#04/10/2022 – CNIL (France) – 18 mises en demeure sur 22 clôturées concernant la désignation d’un DPO
Le 25 avril 2022 la CNIL avait prononcé 22 mises en demeure à l’encontre de 22 communes qui n’avaient pas désigné de DPO. La réglementation impose dans certains cas de désigner un DPO, notamment lorsque le responsable de traitement est une autorité publique ou un organisme public. Les communes avaient 4 mois pour se mettre en conformité. A ce jour, 18 communes ont désigné un DPO, 2 sont en train de le faire et 2 autres n’ont pas répondu à la CNIL ni désigné un DPO.
La CNIL a décidé de clôturer les mises en demeures pour les communes ayant désigné un DPO.
Concernant les autres la CNIL se réserve la possibilité d’engager une procédure qui pourra notamment entraîner une amende.
La réglementation impose dans certains cas la désignation d’un DPO. Ceci étant, même lorsque ce n’est pas le cas, il reste stratégique de nommer a minima une personne en charge de coordonner la mise en œuvre de la protection des données au sein d’un organisme afin d’être en mesure de se conformer aux obligations légales.
Pour en savoir plus :
#13/09/2022 – CNIL (France) – Infogreffe sanctionné pour les traitements de son site web >> 250K€
Les faits :
Le site web ” infogreffe.fr ” permet de consulter des informations légales sur les entreprises et de commander des documents certifiés par les greffes des tribunaux de commerce. En 2020, plus de 24 millions de visites ont été recensées sur le site. Les utilisateurs qui souhaitent regarder ou commander un acte payant sur le site web doivent disposer d’un compte pour être qualifiés de ” membres “. Environ 3.7 millions de personnes disposent d’un compte. Les utilisateurs peuvent aussi devenir des « abonnés » en souscrivant un abonnement annuel leur permettant notamment d’accéder à certains services. Lors de la création d’un compte membre ou abonné, l’utilisateur doit obligatoirement renseigner les informations suivantes : nom, prénom, adresses postale et électronique, téléphone fixe ou portable et choix d’une question secrète et de sa réponse. Les données bancaires des abonnés (IBAN et BIC) sont également traitées par Infogreffe.
Le 12 décembre 2020, la CNIL a reçu une plainte d’un utilisateur du site web qui a pu obtenir son mot de passe par téléphone en donnant simplement son nom. Par ailleurs, il a indiqué que les mots de passe sont conservés en clair sur le site web. A la suite de cette plainte, le 4 mars 2021, la CNIL a décidé d’effectuer un contrôle en ligne sur tous les traitements effectués sur le site web.
Décision :
A la suite de ce contrôle elle a relevé plusieurs manquements relatifs notamment aux obligations d’appliquer des durées de conservation proportionnée à la finalité du traitement ou à la sécurité des mots de passe. En raison de ces manquements la CNIL a décidé d’infliger une amende à INFOGREFFE.
Sanction :
La sanction infligée est de 250K€. La CNIL a tenu compte de la nature de l’acteur concerné qui regroupe les greffiers des tribunaux de commerce, qui sont des officiers publics et ministériels chargés de l’exécution de missions de service public. De ce fait, l’organisme aurait dû faire preuve d’une vigilance particulière. Par ailleurs les manquements sont relatifs à des principes clés de la protection des données qui préexistaient dans la loi Informatique et Libertés.
Ce qu’il faut retenir :
Bien que la CNIL émette des « recommandations » qui constituent un droit souple, notamment concernant les mots de passe, ces recommandations reflètent les précautions élémentaires correspondant à l’état de l’art actuel en la matière. La CNIL se base donc dessus pour émettre ses décisions.
Pour en savoir plus :
# 25/08/2022 – Dénonciation de failles de sécurité chez Twitter par un ancien salarié – la CNIL investigue !
Licencié en janvier, l’ancien directeur de la sécurité informatique de Twitter dénonce des failles et de possibles fraudes dans le cadre d’une plainte transmise à la Securities and Exchange Commission – SEC, le gendarme boursier américain.
Une grande partie des serveurs utilisés seraient obsolètes et des mises à jour pour faille de sécurité seraient bloquées par les ordinateurs des employés.
Dépassant le territoire américain, le sujet aurait été pris en main en France pour analyse par la CNIL puisque des données personnelles des utilisateurs pourraient être en jeu.
#03/08/2022 – CNIL (France) – Un groupe hôtelier sanctionné pour prospection commerciale illégale >> 600K€
Les faits :
Entre décembre 2018 et septembre 2019 des autorités européennes de protection des données et la CNIL ont reçu 5 plaintes de personnes rencontrant des difficultés à exercer leur droit d’opposition à la réception par courriel de messages de prospection commerciale (courriels publicitaires, courriels de bienvenue au programme de fidélité, newsletters) de la part du groupe hôtelier. La CNIL a également reçu une plainte concernant des difficultés rencontrées pour exercer le droit d’accès concernant des données bancaires. L’établissement principal de l’établissement se trouvant en France, la CNIL a agi en tant qu’autorité chef de file dans cette procédure. Dans ce cadre, en mars 2019, la CNIL a adressé un questionnaire au groupe hôtelier et a effectué un contrôle sur pièces. En février 2020 un contrôle sur place a également été effectué ainsi qu’un contrôle en ligne. Grace à ces contrôles, la CNIL a pu relever plusieurs manquements concernant : le recueil du consentement pour effectuer de la prospection commerciale, l’information des personnes, le respect du droit d’opposition et d’accès des personnes et la sécurité des données.
Décision :
La CNIL et ses homologues ont décidé de condamner le groupe hôtelier à une amende pour l’ensemble des manquements.
Sanction :
La société a été condamnée à une amende de 600K€. La CNIL a pris en compte le nombre de manquements et le nombre de personnes concernées qui s’élève à plusieurs millions. Elle a également pris en compte le fait que la société a pleinement coopéré avec la CNIL.
