Mise en demeure d’une société de ciblage publicitaire via des applications mobiles par la Présidente de la CNIL

Le 8 octobre 2018, la Présidente de la CNIL a mis en demeure une société qui a pour activité "d’afficher des publicités pour le compte d’annonceurs, sur les ordiphones de personnes dont le profil est déterminé à partir de leurs données de géolocalisation" et de "mesurer les visites des mobinautes dans les points de vente de ses clients" de se conformer à la loi Informatique et Libertés dans un délai de trois mois. En effet, la Présidente de la CNIL a constaté en particulier que la société manquait à son obligation de disposer d’une base légale pour la mise en œuvre du traitement, puisqu’elle indiquait qu’il s’agissait  du consentement des personnes concernées, or il ressortait du contrôle opéré par la délégation de la CNIL que "les personnes [n’étaient] pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire" et qu’elles ne fournissaient un consentement ni spécifique puisque seulement global, ni univoque puisqu’il ne leur était pas proposé "clairement de refuser la collecte et le traitement de [leurs] données à caractère personnel".

Pour lire la décision de la Présidente de la CNIL

Orange mise en demeure par l’Arcep de respecter ses obligations en sa qualité d’opérateur du service universel

Le 23 octobre 2018, l’Arcep a mis en demeure la société Orange de respecter ses obligations de qualité de service en tant qu’opérateur chargé du service universel. En effet, par arrêté du 27 novembre 2017, "la société Orange a été désignée, pour une durée de trois ans, comme opérateur chargé de fournir les prestations "raccordement" et "service téléphonique" du service universel", afin de "garantir l’accès pour tous les citoyens au service téléphonique à un tarif abordable". A cette fin, Orange doit respecter un cahier des charges fixé par ledit arrêté, qui prévoit "une douzaine d’indicateurs annuels de qualité de service", or "l’instruction [conduite par l’ARCEP] a permis de confirmer la dégradation progressive de la qualité de service du service universel". L’Arcep a donc pris la décision d’imposer à Orange des paliers trimestriels à respecter dès fin 2018 "afin de favoriser une amélioration rapide de la situation".

Pour lire le communiqué de presse de l’Arcep

Ciblage publicitaire : mise en demeure par la CNIL de deux sociétés du secteur

Suite à des missions de contrôle, la CNIL a, le 25 juin 2018, mis deux sociétés proposant à leurs partenaires des technologies de ciblage publicitaire en demeure, sous un délai de trois mois, de se conformer à la Loi Informatique et Libertés. Elle avait en effet noté qu’aucune d’entre elles ne proposait “aux utilisateurs ayant téléchargé les applications [de leurs] partenaires (…) de mécanisme pour consentir préalablement aux traitements opérés” de sorte qu’elles ne disposaient pas d’une base légale pour la mise en œuvre du traitement. S’agissant en outre de l’une des deux sociétés, la CNIL a relevé qu’elle avait également manqué à son obligation de définir et respecter une durée de conservation proportionnée à la finalité du traitement en conservant les données de géolocalisation des personnes pendant 13 mois, ainsi qu’à son obligation d’assurer la sécurité et la confidentialité des données gérées par Google, hébergeur de la base de données dans laquelle les données collectées étaient stockées.

Pour lire la première et la seconde mises en demeure de la CNIL

Mise en demeure d’un établissement public pour manquement à l’obligation de sécurité des données

Par une décision du 8 février 2018, la CNIL a mis la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) en demeure de se conformer à la Loi informatique et libertés, après avoir relevé qu’elle ne respectait pas son article 34 sur la sécurité et la confidentialité des données. La CNIL reproche à la CNAMTS de “multiples insuffisances” à ce titre, en ce qui concerne notamment “la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs […] et par des prestataires, la sécurité des postes de travail des utilisateurs”. Elle dispose d’un délai de 3 mois pour satisfaire à cette mise en demeure.

Pour lire la décision de la CNIL

Vidéosurveillance sur le lieu de travail : mise en demeure d’une société par la CNIL

Le 14 octobre 2014, la CNIL a mis en demeure un distributeur de matériel informatique de mettre en conformité à la Loi Informatique et Libertés, sous un délai de deux mois, les systèmes de vidéosurveillance de tous ses magasins situés sur le territoire français. En l’espèce, la CNIL avait constaté que des postes de travail ainsi que des espaces de pause des salariés étaient filmés de manière permanente et que l’information délivrée aux salariés sur ce point était lacunaire. La CNIL a donc relevé un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées ainsi qu’un manquement à l’obligation d’informer les salariés de la société, aux termes des articles 6 et 32 de la Loi Informatique et Libertés. Si à l’expiration de ce délai de deux mois la société ne s’est pas conformée à la mise en demeure, elle encourt 150 000 euros d’amende.

