Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Consultation par la CNIL sur la sécurité du vote électronique

Dans un communiqué du 13 janvier 2016, la CNIL a annoncé le lancement d’une consultation jusqu’au 1er mars 2016 auprès des correspondants informatique et libertés (CIL), des experts en sécurité et des prestataires de solution de vote électronique afin de mieux prendre en considération l’aspect sécurité du vote par correspondance électronique dans ses recommandations. Cette initiative tient compte de "la démocratisation du recours au vote électronique", de "la sensibilité des données traitées" et de "la relative complexité technique des solutions mises en œuvre". La CNIL souhaite ainsi élaborer "une doctrine à plusieurs niveaux de sécurité" pour répondre à la diversité des types de scrutins et identifier les mesures devenues inutiles.

Pour lire le communiqué de la CNIL

Sécurité et confidentialité des données : avertissement public de la CNIL à une société de livraison

Par délibération du 12 juin 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société dont un contrôle avait permis de révéler que des fiches clients contenant "des données relatives à l’identité, à l’adresse des personnes, à leurs numéros de téléphone et adresses téléphoniques ainsi que parfois des instructions détaillées de livraison" étaient en accès libre sur un moteur de recherche. Pour expliquer l’origine de cette faille de sécurité, la société indique qu’il s’agissait d’un défaut de conception de l’application par un sous-traitant. Cependant, la CNIL rappelle que "la responsabilité [d’un défaut dans la conception de l’application] incombe nécessairement à la société en tant que responsable de traitement et ceci qu’elle qu’en soit l’origine réelle". La CNIL relève que malgré les dispositions prises par la société suite au contrôle pour limiter l’effet du défaut de sécurisation de l’application, "la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application" et qu’"elle est ainsi restée dans l’ignorance de la seconde faille de sécurité, révélée lors du contrôle".

Pour lire la délibération de la CNIL

Recommandation de la CNIL sur l’utilisation des cartes bancaires pour le paiement en ligne

Dans un communiqué du 25 février 2014, la CNIL précise les apports de sa recommandation du 14 novembre 2013 concernant le traitement des données bancaires à l’occasion de paiements en ligne. Elle a ainsi actualisé « les données pouvant être collectées ou non lors du paiement », « les conditions de recueil du consentement du client » ainsi que les « mesures de sécurité renforcées » à adopter, lesquelles concernent désormais toutes les cartes de paiement. La CNIL recommande également la notification, au titulaire de la carte « des failles de sécurité conduisant à la compromission de ses données bancaires », ainsi que « la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ».

Pour lire le communiqué de la CNIL.

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Enquête de la CNIL sur la sécurité des cartes bancaires sans contact

Dans un communiqué du 10 mai 2012, la CNIL a annoncé l’ouverture d’une enquête technique suite à la révélation, dans plusieurs articles de presse, de problèmes de sécurité liés à des cartes bancaires sans contact. Il s’agit de cartes « équipées de la technologie sans fil  à courte portée et à haute fréquence NFC (Near Field Communication) » permettant de réaliser des transactions en les apposant simplement sur un terminal de paiement équipé d’un capteur. L’enquête de la CNIL vise à vérifier que des tiers non autorisés ne peuvent avoir accès aux données personnelles contenues dans ces cartes et que les organismes mettant en œuvre des traitements de données respectent bien leur obligation en matière de sécurité.

Pour lire le communiqué sur le site de la CNIL

L’utilisation des bracelets électroniques pour la surveillance indirecte des salariés

La CNIL a effectué deux contrôles en juin 2010 dans des établissements d'hébergement pour personnes âgées dépendantes (EHPAD) où l'utilisation du bracelet électronique des patients servait indirectement au contrôle de l’activité des salariés. Ces contrôles ont permis de révéler l’absence des formalités préalables et le défaut d'information tant des résidents et de leur famille que des salariés et de leurs instances représentatives. Lien vers l'article de la CNIL publié sur son site