Sanction d’une société de VTC pour manquement à son obligation d’assurer la sécurité des données

Une société de VTC s’est vue sanctionner par la CNIL à hauteur de 400 000 euros le 19 décembre 2018, pour avoir manqué à son obligation, en tant que responsable de traitement, "de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès". Il lui était reproché un "manque de précautions généralisé" dès lors qu’elle n’avait pas mis en place "certaines mesures élémentaires de sécurité" telles qu’une "mesure d’authentification multifactorielle" ou un "filtrage des adresses IP" afin d’"éviter toute connexion illicite, en sécurisant les échanges de données".

  Pour lire la décision de la CNIL

CNIL : avertissement et mise en demeure d’un site de vente en ligne

Par délibérations des 20 et 26 septembre 2016, la CNIL a sanctionné une société de vente en ligne de produits aux particuliers. L’avertissement est principalement fondé sur le non-respect des obligations de sécurité et de confidentialité des données des utilisateurs, ainsi que sur la durée de conservation des données, jugée excessive. La décision de mise en demeure résulte de plusieurs manquements, notamment à l’obligation de recueillir le consentement des personnes concernées pour la conservation de leurs coordonnées bancaires, de leur fournir les informations relatives au traitement réalisé ou encore de mettre en œuvre un mécanisme valable d’opposition. La société dispose de trois mois pour se mettre en conformité.

Pour lire l’avertissement et la mise en demeure de la CNIL

Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL