Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Validation par le Conseil d’État d’une sanction prononcée par la CNIL

Par un arrêt du 19 juin 2017, le Conseil d’État a validé la sanction pécuniaire de 50 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à ses obligations de sécurité et de confidentialité des données, suite à une mise en demeure de se conformer à la loi Informatique et Libertés restée sans effet. Le Conseil d’État a considéré comme étant proportionnée la sanction infligée à la société “eu égard à la nature, à la gravité et à la persistance des manquements constatés”. Si le Conseil d’État a confirmé que “la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données”, i l  a  affirmé qu’“en revanche la circonstance qu’il [avait] été postérieurement remédié au manquement fautif [pouvait] être prise en compte pour la détermination de la sanction”. Concernant la mesure de publication, le Conseil d’État a par ailleurs estimé que “la CNIL [devait] être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle”, et l’a limitée à deux ans.

Arrêt non publié

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Consultation par la CNIL sur la sécurité du vote électronique

Dans un communiqué du 13 janvier 2016, la CNIL a annoncé le lancement d’une consultation jusqu’au 1er mars 2016 auprès des correspondants informatique et libertés (CIL), des experts en sécurité et des prestataires de solution de vote électronique afin de mieux prendre en considération l’aspect sécurité du vote par correspondance électronique dans ses recommandations. Cette initiative tient compte de "la démocratisation du recours au vote électronique", de "la sensibilité des données traitées" et de "la relative complexité technique des solutions mises en œuvre". La CNIL souhaite ainsi élaborer "une doctrine à plusieurs niveaux de sécurité" pour répondre à la diversité des types de scrutins et identifier les mesures devenues inutiles.

Pour lire le communiqué de la CNIL

Sécurité et confidentialité des données : avertissement public de la CNIL à une société de livraison

Par délibération du 12 juin 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société dont un contrôle avait permis de révéler que des fiches clients contenant "des données relatives à l’identité, à l’adresse des personnes, à leurs numéros de téléphone et adresses téléphoniques ainsi que parfois des instructions détaillées de livraison" étaient en accès libre sur un moteur de recherche. Pour expliquer l’origine de cette faille de sécurité, la société indique qu’il s’agissait d’un défaut de conception de l’application par un sous-traitant. Cependant, la CNIL rappelle que "la responsabilité [d’un défaut dans la conception de l’application] incombe nécessairement à la société en tant que responsable de traitement et ceci qu’elle qu’en soit l’origine réelle". La CNIL relève que malgré les dispositions prises par la société suite au contrôle pour limiter l’effet du défaut de sécurisation de l’application, "la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application" et qu’"elle est ainsi restée dans l’ignorance de la seconde faille de sécurité, révélée lors du contrôle".

Pour lire la délibération de la CNIL

Recommandation de la CNIL sur l’utilisation des cartes bancaires pour le paiement en ligne

Dans un communiqué du 25 février 2014, la CNIL précise les apports de sa recommandation du 14 novembre 2013 concernant le traitement des données bancaires à l’occasion de paiements en ligne. Elle a ainsi actualisé « les données pouvant être collectées ou non lors du paiement », « les conditions de recueil du consentement du client » ainsi que les « mesures de sécurité renforcées » à adopter, lesquelles concernent désormais toutes les cartes de paiement. La CNIL recommande également la notification, au titulaire de la carte « des failles de sécurité conduisant à la compromission de ses données bancaires », ainsi que « la mise en place de moyens d’authentification renforcée du titulaire de la carte de paiement permettant de s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ».

Pour lire le communiqué de la CNIL.

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Enquête de la CNIL sur la sécurité des cartes bancaires sans contact

Dans un communiqué du 10 mai 2012, la CNIL a annoncé l’ouverture d’une enquête technique suite à la révélation, dans plusieurs articles de presse, de problèmes de sécurité liés à des cartes bancaires sans contact. Il s’agit de cartes « équipées de la technologie sans fil  à courte portée et à haute fréquence NFC (Near Field Communication) » permettant de réaliser des transactions en les apposant simplement sur un terminal de paiement équipé d’un capteur. L’enquête de la CNIL vise à vérifier que des tiers non autorisés ne peuvent avoir accès aux données personnelles contenues dans ces cartes et que les organismes mettant en œuvre des traitements de données respectent bien leur obligation en matière de sécurité.

Pour lire le communiqué sur le site de la CNIL

L’utilisation des bracelets électroniques pour la surveillance indirecte des salariés

La CNIL a effectué deux contrôles en juin 2010 dans des établissements d'hébergement pour personnes âgées dépendantes (EHPAD) où l'utilisation du bracelet électronique des patients servait indirectement au contrôle de l’activité des salariés. Ces contrôles ont permis de révéler l’absence des formalités préalables et le défaut d'information tant des résidents et de leur famille que des salariés et de leurs instances représentatives. Lien vers l'article de la CNIL publié sur son site