Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL

Mise en demeure par la CNIL d’une société de distribution pour commentaires excessifs sur ses clients

Par une décision du 26 juin 2015, la CNIL a mis en demeure une société spécialisée dans la vente de produits électroménagers de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. Elle a rappelé que “les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées” et a constaté en l’espèce la présence de 5828 commentaires non pertinents. Elle a également considéré que la société avait commis un manquement à l’obligation d’informer et d’obtenir l’accord des personnes accédant au site de la société avant de déposer des cookies sur leurs équipements ainsi qu’un manquement à l’obligation de définir et respecter une durée de conservation des données enregistrées dans certains cookies.

Pour lire la décision de la CNIL

Mise en demeure de la CNIL pour des données traitées par des sites de rencontre en ligne

Par huit décisions du 24 juin 2015, la CNIL a mis en demeure huit sites de rencontre de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. En effet, la CNIL a constaté que les sites n’avaient pas obtenu le consentement exprès des utilisateurs pour le traitement de leurs données sensibles relatives à leur vie sexuelle, leurs origines ethniques et leurs opinions religieuses. Elle a également estimé que les sites avaient commis des manquements à l’obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en n’ayant pas procédé à la suppression des données des utilisateurs après leurs demandes de désinscription.

Pour lire les décisions de la CNIL

Décret sur la durée de conservation des données du dossier pharmaceutique

Un décret du 24 février 2015portant sur les durées d’accessibilité et de conservation dans le dossier pharmaceutique des données relatives à la dispensation des vaccins et des médicaments biologiques” a été publié au journal officiel. Le décret prévoit un allongement de la durée de conservation des données du dossier pharmaceutique pour deux catégories particulières de médicaments : les vaccins, d’une part, afin de permettre une meilleure information des patients quant à leur statut vaccinal et les médicaments biologiques, d’autre part, dans le but de permettre au pharmacien d’assurer la continuité du traitement.

Pour lire le décret sur Légifrance

Mise en demeure pour système de vidéosurveillance disproportionné

Le 12 septembre 2013, la CNIL a rendu publique une mise en demeure à l’encontre d’un centre commercial en raison de son système de vidéosurveillance excessif. La CNIL relève des manquements aux obligations d’information, de fixation d’une durée de conservation des données, de respect de la vie privée des salariés, de sécurité et de confidentialité des données. Elle rappelle que « sauf à justifier de circonstances particulières, l’accès aux images du dispositif de vidéosurveillance doit être limité aux personnes en charge d’assurer la sécurité des biens et des personnes ».

Pour lire le communiqué de la CNIL.

Recul des moteurs de recherche en matière de conservation des données

Alors que l’avis du 24 avril 2008 du G29 regroupant les Cnil européennes recommandait aux moteurs de recherche de conserver les informations sur leurs utilisateurs pendant 6 mois maximum et que des avancées avaient été constatées en ce sens, les moteurs de recherche ont tendance à présent à augmenter la durée de conservation des données. Regrettant ce recul de la protection de la vie privée des internautes, la Cnil invite à nouveau les moteurs de recherche à suivre les recommandations du G29 et elle préconise également que le consentement des internautes soit recueilli pour que leurs informations soient conservées au delà de 6 mois.

 Pour consulter l’article sur le site de la Cnil

Délibération de la Cnil relative au contrôle des données signalétiques des véhicules.

Le 26 mai 2009, la Cnil a rendu public son avis sur un projet d’arrêté portant création d’un traitement automatisé de contrôle des données signalétiques des véhicules. Constatant que ces dispositifs de lecture automatisée de plaque d’immatriculation ont pour finalité la constatation d’infractions, elle demande qu’une expérimentation soit menée sur une période d’un an. Par ailleurs, s’agissant de la durée de conservation proposée (un mois en cas de rapprochement positif avec le fichier des voitures volées, huit jours dans le cas contraire), elle "prend acte qu'à l'expiration des délais autorisés, les données feront l'objet d'une suppression automatique, totale et définitive" mais elle considère que le projet n'apporte pas d'élément permettant, en l’état, d'apprécier et de justifier le choix de ces durées de conservation. La délibération de la Cnil sur le site de Légifrance

Données des passagers de transport aérien

À la suite des accords passés entre l’Union européenne et les États-Unis concernant le transfert de données à caractère personnel concernant les passagers de transport aérien, le Sénat a examiné, le 5 mars 2009, la proposition de décision-cadre de la Commission européenne relative à l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives. Ce texte précise notamment les finalités d’un tel système (lutte contre le terrorisme et les infractions graves référencées dans une liste de 32 infractions), les données utilisées, les destinataires des données, la durée de conservation des données et le régime de protection. Les vols intracommunautaires ne sont pas concernés par ce texte. La proposition de résolution européenne sur le site du Sénat