Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL

Cookies : extension du contrôle de la CNIL aux professionnels non éditeurs de sites

Par un communiqué du 27 juillet 2016, la CNIL a annoncé étendre ses contrôles relatifs aux cookies auprès des professionnels non éditeurs de sites afin de “tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée”. En effet, certains cookies sont liés à l’activité de tiers partenaires de l’éditeur du site concerné, activité sur laquelle ce dernier ne dispose d’aucune maîtrise. La CNIL a ainsi rappelé qu’en leur qualité de responsables de traitement, ces partenaires doivent respecter les principes de la loi Informatique et Libertés. A ce titre, elle a proposé que soit mise à disposition sur chaque site une liste actualisée de ces partenaires afin de permettre aux internautes d’identifier les responsables de traitement et que cette liste comporte pour chacun d’entre eux un lien renvoyant à une page dédiée qui informerait les internautes sur les collectes effectuées.

Pour lire le communiqué sur le site de la CNIL ---

Site de rencontres : clôture par la CNIL de sa mise en demeure

Par un courrier du 18 avril 2016, la CNIL a clôturé la mise en demeure publique adressée à une société éditant un site de rencontres de se conformer à la Loi Informatique et Libertés, considérant que les manquements relevés ne perduraient plus. La CNIL a relevé que la société avait notamment “mis en place une procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement de données sensibles et un lien explicatif concernant ces données”, “ajouté des mentions d’information sur les formulaires de collecte des données”, “mis en œuvre une politique de durée de conservation limitées des données” et s’était “conformée à la mise en demeure en matière de sécurisation des données et de prospection commerciale”.

Pour lire le communiqué de la CNIL

Mise en demeure de Facebook par la CNIL

Par une décision du 26 janvier 2016, la CNIL a considéré que Facebook ne respectait pas la Loi Informatique et Liberté et l’a mis en demeure de s’y conformer. La CNIL reproche notamment à Facebook d’être en mesure de suivre la navigation sur des sites tiers d’internautes non-inscrits. Elle a également constaté que le réseau social ne recueillait pas le consentement exprès des internautes, au moyen d’une case à cocher, lors de la collecte et du traitement de leurs données sensibles et ne délivrait pas d’informations sur l’utilisation de ces données sur le formulaire d’inscription au service. Enfin, la CNIL a relevé que le site déposait des cookies à finalités publicitaires, sans en avoir préalablement  informé les internautes  et  ne proposait pas de mécanisme leur permettant de s’y opposer. Facebook dispose d’un délai de 3 mois pour répondre à cette mise en demeure.

Pour lire la décision de la CNIL sur Légifrance

Une société de location de véhicules responsable du traitement de données de géolocalisation

Par un arrêt du 18 décembre 2015, le Conseil d’Etat a confirmé la décision de la CNIL sanctionnant une société de location de véhicules pour manquement à l’obligation d’accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement de données issues d’un dispositif de géolocalisation des véhicules. En l’espèce, le loueur avait déposé une requête en annulation de cette décision contestant le fait d’être regardé comme responsable du traitement. Le Conseil d’Etat a cependant considéré qu’il déterminait les finalités et les moyens du traitement et qu’il était donc responsable des traitements au sens de l’article 3-I de la Loi Informatique et Libertés, même sans être propriétaire de tous les véhicules.

 Pour lire l’arrêt sur Légifrance

Avertissement public de la CNIL pour manquement à la Loi Informatique et Libertés

Par une délibération du 21 décembre 2015, la CNIL a prononcé un avertissement public à l’encontre d’une société ayant pour activité la constitution d’une base de données de seniors et sa location à des tiers effectuant de la prospection commerciale. La Commission a effectué un contrôle sur place, afin de vérifier l’effectivité des mesures prises par la société à la suite d’une instruction depuis clôturée et la conformité de ses traitements à la Loi Informatique et Libertés. Ce contrôle a notamment permis de constater que la société "ne recueill[ait] pas le consentement préalable des personnes préalablement à l’envoi par des tiers de courriels de prospection commerciale" et qu’elle "ne permett[ait] pas d’assurer la sécurité et la confidentialité des données".

