Mise en demeure pour manquement à l’obligation de recueillir le consentement

Par une décision du 5 mars 2018, la CNIL a mis en demeure un fournisseur d’énergie de se conformer à la Loi informatique et libertés, après avoir constaté un manquement à son obligation de recueillir le consentement des consommateurs à la collecte de leurs données de consommation issues de compteurs communicants. La CNIL a constaté l’absence de consentement libre, éclairé et spécifique pour la collecte des données relatives aux consommations au pas de trente minutes, avant de relever que “le consentement exprès des clients et futurs clients n’[était] recueilli à aucun stade” s’agissant des données relatives à leurs consommations quotidiennes. La société dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Mise en demeure d’une société par la CNIL pour absence de base légale du traitement mis en œuvre

Suite à une décision rendue par sa Présidente en 2016, une délégation de la CNIL a procédé à trois contrôles en ligne d’une société américaine exploitant une application mobile en France. Dans une décision du 27 novembre 2017, elle l’a mise en demeure de se conformer à la loi Informatique et Libertés après avoir constaté plusieurs manquements, notamment une absence de base légale pour la  transmission aux "sociétés de la famille Facebook" des données des utilisateurs, le consentement de ces derniers ne pouvant être considéré comme "valablement recueilli par la société, faute d’être libre et spécifique".

Pour lire la décision de la CNIL

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL

Cookies : extension du contrôle de la CNIL aux professionnels non éditeurs de sites

Par un communiqué du 27 juillet 2016, la CNIL a annoncé étendre ses contrôles relatifs aux cookies auprès des professionnels non éditeurs de sites afin de “tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée”. En effet, certains cookies sont liés à l’activité de tiers partenaires de l’éditeur du site concerné, activité sur laquelle ce dernier ne dispose d’aucune maîtrise. La CNIL a ainsi rappelé qu’en leur qualité de responsables de traitement, ces partenaires doivent respecter les principes de la loi Informatique et Libertés. A ce titre, elle a proposé que soit mise à disposition sur chaque site une liste actualisée de ces partenaires afin de permettre aux internautes d’identifier les responsables de traitement et que cette liste comporte pour chacun d’entre eux un lien renvoyant à une page dédiée qui informerait les internautes sur les collectes effectuées.

Pour lire le communiqué sur le site de la CNIL ---

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Mise en demeure de Facebook par la CNIL

Par une décision du 26 janvier 2016, la CNIL a considéré que Facebook ne respectait pas la Loi Informatique et Liberté et l’a mis en demeure de s’y conformer. La CNIL reproche notamment à Facebook d’être en mesure de suivre la navigation sur des sites tiers d’internautes non-inscrits. Elle a également constaté que le réseau social ne recueillait pas le consentement exprès des internautes, au moyen d’une case à cocher, lors de la collecte et du traitement de leurs données sensibles et ne délivrait pas d’informations sur l’utilisation de ces données sur le formulaire d’inscription au service. Enfin, la CNIL a relevé que le site déposait des cookies à finalités publicitaires, sans en avoir préalablement  informé les internautes  et  ne proposait pas de mécanisme leur permettant de s’y opposer. Facebook dispose d’un délai de 3 mois pour répondre à cette mise en demeure.

Pour lire la décision de la CNIL sur Légifrance

Une société de location de véhicules responsable du traitement de données de géolocalisation

Par un arrêt du 18 décembre 2015, le Conseil d’Etat a confirmé la décision de la CNIL sanctionnant une société de location de véhicules pour manquement à l’obligation d’accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement de données issues d’un dispositif de géolocalisation des véhicules. En l’espèce, le loueur avait déposé une requête en annulation de cette décision contestant le fait d’être regardé comme responsable du traitement. Le Conseil d’Etat a cependant considéré qu’il déterminait les finalités et les moyens du traitement et qu’il était donc responsable des traitements au sens de l’article 3-I de la Loi Informatique et Libertés, même sans être propriétaire de tous les véhicules.

 Pour lire l’arrêt sur Légifrance

Avertissement public de la CNIL pour manquement à la Loi Informatique et Libertés

Par une délibération du 21 décembre 2015, la CNIL a prononcé un avertissement public à l’encontre d’une société ayant pour activité la constitution d’une base de données de seniors et sa location à des tiers effectuant de la prospection commerciale. La Commission a effectué un contrôle sur place, afin de vérifier l’effectivité des mesures prises par la société à la suite d’une instruction depuis clôturée et la conformité de ses traitements à la Loi Informatique et Libertés. Ce contrôle a notamment permis de constater que la société "ne recueill[ait] pas le consentement préalable des personnes préalablement à l’envoi par des tiers de courriels de prospection commerciale" et qu’elle "ne permett[ait] pas d’assurer la sécurité et la confidentialité des données".

Pour lire la délibération de la CNIL

Dispositif de vidéosurveillance constitutif d’un manquement à la loi Informatique et Libertés

Par un arrêt du 18 novembre 2015, le Conseil d’Etat a confirmé une décision de la CNIL par laquelle elle avait prononcé une sanction pécuniaire à l’égard d’une société de conseil qui avait instauré un dispositif de vidéosurveillance sur le lieu de travail en violation de la loi Informatique et Libertés. En effet, le Conseil d’Etat a estimé que la société avait manqué à l’obligation de proportionnalité en plaçant et maintenant sous surveillance au moins l’un de ses salariés au-delà du délai de mise en conformité fixé par la mise en demeure que la CNIL avait précédemment prononcée, et qu’elle avait également manqué à ses obligations légales d’information des salariés et des candidats à l’embauche, l’affichage à l’entrée des locaux ne comportant pas les mentions obligatoires prévues par l’article 32 de la loi. Le Conseil d’Etat a enfin confirmé le manquement de la société à l’obligation d’assurer la sécurité des données.

Pour lire l’arrêt sur Légifrance