La CNIL précise les conséquences d’un éventuel “Brexit sans accord” sur les transferts de données personnelles vers le Royaume-Uni

Le 20 février 2019, la CNIL a publié une série de questions-réponses précisant les recommandations à suivre en cas de sortie du Royaume-Uni de l’Union Européenne (UE) sans accord encadrant ce retrait. La CNIL précise que, dans cette hypothèse, à partir du 30 mars 2019, date de sortie prévue, le Royaume-Uni sera alors considéré comme un pays tiers, de sorte que les flux de données vers ce territoire devront être qualifiés de “transfert[s] de données hors de l’UE et de l’Espace Économique Européen (EEE)” au sens des articles 44 et suivants du RGPD. En conséquence, la CNIL invite les organismes concernés à envisager la mise en œuvre des mécanismes de conformité appropriées pour de tels transferts.

Pour lire les questions-réponses de la CNIL

Manquements à la loi Informatique et Libertés d’un système d’exploitation

Par une décision du 30 juin 2016, la CNIL a mis en demeure Microsoft de remédier aux manquements aux dispositions de la loi Informatique et Libertés de son système d’exploitation constatés à la suite de contrôles diligentés dans le cadre d’un groupe mis en place par le G29. La CNIL a notamment relevé que, par le suivi de la navigation des utilisateurs, la société collectait des données qui “ne sont pas directement nécessaires au fonctionnement du système d’exploitation”, et qu’elle ne respectait pas “l’obligation d’informer les [utilisateurs] et de mettre en œuvre un mécanisme valable d’opposition” au dépôt de cookies au moment de la consultation de la déclaration de confidentialité. Elle a également constaté des manquements à l’obligation de sécurité des données et à celle de disposer d’une base légale pour en transférer hors de l’Union européenne. Microsoft dispose de trois mois pour se mettre en conformité.

Pour lire le communiqué sur le site de la CNIL