Mise à jour de la loi Informatique et Libertés pour conformité au RGPD

Le 13 décembre 2018 a été publiée au Journal Officiel l’ordonnance du 12 décembre 2018 relative à la protection des données personnelles modifiant la loi Informatique et Libertés du 6 janvier 1978. Cela marque la fin de l’étape législative nécessaire à la mise en conformité du droit français avec le RGPD et la directive "police-justice" portant sur les fichiers pénaux. Selon l’avis de la CNIL du 15 novembre 2018, ce texte remplit dans l’ensemble les trois objectifs fixés : apporter "les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre des dispositions adaptant le droit national au droit de l’Union", "mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel" et "adapter, étendre ou rendre applicables aux pays et territoires d’outre-mer les nouvelles dispositions de la loi Informatique et Libertés". Le texte de l’ordonnance prévoit qu’elle entrera en vigueur au plus tard le 1er juin 2019.

Pour lire l’ordonnance modifiant la loi de 1978 et l’avis de la CNIL sur ce texte

Licéité d’un outil informatique mis en place par une compagnie aérienne pour la gestion des événements d’exploitation

Une compagnie aérienne utilisait un outil informatique destiné à l’encadrement de son personnel navigant et nommé "fichier des évènements liés à l'exploitation", que le syndicat des pilotes de cette société estimait illicite au regard de la Loi Informatique et Libertés. Le 13 juin 2018, après avoir relevé notamment que “les pilotes avaient été informés préalablement de l’existence de ce traitement”, “qu’ils pouvaient à tout moment accéder directement à l’événement, lors de sa création et une fois l’événement traité par le “manager”, pour y ajouter leurs commentaires”, et “que seul l’événement étant inscrit dans l’application (…) et non ses conséquences disciplinaires qui faisaient l’objet d’un traitement distinct”, la Cour de cassation a estimé que n’était pas démontrée l’illicéité de cette application.

Pour lire l’arrêt sur Légifrance

Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Mise en demeure d’une société par la CNIL pour absence de base légale du traitement mis en œuvre

Suite à une décision rendue par sa Présidente en 2016, une délégation de la CNIL a procédé à trois contrôles en ligne d’une société américaine exploitant une application mobile en France. Dans une décision du 27 novembre 2017, elle l’a mise en demeure de se conformer à la loi Informatique et Libertés après avoir constaté plusieurs manquements, notamment une absence de base légale pour la  transmission aux "sociétés de la famille Facebook" des données des utilisateurs, le consentement de ces derniers ne pouvant être considéré comme "valablement recueilli par la société, faute d’être libre et spécifique".

Pour lire la décision de la CNIL

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL

Cookies : extension du contrôle de la CNIL aux professionnels non éditeurs de sites

Par un communiqué du 27 juillet 2016, la CNIL a annoncé étendre ses contrôles relatifs aux cookies auprès des professionnels non éditeurs de sites afin de “tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée”. En effet, certains cookies sont liés à l’activité de tiers partenaires de l’éditeur du site concerné, activité sur laquelle ce dernier ne dispose d’aucune maîtrise. La CNIL a ainsi rappelé qu’en leur qualité de responsables de traitement, ces partenaires doivent respecter les principes de la loi Informatique et Libertés. A ce titre, elle a proposé que soit mise à disposition sur chaque site une liste actualisée de ces partenaires afin de permettre aux internautes d’identifier les responsables de traitement et que cette liste comporte pour chacun d’entre eux un lien renvoyant à une page dédiée qui informerait les internautes sur les collectes effectuées.

Pour lire le communiqué sur le site de la CNIL ---

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Mise en demeure de Facebook par la CNIL

Par une décision du 26 janvier 2016, la CNIL a considéré que Facebook ne respectait pas la Loi Informatique et Liberté et l’a mis en demeure de s’y conformer. La CNIL reproche notamment à Facebook d’être en mesure de suivre la navigation sur des sites tiers d’internautes non-inscrits. Elle a également constaté que le réseau social ne recueillait pas le consentement exprès des internautes, au moyen d’une case à cocher, lors de la collecte et du traitement de leurs données sensibles et ne délivrait pas d’informations sur l’utilisation de ces données sur le formulaire d’inscription au service. Enfin, la CNIL a relevé que le site déposait des cookies à finalités publicitaires, sans en avoir préalablement  informé les internautes  et  ne proposait pas de mécanisme leur permettant de s’y opposer. Facebook dispose d’un délai de 3 mois pour répondre à cette mise en demeure.

Pour lire la décision de la CNIL sur Légifrance

Une société de location de véhicules responsable du traitement de données de géolocalisation

Par un arrêt du 18 décembre 2015, le Conseil d’Etat a confirmé la décision de la CNIL sanctionnant une société de location de véhicules pour manquement à l’obligation d’accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement de données issues d’un dispositif de géolocalisation des véhicules. En l’espèce, le loueur avait déposé une requête en annulation de cette décision contestant le fait d’être regardé comme responsable du traitement. Le Conseil d’Etat a cependant considéré qu’il déterminait les finalités et les moyens du traitement et qu’il était donc responsable des traitements au sens de l’article 3-I de la Loi Informatique et Libertés, même sans être propriétaire de tous les véhicules.

 Pour lire l’arrêt sur Légifrance