Ce qu’il faut retenir :
Seulement 11 plaintes ont été déposées sur des millions de personnes concernées ce qui a déclenché un contrôle de la CNIL. La CNIL a notamment déclenché son contrôle puisqu’il s’agit de manquements principalement relatifs à la prospection commerciale qui est le sujet de ses priorités de contrôle pour cette année 2022. Se mettre en conformité sur ce point, notamment par de petites actions comme prévoir une case à cocher pour le consentement (et non des cases pré-cochées) ainsi qu’une politique de mots de passe suffisante ou la vérification que les systèmes de désabonnement fonctionnent effectivement, peut permettre d’éviter des amendes.
Pour en savoir plus :
#25/07/2022 – Les données de 5.4M de comptes twitter rendues accessibles à la suite d’une faille
Une faille de sécurité a été découverte par un testeur de failles dans l’application Android de Twitter, elle a permis à des hackers de collecter les données de 5.4M de comptes et de les mettre en vente. Ces données étaient notamment des adresses mail et des numéros de téléphone concernant des entreprises et des célébrités. Cette faille permettait d’obtenir un identifiant Twitter à partir d’un numéro de téléphone ou d’une adresse mail, même pour un propriétaire du compte ayant bloqué ce type de demande. De cette manière, les hackers ont pu constituer une base de données avec les numéros de téléphone, les adresses mail et les noms de comptes, évidemment dans l’optique de la monnayer…
Pour en savoir plus :
https://www.01net.com/actualites/une-faille-de-twitter-a-rendu-accessible-les-donnees-de-54-millions-de-comptes.html et https://www.lesnumeriques.com/divers/twitter-revele-une-faille-de-securite-ayant-entraine-une-fuite-d-informations-concernant-des-millions-de-comptes-n189233.html
#20/07/2022 – La Commission Européenne attaquée pour transferts illégaux de données vers les Etats-Unis
La Commission Européenne est actuellement au cœur d’une action en justice, engagée par un citoyen allemand, pour ne pas avoir respecté ses propres règles de protection des données.
Cette action concerne le site web de la Conférence sur l’avenir de l’Europe appartenant à la Commission Européenne. Il s’agit d’un site permettant aux citoyens européens de donner leur avis sur les décisions à prendre concernant l’avenir de l’Europe. Ce site est hébergé par Amazon Web Service (AWS), par conséquent, des données, et notamment des adresses IP, sont transférées vers les USA.
Par ailleurs, il est possible de se connecter sur le site avec son compte Facebook qui fait actuellement l’objet d’une plainte pour transfert illégal de données vers les USA devant l’autorité irlandaise de protection des données.
Le Tribunal de l’UE rendra sa décision d’ici 12 à 18 mois.
Ce qu’il faut retenir :
Depuis l’invalidation du Privacy Shield en juillet 2020 par la CJUE, aucun texte n’a encore été rédigé afin d’encadrer les transferts de données vers les USA, malgré des annonces, politiques ou politiciennes…, sur un accord entre l’UE et les USA qui serait à venir prochainement. Cette plainte à l’encontre de la Commission Européenne pourrait faire accélérer les choses. Il est assez symptomatique de constater que les autorités ont du mal à s’appliquer pour elles-mêmes les règles contraignantes qu’elles imposent aux entreprises privées. C’est peut-être reconnaître que la conformité au RGPD n’est pas chose aisée…
Pour en savoir plus :
#14/07/2022 – Danemark (DPA) – Utilisation de Google Workspace interdite dans la municipalité d’Elsinore
Les faits :
L’Agence danoise de protection des données a rendu une décision en septembre 2021 dans laquelle la municipalité d’Elsinore a reçu une injonction de procéder à une analyse d’impact liée au traitement des données personnelles par la municipalité dans l’école primaire à l’aide de Google Chromebooks et Workspace. L’autorité a pris connaissance du document d’analyse et a constaté que le traitement n’est pas conforme au RGPD sur plusieurs points. Plusieurs risques ont été identifiés par la municipalité à savoir : un risque de non-respect de la finalité du traitement (il existe un risque que Google ou d’autres tiers utilisent les données personnelles des enseignants et des étudiants à des fins de marketing ou à d’autres fins pour lesquelles la municipalité d’Elsinore, en tant que responsable du traitement, ne souhaite pas que les données personnelles soient traitées.) et un risque de transfert des données vers un pays tiers (il n’est pas possible de garantir que le pays tiers -USA- garantisse le respect des principes de protection des données).
L’autorité danoise a relevé plusieurs manquements qui concernent les obligations liées à la licéité, loyauté et transparence du traitement, au respect de la finalité du traitement. Elle a également relevé que le transfert de données vers les USA état illégal. Par conséquent la DPA décide :
-de suspendre le traitement de données lorsque des données sont transférées vers des pays tiers sans le niveau de protection nécessaire ;
-une interdiction générale du traitement avec Google Workspace jusqu’à ce qu’une documentation et une analyse d’impact adéquates aient été effectuées et jusqu’à ce que les opérations de traitement aient été mises en conformité
Ce qu’il faut retenir :
Dans le cadre des transferts de données vers les USA, même si des mesures de sécurité supplémentaires sont prises et même inscrites dans la clause contractuelle type de la Commission Européenne, le transfert n’est pas légal dans la mesure où la loi américaine primera sur le contrat. Les autorités américaines pourront donc demander un accès aux données ainsi qu’à la clé de déchiffrement si ces dernières sont cryptées.
Pour en savoir plus :
#13/07/2022 – Grèce (DPA) – Clearview AI sanctionnée pour violation des principes de légalité et de transparence >> 20M€
Les faits :
Une plainte a été déposée par l’organisation civile à but non lucratif « Homo Digitalis » au nom d’un plaignant reprochant à Clearview AI Inc. qui propose des services de reconnaissance faciale de ne pas avoir satisfait son droit d’accès. A sa demande, l’autorité Grecque a initié un contrôle global de la conformité de Clearview.