Pour lire la délibération de la CNIL

Dispositif de vidéosurveillance constitutif d’un manquement à la loi Informatique et Libertés

Par un arrêt du 18 novembre 2015, le Conseil d’Etat a confirmé une décision de la CNIL par laquelle elle avait prononcé une sanction pécuniaire à l’égard d’une société de conseil qui avait instauré un dispositif de vidéosurveillance sur le lieu de travail en violation de la loi Informatique et Libertés. En effet, le Conseil d’Etat a estimé que la société avait manqué à l’obligation de proportionnalité en plaçant et maintenant sous surveillance au moins l’un de ses salariés au-delà du délai de mise en conformité fixé par la mise en demeure que la CNIL avait précédemment prononcée, et qu’elle avait également manqué à ses obligations légales d’information des salariés et des candidats à l’embauche, l’affichage à l’entrée des locaux ne comportant pas les mentions obligatoires prévues par l’article 32 de la loi. Le Conseil d’Etat a enfin confirmé le manquement de la société à l’obligation d’assurer la sécurité des données.

Pour lire l’arrêt sur Légifrance

Conformité des compteurs électriques “communicants” à la loi Informatique et Libertés

La CNIL a été consultée sur la conformité à la loi Informatique et Libertés d’un enregistrement en local, dans des compteurs électriques dits “communicants”, de la courbe de charge des usagers dont l’analyse peut livrer des informations sur la vie privée de ces derniers. Dans un communiqué du 30 novembre 2015, la CNIL a rappelé qu’elle considérait “acceptable et suffisamment protectrice” la conservation de cette donnée, sous réserve du respect de plusieurs conditions : l’usager doit pouvoir s’opposer au déclenchement de l’enregistrement de la courbe de charge en local “par le biais d’une case à cocher, sans avoir à motiver sa décision”, cette donnée doit être enregistrée pour une durée maximale d’un an, le consentement de l’abonné doit être obtenu pour que les informations sur sa courbe de charge soient remontées vers le gestionnaire et/ou vers un tiers, et enfin, l’usager doit pouvoir désactiver cet enregistrement local et purger ses données à tout moment.

Pour lire le communiqué de la CNIL

Vidéosurveillance sur le lieu de travail : mise en demeure d’une société par la CNIL

Le 14 octobre 2014, la CNIL a mis en demeure un distributeur de matériel informatique de mettre en conformité à la Loi Informatique et Libertés, sous un délai de deux mois, les systèmes de vidéosurveillance de tous ses magasins situés sur le territoire français. En l’espèce, la CNIL avait constaté que des postes de travail ainsi que des espaces de pause des salariés étaient filmés de manière permanente et que l’information délivrée aux salariés sur ce point était lacunaire. La CNIL a donc relevé un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées ainsi qu’un manquement à l’obligation d’informer les salariés de la société, aux termes des articles 6 et 32 de la Loi Informatique et Libertés. Si à l’expiration de ce délai de deux mois la société ne s’est pas conformée à la mise en demeure, elle encourt 150 000 euros d’amende.

Pour lire le communiqué de la CNIL

Inopposabilité d’un système biométrique de contrôle en cas d’absence d’information individuelle

Par un arrêt du 19 juin 2014, la Cour administrative d'appel de Versailles a annulé un jugement du Tribunal administratif de Cergy-Pontoise ayant rejeté les demandes d'annulation de deux sanctions disciplinaires prononcées par une commune à l'encontre d'un agent, pour refus de se soumettre à un système biométrique de contrôle du temps de présence. La Cour rappelle que l’article 32 de la loi Informatique et Libertés impose une information préalable des personnes concernées par la collecte d’informations personnelles et constate qu'en l'espèce, "il ne ressort pas des pièces du dossier que l'information individuelle exigée ait été délivrée individuellement aux agents de la commune". La Cour a donc considéré que le dispositif de contrôle biométrique était inopposable à l'agent et a annulé les sanctions disciplinaires prises sur ce fondement, sans pour autant remettre en cause la légalité du système biométrique.

Pour lire l’arrêt sur Legalis.net