Pour lire le communiqué de la CNIL

Rejet d’une requête contre un avertissement public de la CNIL

Dans un arrêt du 27 juillet 2012, le Conseil d’Etat a rejeté la requête d’une société de cours à domicile visant à annuler une délibération du 22 avril 2010 par laquelle la CNIL avait rendu un avertissement à son encontre public pour méconnaissance des dispositions de la Loi Informatique et Libertés. Par une autre délibération du même jour, la CNIL avait  par ailleurs mis en demeure cette société de cesser ces agissements. Selon la requérante, un avertissement ne pouvait être infligé en même temps qu’une mise en demeure était adoptée. Le Conseil d’Etat rejette la requête en considérant que « la mise en demeure n’est pas une sanction », qu’ « un avertissement pouvait être infligé en même temps qu’une mise en demeure » et que le dommage significatif causé par le caractère public de l’avertissement était en l’espèce proportionné par l’ampleur des manquements relevés.

Pour lire l’arrêt sur Légifrance

Sanction d’un syndicat pour absence de réponse aux courriers de la Cnil

Dans une délibération du 16 février 2012, la Cnil a prononcé une sanction pécuniaire de 5 000 euros à un syndicat qui n’avait pas répondu à une mise en demeure. La Commission avait été saisie d’une plainte émanant d’un professeur d’université en raison de l’envoi de plusieurs courriels de prospection syndicale non sollicités sur sa messagerie professionnelle. Elle rappelle qu’une adresse de messagerie professionnelle est une donnée à caractère personnel au sens de la Loi Informatique et Libertés, et doit donc être collectée de manière loyale et licite. Or, en l’espèce, le plaignant n’avait jamais été informé préalablement de cette prospection.

Pour consulter la délibération sur Légifrance

Sanction d’une agence immobilière pour défaut de réponse à la Cnil

La Cnil a prononcé un avertissement à l’encontre d'une agence immobilière qui s’était abstenue de répondre à ses courriers et qui avait tardé à répondre à une mise en demeure de se conformer aux dispositions de la loi informatique et libertés. Saisie par un particulier qui s’était vu refuser une visite d'un bien immobilier pour ne pas avoir communiqué ses informations financières, la Cnil avait alors envoyé plusieurs courriers à l’agence lui demandant des explications et l’invitant à procéder aux formalités préalables obligatoires pour la collecte et le traitement de ce type d’informations, courriers auxquels aucune réponse satisfaisante n'a été apportée.

Pour consulter l'article sur le site de la Cnil

Mise en demeure par la Cnil des sociétés d’auteurs et de leur sous-traitant

A la suite d’un contrôle effectué les 17 et 18 mai 2011 dans les locaux de la société TMG, sous-traitant des sociétés de perception et de répartition des droits d’auteur (SRPD) dans la mise en œuvre du dispositif de riposte graduée, la Cnil a constaté plusieurs manquements à leurs obligations de sécurité dans le traitement des données. Elle a notamment relevé un manque de rigueur dans la mise à jour des équipements informatiques, la défaillance des mesures de sécurité physique ainsi que l’absence de procédure permettant d’en garantir la bonne application. Les SRPD, qui ont obtenu l’autorisation de mise en œuvre du traitement, demeurent responsables. Elles disposent de trois mois pour s’assurer que la société TMG garantisse de manière suffisante la sécurité des données traitées.

Pour consulter l’article sur le site de la Cnil

Cinq établissements scolaires mis en demeure par la Cnil

A la suite de plaintes d’associations, de parents d’élèves et d’enseignants, la Cnil a contrôlé les dispositifs de vidéosurveillance installés dans plusieurs établissements scolaires. Ces contrôles ont conduit à la mise en demeure de cinq établissements dans lesquelles les élèves et le personnel étaient placés sous une surveillance permanente. La Cnil a estimé que seules des circonstances exceptionnelles pouvaient justifier de tels dispositifs de surveillance.

Pour consulter l’article sur le site de la Cnil