Elle a relevé plusieurs manquements au RGPD qui concernent les obligations de transparence, de licéité du traitement, d’information, de respecter le droit d’accès et de désigner un représentant en UE.
L’autorité a décidé d’infliger une amende de 20M€ à Clearview et ordonné à la société de répondre à la demande d’accès du plaignant. Elle a également émis une interdiction de collecter les données personnelles des personnes situées sur le territoire grec en utilisant la reconnaissance faciale et a demandé la suppression des données collectées concernant ces personnes.
Ce qu’il faut retenir :
Les données de reconnaissance faciale sont des données biométriques et donc sensibles selon le RGPD. Une protection plus accrue est prévue pour ce type de données. Les autres autorités européennes sont susceptibles de rendre des décisions similaires concernant l’outil de Clearview.
Pour en savoir plus :
https://www.dpa.gr/sites/default/files/2022-07/35_2022%20anonym_0.pdf
#07/07/2022 – Italie – (GDPD) – Mise en garde à l’encontre de TikTok concernant le recours à l’intérêt légitime pour les cookies >> avertissement
Les faits :
Tik Tok a modifié sa politique de confidentialité pour informer les utilisateurs que les personnes âgées de plus de 18 ans recevraient des publicités « personnalisées » (c’est-à-dire basées sur le comportement des utilisateurs / leur profilage lors de leurs visites sur TikTok) à partir du 13 juillet, sur la base des données issues des cookies. Ce traitement ne serait plus basé sur le consentement, mais sur les « intérêts légitimes » de TikTok et ses partenaires. La GDPD italienne a lancé un contrôle concernant la politique de confidentialité modifiée et a demandé des informations au réseau social. Il n’a pas été précisé quel était l’intérêt légitime poursuivi, l’analyse d’impact que TikTok aurait menée n’a pas été fournie et par ailleurs, les mécanismes mis en place par TikTok pour vérifier l’âge de l’utilisateur ne semblent pas pouvoir exclure que la publicité personnalisée puisse s’adresser aux enfants de moins de 18 ans. La GDPD a relevé le non-respect de l’article 5(3) de la directive 2002/58 de l’Union Européenne et de l’article 122 de la loi italienne sur la protection des données, le traitement devrait reposer sur le consentement et non l’intérêt légitime. De plus, le recours à l’intérêt légitime n’a pas été justifié auprès de l’autorité. La GDPD a adressé un avertissement formel à TikTok soulignant que le traitement envisagé peut probablement constituer une violation de la réglementation concernant le traitement basé sur une base juridique incorrecte.
Ce qu’il faut retenir :
Le recours à l’intérêt légitime doit pouvoir être justifié : Il faut être en mesure de fournir des éléments de preuves notamment lorsqu’il y a un changement de base légale du traitement. Il est également nécessaire de tenir une documentation d’évaluation de l’intérêt légitime afin de montrer que cette analyse a bien été prise en compte.
# 07/2022 – La CNIL sévit en matière de prospection commerciale !
Comme annoncé dans son plan de contrôle 2022, la CNIL a initié ses contrôles en matière de prospection commerciale. Dans ce cadre, elle a publié un nouveau référentiel en février dernier ‘relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales’.
Ce référentiel s’adresse aux organismes de droit privé ou public pour la mise en œuvre de la conformité des fichiers ‘clients’ ou ‘prospects’. Il fournit de manière détaillée les informations à faire figurer dans son registre de traitement pour les traitements dont les finalités y sont énumérées. Les bases légales y sont rappelées, en fonction des finalités prévues, les données personnelles concernées, les durées de conservation mais également, entre autres, les destinataires desdites données, l’information et le droit des personnes concernées.
La CNIL a resserré la vis sur les droits et obligations découlant de la prospection commerciale notamment après avoir reçu plusieurs plaintes de la part de particuliers. Elle a mis en demeure 3 organismes ayant transmis sans information et/ou sans consentement préalable des données personnelles à des partenaires.
L’un de ces organismes a transmis des données personnelles à des partenaires pour de la prospection téléphonique alors même que les personnes concernées n’ont pas été informées, ce qui est obligatoire.
Par ailleurs, le consentement préalable des personnes concernées n’a pas été recueilli par les 3 organismes quant aux transferts de leurs données à des partenaires à des fins de prospection via emails et/ou SMS.
Les 3 organismes ont 3 mois pour se conformer à cette règlementation à défaut de quoi ils s’exposent à une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial !
Ce qu’il faut retenir : les organismes auraient dû, dans un premier temps, informer clairement les personnes concernées de l’identité des partenaires à qui les données seront adressées ainsi que les finalités pour lesquelles elles seront utilisées. Ils auraient également dû intégrer une case à cocher par la personne concernée afin de recueillir leur consentement. A noter que le consentement ne se transmet pas de partenaire en partenaire ! Il est nécessaire de fournir le nombre approximatif de partenaires concernés ainsi que leur secteur d’activité et d’obtenir un consentement spécifique, univoque, libre et éclairé. A défaut le partenaire doit obtenir lui-même le consentement avant toute prospection.
#23/06/2022 – CNIL – La société TOTALENERGIES ELECTRICITÉ ET GAZ FRANCE (TOTAL) sanctionnée pour plusieurs manquements dont la prospection commerciale illégale >> 1M€
Les faits :
Entre octobre 2019 et juillet 2020 la CNIL a été saisie de 27 plaintes à l’encontre de TOTAL concernant des difficultés rencontrées dans l’exercice des droits d’accès ou d’opposition à recevoir des appels téléphoniques de prospection commerciale. Environ 4.6M de personnes étaient concernées par ce traitement. La CNIL a pu constater plusieurs manquements lors de son contrôle : aux obligations de l’article L. 34-5 du code des postes et des communications électroniques sur la prospection commerciale, à celles relatives à l’obligation d’information et au respect de l’exercice des droits des personnes (accès et opposition au traitement – respect du délai légal de réponse d’1 mois). La CNIL a donc condamné TOTAL à une amende de 1M€ au regard des manquements, de la négligence de la société, de ses ressources importantes et de sa situation financière.
