Mise en demeure de Facebook par la CNIL

Par une décision du 26 janvier 2016, la CNIL a considéré que Facebook ne respectait pas la Loi Informatique et Liberté et l’a mis en demeure de s’y conformer. La CNIL reproche notamment à Facebook d’être en mesure de suivre la navigation sur des sites tiers d’internautes non-inscrits. Elle a également constaté que le réseau social ne recueillait pas le consentement exprès des internautes, au moyen d’une case à cocher, lors de la collecte et du traitement de leurs données sensibles et ne délivrait pas d’informations sur l’utilisation de ces données sur le formulaire d’inscription au service. Enfin, la CNIL a relevé que le site déposait des cookies à finalités publicitaires, sans en avoir préalablement  informé les internautes  et  ne proposait pas de mécanisme leur permettant de s’y opposer. Facebook dispose d’un délai de 3 mois pour répondre à cette mise en demeure.

Pour lire la décision de la CNIL sur Légifrance

Une société de location de véhicules responsable du traitement de données de géolocalisation

Par un arrêt du 18 décembre 2015, le Conseil d’Etat a confirmé la décision de la CNIL sanctionnant une société de location de véhicules pour manquement à l’obligation d’accomplir les formalités préalables nécessaires à la mise en œuvre d’un traitement de données issues d’un dispositif de géolocalisation des véhicules. En l’espèce, le loueur avait déposé une requête en annulation de cette décision contestant le fait d’être regardé comme responsable du traitement. Le Conseil d’Etat a cependant considéré qu’il déterminait les finalités et les moyens du traitement et qu’il était donc responsable des traitements au sens de l’article 3-I de la Loi Informatique et Libertés, même sans être propriétaire de tous les véhicules.

 Pour lire l’arrêt sur Légifrance

Avertissement public de la CNIL pour manquement à la Loi Informatique et Libertés

Par une délibération du 21 décembre 2015, la CNIL a prononcé un avertissement public à l’encontre d’une société ayant pour activité la constitution d’une base de données de seniors et sa location à des tiers effectuant de la prospection commerciale. La Commission a effectué un contrôle sur place, afin de vérifier l’effectivité des mesures prises par la société à la suite d’une instruction depuis clôturée et la conformité de ses traitements à la Loi Informatique et Libertés. Ce contrôle a notamment permis de constater que la société "ne recueill[ait] pas le consentement préalable des personnes préalablement à l’envoi par des tiers de courriels de prospection commerciale" et qu’elle "ne permett[ait] pas d’assurer la sécurité et la confidentialité des données".

Pour lire la délibération de la CNIL

Dispositif de vidéosurveillance constitutif d’un manquement à la loi Informatique et Libertés

Par un arrêt du 18 novembre 2015, le Conseil d’Etat a confirmé une décision de la CNIL par laquelle elle avait prononcé une sanction pécuniaire à l’égard d’une société de conseil qui avait instauré un dispositif de vidéosurveillance sur le lieu de travail en violation de la loi Informatique et Libertés. En effet, le Conseil d’Etat a estimé que la société avait manqué à l’obligation de proportionnalité en plaçant et maintenant sous surveillance au moins l’un de ses salariés au-delà du délai de mise en conformité fixé par la mise en demeure que la CNIL avait précédemment prononcée, et qu’elle avait également manqué à ses obligations légales d’information des salariés et des candidats à l’embauche, l’affichage à l’entrée des locaux ne comportant pas les mentions obligatoires prévues par l’article 32 de la loi. Le Conseil d’Etat a enfin confirmé le manquement de la société à l’obligation d’assurer la sécurité des données.

Pour lire l’arrêt sur Légifrance

Conformité des compteurs électriques “communicants” à la loi Informatique et Libertés

La CNIL a été consultée sur la conformité à la loi Informatique et Libertés d’un enregistrement en local, dans des compteurs électriques dits “communicants”, de la courbe de charge des usagers dont l’analyse peut livrer des informations sur la vie privée de ces derniers. Dans un communiqué du 30 novembre 2015, la CNIL a rappelé qu’elle considérait “acceptable et suffisamment protectrice” la conservation de cette donnée, sous réserve du respect de plusieurs conditions : l’usager doit pouvoir s’opposer au déclenchement de l’enregistrement de la courbe de charge en local “par le biais d’une case à cocher, sans avoir à motiver sa décision”, cette donnée doit être enregistrée pour une durée maximale d’un an, le consentement de l’abonné doit être obtenu pour que les informations sur sa courbe de charge soient remontées vers le gestionnaire et/ou vers un tiers, et enfin, l’usager doit pouvoir désactiver cet enregistrement local et purger ses données à tout moment.

