (Cnil) s’est félicitée le 17 décembre 2008 des récentes annonces des principaux moteurs de recherches de limiter la durée de conservation des données de navigation de leurs utilisateurs. Google avait été le premier, en septembre 2008, à choisir de limiter cette durée à 9 mois. Microsoft avait suivi, le 9 décembre 2008, en indiquant qu’il était prêt à réduire la conservation de ces données à 6 mois. Enfin, Yahoo!, le 18 décembre 2008, vient d’indiquer qu’il s’engageait à limiter la durée de conservation à 3 mois. Pour la Cnil, les grands moteurs de recherche ont donc tous répondu positivement à la demande du G29 (le groupe des CNIL européennes) formulée dans un avis rendu sur le sujet en avril 2008. Le communiqué de la Cnil (lien inactif)