Ce qu’il faut retenir :
La prospection commerciale par communication électronique est très encadrée, elle est possible si le consentement de la personne concernée est recueilli préalablement.
Il est également possible de faire de la prospection auprès de clients existants dans des cas limités, sans consentement préalable si plusieurs conditions cumulatives sont remplies.
Pour en savoir plus :
#09/06/2022 – Italie (GDPD) – L’autorité italienne interdit l’utilisation e Google Analytics
Les faits : Le 17/08/2020 une plainte a été déposée auprès de l’autorité de contrôle italienne (GDPD) concernant des transferts de données vers les États-Unis. Il s’agit de l’une des 101 plaintes reçues de NOYB par plusieurs autorités de contrôle européennes participant à une taskforce visant à garantir une approche cohérente vis-à-vis de ces plaintes. Le plaignant a visité le site web de la société Caffeina Media, en étant connecté à son compte Google qui est associé à son adresse électronique. Sur le site web, Caffeina Media a intégré le code HTML pour les outils Google Analytics. Au cours de la visite du plaignant, ses données personnelles à savoir l’adresse IP du dispositif de l’utilisateur ainsi que des informations sur le navigateur, le système d’exploitation, la résolution de l’écran, la langue sélectionnée, la date et l’heure de consultation des pages ont été transférées aux États-Unis. La plainte a été déposée contre Caffeina Media et Google LLC (aux États-Unis), pour avoir continué à accepter ces transferts de données bien qu’ils soient contraires au RGPD. La GDPD italienne a relevé 2 manquements à savoir le transfert illégal de données personnelles vers les Etats-Unis et le manquement à l’obligation d’information des personnes. L’autorité italienne a ordonnée à Caffeina Media de se mettre en conformité dans un délai de 3 mois. Si la société ne le fait pas, la suspension des flux de données liés à Google Analytics vers les États-Unis sera ordonnée.
Ce qu’il faut retenir :
Une utilisation de Google Analytics conforme au RGPD est de plus en plus compliquée puisqu’aucune mesure protectrice n’a été trouvé à ce jour pour sécuriser les transferts de données vers les USA. Rappelons qu’une convention pour entre l’UE et les USA est en cours de discussion sans information à ce jour sur les dispositions qui seront prévues ou une date d’accord possible.
#29/04/2022 – Finlande (DPA) – Une société de télémarketing sanctionnée pour non-respect de l’Ordonnance de l’Autorité >> 8300€
Les faits : Le 25/02/2021 une plainte a été déposée concernant l’exercice d’un droit d’accès : le plaignant avait demandé à la société de télémarketing d’accéder à l’enregistrement de l’appel concernant une communication de vente passée par la société au plaignant. La société n’a pas accédé à cette demande. Le 23/07/2021, le Médiateur de protection des données a rendu une décision ordonnant à la société de donner accès à la personne à l’enregistrement de l’appel. Après la notification de la décision du Médiateur la société n’a pas donné l’accès au plaignant. Le 30/12/2021, une demande d’audition a été soumise à la société ainsi qu’une demande d’informations complémentaires dans laquelle la société était invitée à soumettre l’enregistrement d’appel au Médiateur de la protection des données. La société n’a répondu à la personne concernée qu’après avoir reçu la demande d’audience. L’autorité a constaté le non-respect sa décision puisque le plaignant a fait part de l’email reçu de la société au Médiateur : il s’agissait simplement d’un mail d’excuse, ne donnant pas d’accès à l’enregistrement. Pour ce manquement, l’autorité inflige une sanction de 8300€.
Ce qu’il faut retenir :
Le fait de ne pas respecter la décision d’une autorité de contrôle des données peut mener à une seconde décision et une amende. A noter que l’Autorité finlandaise a fait preuve d’une grande patience dans cette affaire en contactant plusieurs fois la société pour lui laisser la possibilité de se mettre en conformité avec le respect du droit d’accès et sa 1ère décision.
Pour en savoir plus :
https://finlex.fi/fi/viranomaiset/tsv/2022/20221403
#28/04/2022 – Italie (GDPD) – Un organisme public chargé de fonctions publiques essentielles sanctionné pour une violation de données >> 50K€
Les faits : L’autorité italienne de protection des données a reçu 3 notifications de violation de données concernant le service en ligne Virtual Desk de l’Institut national d’assurance accident du travail. Virtual Desk permet notamment aux citoyens victimes d’accidents du travail ou de maladies professionnelles, de consulter l’état de leurs dossiers ouverts à l’INAIL ainsi que les mesures émises par l’Institut. Les violations concernaient des accès non autorisés par des utilisateurs aux dossiers d’autres utilisateurs du service. La GDPD a sanctionné l’INAIL d’une amende de 50K€ pour manquement à son obligation de sécurité.
Ce qu’il faut retenir :
Le responsable de traitement doit impérativement prendre des mesures techniques et organisationnelles afin de protéger les données, d’autant plus lorsqu’il est investi d’une mission de fonction publique. Il est intéressant de relever qu’un organisme public a été sanctionné d’une amende alors qu’habituellement les autorités mettent simplement en demeure l’organisme public de se mettre en conformité.