Pour lire le communiqué de la CNIL

Vidéosurveillance sur le lieu de travail : mise en demeure d’une société par la CNIL

Le 14 octobre 2014, la CNIL a mis en demeure un distributeur de matériel informatique de mettre en conformité à la Loi Informatique et Libertés, sous un délai de deux mois, les systèmes de vidéosurveillance de tous ses magasins situés sur le territoire français. En l’espèce, la CNIL avait constaté que des postes de travail ainsi que des espaces de pause des salariés étaient filmés de manière permanente et que l’information délivrée aux salariés sur ce point était lacunaire. La CNIL a donc relevé un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées ainsi qu’un manquement à l’obligation d’informer les salariés de la société, aux termes des articles 6 et 32 de la Loi Informatique et Libertés. Si à l’expiration de ce délai de deux mois la société ne s’est pas conformée à la mise en demeure, elle encourt 150 000 euros d’amende.

Pour lire le communiqué de la CNIL

Inopposabilité d’un système biométrique de contrôle en cas d’absence d’information individuelle

Par un arrêt du 19 juin 2014, la Cour administrative d'appel de Versailles a annulé un jugement du Tribunal administratif de Cergy-Pontoise ayant rejeté les demandes d'annulation de deux sanctions disciplinaires prononcées par une commune à l'encontre d'un agent, pour refus de se soumettre à un système biométrique de contrôle du temps de présence. La Cour rappelle que l’article 32 de la loi Informatique et Libertés impose une information préalable des personnes concernées par la collecte d’informations personnelles et constate qu'en l'espèce, "il ne ressort pas des pièces du dossier que l'information individuelle exigée ait été délivrée individuellement aux agents de la commune". La Cour a donc considéré que le dispositif de contrôle biométrique était inopposable à l'agent et a annulé les sanctions disciplinaires prises sur ce fondement, sans pour autant remettre en cause la légalité du système biométrique.

Pour lire l’arrêt sur Legalis.net

Proposition de loi sur l’usage des techniques biométriques

Le 27 mai 2014, le Sénat a adopté une proposition de loi "visant à limiter l’usage des techniques biométriques" en modifiant l’article 25 de la loi Informatique et libertés. Cette proposition vise à limiter l’usage des traitements automatisés comportant des données biométriques, nécessaires au contrôle de l’identité des personnes, aux finalités que sont "la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l’intérêt propre de l’organisme les mettant en œuvre". Le texte doit maintenant être examiné par l’Assemblée nationale.

Pour lire la proposition de loi sur le site du Sénat.

Résultats de l’enquête conjointe sur ‘‘l’IP Tracking’’

Le 27 janvier 2014, la CNIL et la DGCCRF ont rendu leurs conclusions sur leur opération conjointe de contrôle de sites de sociétés françaises de e-commerce (notamment de transport) au sujet d'une éventuelle pratique de l’‘‘IP Tracking’’ consistant à moduler les tarifs affichés en fonction de l’adresse IP de l’internaute. Si aucune des techniques observées ne prend en compte l’adresse IP comme élément déterminant de variation des tarifs, d’autres pratiques ont été mises en évidence, et notamment certaines ‘‘basées sur le nombre de places offertes ou restant dans l'avion ou le train concerné’’, d’autres ‘‘conduisant à moduler les frais de dossier selon l'heure à laquelle l'internaute effectue sa réservation’’ ou encore une ‘‘pratique conduisant à une modulation du prix proposé en fonction du site internet précédemment consulté par l'internaute’’. Cette dernière pratique sera examinée par la CNIL et la DGCCRF ‘‘au regard de la loi " informatique et libertés " et des articles L. 120-1 et suivants du code de la consommation’’.

Pour lire les conclusions de l'enquête sur le site de la CNIL.

Condamnation de Google par la CNIL

Le 3 janvier 2014, la formation restreinte de la CNIL a condamné Google.Inc à une sanction pécuniaire de 150 000 euros et à la publication d'un communiqué relatif à cette décision sur sa page d’accueil pendant 48 heures, considérant que ses règles de confidentialité ne respectent pas la loi « Informatique et Libertés ». Depuis le 1er mars 2012, Google avait fusionné les différentes règles de confidentialité applicables à une soixantaine de ses services en une seule politique. Si la CNIL ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société, elle relève toutefois, que Google « n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles », qu’elle « ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux » et qu’elle « ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite ».

Pour lire la délibération de la CNIL.