Pour en savoir plus :
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9771184
#27/06/2022 – Le Conseil d’Etat confirme la sanction à l’encontre d’Amazon concernant le dépôt des cookies >> 35M€
Les faits : Le 7 décembre 2020, la CNIL a condamné Amazon à une amende de 35M€ pour 2 manquements à savoir :
# le dépôts des cookies sans recueil préalable du consentement (les cookies marketing étaient automatiquement déposés) ;
# manquement à l’obligation d’information (l’information sur les cookies était incomplète concernant les finalités et sur les moyens de refuser le dépôt des cookies).
Amazon a saisi le Conseil D’Etat afin de faire annuler la décision de la CNIL en remettant en cause notamment la compétence de la CNIL et les manquements.
Le CE confirme la compétence matérielle et territoriale de la CNIL et confirme que le mécanisme de guichet unique de n’applique pas pour les cookies qui relèvent de la Directive E-Privacy et ne prévoir pas ce mécanisme.
Concernant les manquements à l’article 82 de la LIL, le CE les confirme : un cadre juridique clair était bien prévu, la circonstance que d’autres autorités de contrôle nationales auraient pris des positions divergentes pour interpréter les conditions et modalités applicables au recueil du consentement de l’utilisateur est sans incidence sur l’application par la CNIL des dispositions de la LIL qui ne modifiait pas le régime préexistant. Concernant la sanction, le CE a retenu qu’elle était proportionnée puisque basée sur la gravité des manquements et notamment le chiffre d’affaires de 7,7 milliards d’euros reposant sur ces manquements. Le CE confirme donc la sanction infligée par la CNIL.
#15/04/2022 – France (CNIL) – Le sous-traitant Dedalus Biologie sanctionné pour fuite de données de santé >> 1.5M€
Les faits :
DEDALUS BIOLOGIE commercialise des solutions logicielles à destination de laboratoires d’analyses médicales, appelées solutions de gestion de laboratoire.
Le 23 février 2021, un article intitulé ” Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne ” a été publié dans un journal. Selon cet article, un lien de téléchargement était disponible sur un forum. Le fichier téléchargeable contenait les données médico-administratives de près de 500 000 personnes. Cette base de données a été largement diffusée. La CNIL a donc effectué plusieurs contrôles.
Tout d’abord, elle a qualifié DEDALUS BIOLOGIE de sous-traitant car la société ne fait que mettre à disposition des laboratoires les outils, notamment informatiques, pour faciliter la mise en œuvre des traitements. Par ailleurs, elle agit uniquement au nom et sous la responsabilité des laboratoires pour la maintenance du logiciel et, le cas échéant, la migration vers un autre logiciel par exemple. Puis elle a relevé plusieurs manquements aux obligations de :
-d’encadrer par un contrat écrit les traitements effectués pour le compte du responsable de traitement puisque cette obligation incombe autant au responsable de traitement qu’au sous-traitant. Le sous-traitant transmettait ses propres contrats au responsable de traitement qui ne contenaient pas toutes les mentions relatives aux données personnelles.
-pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement. DEDALUS BIOLOGIE avait extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par les responsables de traitement.
-d’assurer la sécurité des données, plusieurs failles avaient été détectées mais la société n’avait pas pris les mesures nécessaires.
La CNIL prononce une amende de 1.5M€ à l’encontre de la société en raison du nombre de personnes concernées, de la nature des données (sensibles) et de la négligence de DEDALUS BIOLOGIE. Cette sanction représente 9.2% du CA de la société. De plus, les personnes concernées seront susceptibles d’être victimes d’arnaque tel que le phishing ou l’usurpation d’identité. La décision est publiée et permet d’identifier la société durant 2 ans compte tenu des manquements.
Ce qu’il faut retenir :
Le sous-traitant a également des obligations vis-à-vis des données personnelles et peut être sanctionné au même titre que le responsable de traitement. Les sanctions peuvent être très élevées notamment lorsqu’il s’agit de données sensibles comme les données de santé.
#07/04/2022 – Italie (GDPD) – Un hôpital et son sous-traitant sanctionnés concernant un logiciel de gestion des dénonciations d’actes illégaux >> 2x40K€
Un contrôle spontané a été effectué concernant des systèmes de gestion des dénonciations d’acte illégaux au sein des organismes généralement utilisés par les employeurs italiens afin de permettre les dénonciations et protéger les lanceurs d’alerte. Dans ce cadre, un hôpital a été contrôlé et à cette occasion, l’autorité a relevé plusieurs manquements. Elle a sanctionné l’hôpital, responsable de traitement, pour plusieurs manquements relatifs aux obligations de sécurité d’information, d’effectuer une analyse d’impact ainsi que d’inscrire le traitement dans le registre des traitements. Le fournisseur de logiciel a également été sanctionné à 40K€ d’amende pour ne pas avoir conclu de contrat avec le sous-traitant ultérieur chargé de l’hébergement des données.
Ce qu’il faut retenir :
Dans le cadre des dénonciations d’actes illégaux dans une entreprise il est nécessaire d’effectuer une analyse d’impact notamment en raison de la position de vulnérabilité du salarié. Par ailleurs, le sous-traitant peut être sanctionné pour le seul fait de ne pas avoir conclu un contrat avec un sous-traitant ultérieur. Le responsable de traitement quant à lui n’a pas été sanctionné sur ce point, ce qui est à notre avis assez étonnant puisqu’il doit vérifier la conformité au RGPD de son sous-traitant.
Pour en savoir plus :
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9768363
#07/04/2022 – CNIL – 3 sociétés mises en demeure pour transmission illégale de données de prospects à des partenaires >> Mises en demeure
Plusieurs plaintes ont été déposées auprès de la CNIL concernant la transmission des données des plaignants à des partenaires de sociétés pour des finalités de prospection commerciale. La CNIL a constaté un manquement à l’obligation d’information des personnes et un manquement à l’obligation de recueillir leur consentement. Par conséquent, elle a décidé de mettre en demeure les trois sociétés de se mettre en conformité sous 3 mois
Ce qu’il faut retenir :
La CNIL contrôle les traitements liés à la prospection commerciale comme annoncé dans ses thématiques prioritaires de contrôle pour l’année 2022. Il est nécessaire de recueillir le consentement des personnes pour effectuer de la prospection commerciale et également de les informer de ce traitement.
#06/04/2022 – Cour de cassation – Pas d’atteinte à la vie privée pour la saisie d’un objet abandonné jeté à la poubelle !
Lors d’une enquête concernant un trafic de stupéfiants, la police a saisi un sac poubelle sans autorisation préalable d’un juge. En le fouillant, les agents de police ont trouvé des preuves à l’encontre des trafiquants à savoir un ticket de caisse permettant d’identifier les auteurs de l’infraction. Les suspects ont avancé que la fouille d’un sac poubelle déposé dans un conteneur sur la voie publique constitue une mesure d’ingérence dans la vie privée nécessitant l’autorisation préalable d’un juge ou du procureur de la République et demandent la nullité de la procédure. La Cour d’appel a jugé que l’ingérence était proportionnée au but recherché qui était le démantèlement d’un trafic de stupéfiants. La Cour de cassation a confirmé l’arrêt d’appel en allant plus loin puisqu’elle a affirmé que la saisie d’un objet abandonné sur la voie publique ou dans un conteneur collectif d’ordures ménagères ne constitue pas une atteinte à la vie privée au sens de l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.
Ce qu’il faut retenir :
Selon la Cour de cassation, l’abandon d’un objet sur la voie publique, y compris contenant des données personnelles, vaut renonciation à se prévaloir du droit au respect de sa vie privée en cas de saisie par les forces de l’ordre qui ne nécessite donc pas une autorisation judiciaire préalable.
Pour en savoir plus :
https://www.courdecassation.fr/decision/624d2f7a12d01a2df91a33d8
# 11/03/2022 – Autorité Luxembourgeoise – Amazon – Un tout nouveau type de recrutement : Prise de décisions automatisées & traitement de données personnelles opaques
L’ONG « Noyb », qui agit pour la défense des droits en matière de vie privée et données personnelles, a déposé, le 22/12/2021, une plainte auprès de l’autorité luxembourgeoise de protection des données (la CNPD). Cette fois-ci c’est le géant Amazon qui a fait l’objet de cette réclamation. Le motif se trouve derrière les pratiques douteuses de recrutement électronique utilisées par une des sociétés du groupe Amazon, Amazon Mechanical Turk (AMT).
AMT met à disposition des internautes une interface de crowd-sourcing* qui permet à toute personne le désirant de devenir un travailleur indépendant (un 3MTurk Worker ») qui, en échange de micro-tâches, perçoit une rémunération.
Jusque-là, rien ne semble poser de problème. Toutefois, il semblerait que la plateforme AMT se réserve le droit de refuser automatiquement certaines candidatures sans que les raisons de ce refus et les critères préétablis servant de base ne soient communiqués aux candidats. Un simple courriel de rejet automatisé leur est envoyé sans aucune explication.
Que dit la réglementation en matière de prise de décision automatisée ? L’article 22 du RGPD prévoit le droit de ne pas être soumis à une prise de décision de ce type. La CNPD prendra-t-elle une mesure face à cette pratique, comme elle a pu déjà le faire dans le passé contre le système de publicité ciblée utilisé par Amazon ? Pour en savoir plus : https://noyb.eu/sites/default/files/2021-12/AMT%20Complaint%20-%20FR%20redacted.pdf
*Le crowd-sourcing peut être défini comme une ressource collaborative qui permet aux internautes de partager leur savoir-faire et leur créativité afin de créer des contenus ou des services en ligne.
# 11/03/2022 – Brésil & protection des données : Un droit fondamental approuvé au plus haut niveau
Le Brésil démontre encore une fois sa volonté de garantir la protection des données par 2 mesures phares.
Le 10 février 2022, le Sénat brésilien a approuvé l’amendement constitutionnel qui avait pour but de reconnaître formellement la protection des données personnelles comme un droit fondamental parmi ceux énoncés à l’article 5 de la Constitution brésilienne de 1988. Cette inscription constitutionnelle se traduit désormais par l’interdiction à toute réglementation de limiter ou supprimer ce droit à la protection des données.
Par ailleurs, afin d’éviter une contradiction dans les prises de décisions et entre les lois des différents Etats fédérés brésiliens et municipalités, l’Etat fédéral Brésilien a maintenant la compétence exclusive pour légiférer et superviser en matière de données personnelles. L’objectif est de garantir l’égalité de traitement des individus ainsi que la sécurité juridique.
La Cour suprême du Brésil a d’ailleurs rendu une décision qui confirme ce caractère constitutionnel de la protection des données personnelles.
# 03/03/2022 – 2 amendes émises par l’autorité croate concernant des images de vidéosurveillance
L’Agence croate de la protection des données personnelles (AZOP) a émis 2 amendes à l’encontre de 2 sociétés différentes pour violation du RGPD.
1/ Le 1er cas concerne une station-service
Un client insatisfait d’une station-service a demandé l’accès à des copies de ses données personnelles (images de caméras de vidéosurveillance) dans le cadre d’une plainte qu’il a déposée contre la station-service.
La société a rejeté cette demande au motif que :
# le consommateur n’avait pas fait de demande écrite auprès des autorités compétentes
# l’objet de la demande n’était pas justifié
# l’obtention d’une telle copie porterait atteinte aux droits et libertés de ses employés et des autres clients.
Le consommateur insatisfait a déposé une plainte devant l’AZOP demandant à la société de lui remettre les enregistrements des caméras de vidéosurveillance. L’AZOP a donc émis un avis général sur l’obligation du responsable du traitement de fournir ces copies, mais la station-service ne les détenait plus, les séquences étant systématiquement effacées après 7 jours.
Décision : en refusant à la personne le droit d’obtenir une copie des séquences de vidéosurveillance, la station-service a violé le droit d’accès aux données personnelles prévu par le RGPD et a éliminé des preuves potentiellement importantes.
Sanction : l’autorité a décidé de sanctionner la société par une amende d’un montant de 124K€ (940.000 HRK)
L’Autorité a pris en compte :
# les dommages indirects subis par l’individu
# le fait que la société a indirectement évité les dommages financiers potentiels qu’elle aurait pu subir après le litige avec l’individu.
2/ Le 2nd cas concerne une chaîne de magasins de vente au détail
Des employés de la chaîne de magasins ont enregistré des images de vidéosurveillance sans autorisation en les prenant sur le moniteur de vidéosurveillance avec leurs téléphones personnels et les ont publiées sur les réseaux sociaux alors que les règlements et instructions internes l’interdisaient.
Décision : bien que la société ait pris certaines mesures organisationnelles (formation du personnel, adoption d’actes internes), l’AZOP a considéré que la société :
# n’avait pas pris de mesures de sécurité techniques suffisantes et adéquates avant l’incident ou même après, afin d’empêcher ses employés de prendre des images du moniteur de vidéosurveillance ou, du moins, de réduire le risque de telles violations,
# n’a pas contrôlé régulièrement la mise en œuvre des mesures techniques et organisationnelles visant à garantir la confidentialité, l’intégrité et la disponibilité des données à caractère personnel,
# n’a pas régulièrement testé, évalué et déterminé l’efficacité de ces mesures techniques et organisationnelles pour assurer le traitement des données personnelles conformément à ce qui est requis par le RGPD et la sécurité de la vidéosurveillance.
Le fait que l’entreprise n’ait pas pris les mesures de sécurité appropriées pour le traitement des données à caractère personnel a conduit à un traitement non autorisé de ces données par le biais des réseaux sociaux et des médias.
Sanction : l’autorité a décidé de sanctionner la société par une amende de 89K€ (675.000 HRK).
***
Ce qu’il faut retenir : Réactivité et contrôle dans l’organisation interne de l’entreprise sont 2 éléments essentiels à mettre en œuvre en matière de respect de la vie privée.
#15/02/2022 – La CNIL dévoile ses thématiques prioritaires de contrôle pour l’année 2022 !
Pour cette année 2022 la CNIL a décidé de se concentrer sur 3 thématiques.
# La prospection commerciale
La CNIL a reçu beaucoup de plaintes à ce sujet, elle a donc décidé d’en faire une priorité pour cette année. Elle s’appuiera notamment sur son référentiel concernant la gestion commerciale, qu’elle vient tout juste de publier en février, afin de vérifier la conformité des sociétés.
# La surveillance dans le cadre du télétravail
Au regard de la situation actuelle, de plus en plus de sociétés ont évidemment recours au télétravail, qui devrait d’ailleurs rester plus courant, même à la sortie de la crise sanitaire. A cette occasion, des outils ont été développés notamment pour permettre le suivi du travail des salariés. Dans ce cadre, la séparation entre vie professionnelle et vie privée peut parfois être floue. La CNIL a donc décidé de concentrer ses contrôles afin de vérifier que les pratiques des employeurs sont bien conformes au RGPD.
# Le cloud
Le recours au cloud entraine de nombreux transferts de données en dehors de l’Union Européenne et souvent vers des pays n’offrant pas la même protection pour les données personnelles (c’est notamment le cas des Etats-Unis). Cela donne lieu à des transferts illégaux de données. Par conséquent, la CNIL a décidé d’y porter une attention particulière tout comme le Comité Européen de la Protection des Données.
N’hésitez pas à contacter nos équipes pour en savoir plus !
10/02/2022 – CNIL – Un éditeur de site web mis en demeure pour l’utilisation de Google Analytics >> Mise en demeure
La CNIL a été saisie de plaintes par l’association NOYB concernant l’utilisation de Google Analytics par un éditeur de site web. L’utilisation de cet outil permet de mesurer la fréquentation du site web par les internautes grâce à l’attribution d’un un identifiant unique. A cet identifiant sont associées des données personnelles. Cet identifiant, et les données personnelles attachées, sont transférées vers les Etats-Unis. La CNIL retient qu’à l’heure actuelle, les transferts de données vers les USA ne sont pas suffisamment encadrés. Les clauses contractuelles de la Commission Européenne ne suffisent pas. Par ailleurs, si des mesures complémentaires sont mises en place, le responsable de traitement doit être en mesure de le démontrer, ce que n’a pas pu faire la Société contrôlée. Par conséquent, ce transfert est jugé illégal par la CNIL, elle met en demeure l’éditeur du site web et lui laisse 1 mois à pour se mettre en conformité.
Ce qu’il faut retenir !
La CNIL considère, à l’heure actuelle, que les transferts de données vers les USA sont illégaux. Cette décision a bien sûr un côté politique, le but étant sans doute de pousser les entreprises européennes à réduire leur utilisation des outils américains pour privilégier des outils européens. En pratique, et pour le moment, il est clairement recommandé d’éviter de recourir à Google Analytics puisque la CNIL tend vers une interdiction de l’outil et de trouver des alternatives idéalement européennes. D’autres décisions sur ce même sujet devraient arriver prochainement puisque l’association NOYB a effectué 101 réclamations auprès des autorités européennes.
# 07/02/2022 – FACTA – La justice française ordonne l’effacement des données d’un client indûment transférées aux USA par une banque française
La Foreign Account Tax Compliance Act, connue par FACTA est la loi adoptée aux Etats-Unis en 2010 qui oblige les banques étrangères ayant accepté cet accord à communiquer au gouvernement des Etats Unis tous les comptes détenus par des citoyens américains dans le but de lutter contre la fraude fiscale.
Faits : Pensant que son client était né aux Etats-Unis, la banque Rhône-Alpes lui a demandé de confirmer qu’il présentait des critères d’« américanité » afin de déclarer l’existence de son compte aux autorités fiscales américaines. Le client en cause, français, né à Ottawa (au Canada) a à plusieurs reprises demandé la rectification de cette erreur par la banque, qui s’y est opposée en maintenant sa déclaration et en affirmant qu’il existe des villes nommées Ottawa aux Etats-Unis et que le client ne justifiait pas de ne pas y être né.
Ce n’est que plus tard que la banque française a reconnu son erreur, après la fourniture d’un extrait de naissance prouvant bien le lieu de naissance de son client. Cela dit, la banque s’est exécutée en rectifiant son erreur auprès la DGFip de Bercy (administration publique fiscale française) uniquement pour l’année 2017 (non pas pour les années antérieures) et sans en informer les autorités américaines. L’inscription de cette rectification a bien été effectuée sans pour autant que les données soient effacées sur le système.
Décision : Le tribunal judiciaire de Grenoble a ordonné, sous astreinte (1K€ par jour de retard), l’effacement de ces données bancaires, antérieures à 2017, sur le fondement du droit à l’effacement des données prévu par l’article 17 du Règlement général sur la protection des données (RGPD).
Sanction : Le tribunal a condamné la banque à verser 15K€ à son client pour préjudice moral (inquiétude légitimement ressentie lors des passages aux frontières US, quant à l’éventualité d’une poursuite par le fisc américain). De plus, la banque a été condamnée à communiquer le jugement du tribunal aux autres sociétés du groupe dans la mesure où le client avait aussi fait l’objet d’une autre inscription au FACTA par une de ces entités.
Ce qu’il faut retenir : Cette affaire rappelle l’importance d’aller au bout du process s’agissant de la gestion des données personnelles : ne pas se contenter de rectifier un point du traitement mais vérifier les conséquences globales du changement sur le flux des données, ne pas rectifier les données qu’à un seul endroit mais partout où elles peuvent se trouver.
#24/01/2022 – France – Renforcement des pouvoirs du Président de la CNIL par la Loi n° 2022-52 relative à la responsabilité pénale et à la sécurité intérieure
Cette loi, dont les modalités de mise en oeuvre devront être fixées via décret, vient créer une nouvelle procédure simplifiée ouvrant la possibilité de sanctions dans certaines affaires non complexes (notamment lorsque le même sujet a déjà été tranché) de non-conformité à la réglementation vie privée.
Il s’agira de décisions non publiées pouvant consister dans des rappels à l’ordre, injonctions de mise en conformité sous astreinte (avec maximum 100 euros par jour de retard) ou amendes administratives (maximum 20K€).
On peut en particulier imaginer que cette procédure simplifiée pourrait être utilisée par la CNIL pour statuer rapidement s’agissant de la conformité des cookies sur les sites web.
Pour en savoir plus : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045067923
#06/01/2022 –Brésil & protection des données : Entrée en vigueur d’une Résolution en matière de contrôle et sanctions pour défaut de conformité
L’Autorité Nationale de la protection des données (l’équivalent de la CNIL en France) a publié une Résolution du 28 octobre 2021 qui a pour but d’encadrer les procédures de contrôle et de sanctions administratives en matière de protection des données.
La loi générale Brésilienne sur la protection des données personnelles du 14 août 2018 régit une série de règles concernant le traitement des données personnelles, ainsi que l’établissement de procédures administratives et répressives mises en place par l’Autorité de protection.
Cette Résolution vient contribuer à la prévention et à la répression des infractions commises à l’égard de cette loi de 2018 et cherche à assurer son respect et la conformité des actes et traitements mis en place par ceux qui traitent des données personnelles.
Le texte structure différentes catégories d’activités : activités de supervision, de prévention, d’orientation des comportements, de répression…Par ses articles, il impose un certain nombre d’obligations aux responsables de traitement afin de faciliter le travail de l’Autorité de protection, prévoit les conditions relatives aux activités de contrôle et le processus à suivre en cas de sanctions pour défaut de conformité.
L’objectif n’étant pas d’augmenter les actions répressives de la part de l’Autorité de protection, il est primordial que les différentes entités respectent les exigences minimales de conformité notamment prévues par cette Résolution. Pour en savoir plus : https://www.abrapp.org.br/legislacao/resolucao-cd-anpd-no-1-de-28-de-outubro-de-2021
#06/01/2022 – Brésil – Dérogation à l’obligation de nommer un DPO pour certains types d’entreprises ?
Considérées comme étant de petits responsables de traitement, les microentreprises, les start-ups, les sociétés d’innovation ou encore les entités à but non lucratif pourraient ne pas avoir l’obligation de nommer un DPO en charge de la conformité à la loi Brésilienne sur la protection des données de 2018. Selon le projet de résolution lancé par l’Autorité Nationale de la protection des données, ces entités devraient être soumises à des procédures plus simples pour assurer leur conformité avec la législation au Brésil.
L’Autorité brésilienne a initié le 30 août 2021 une consultation publique à ce sujet. Ira-t-elle au bout de sa proposition ?
#31/12/2021 – CNIL – Google et Facebook sanctionnés par la CNIL pour leurs cookies >> 150M€ (Google) et 60M€ (Facebook)
Les faits :
# Concernant Google, la société a déjà été condamnée le 7 décembre 2020 pour ses cookies. Des amendes de 60M€ et 40M€ avaient été prononcées à l’encontre des société Google LLC et GIL avec une injonction de se mettre en conformité en informant les personnes concernées au préalable et de manière claire et de manière complète concernant le traitement de données lié aux cookies. Cela concernait notamment les finalités de tous les cookies soumis au consentement et des moyens dont disposent les personnes pour les refuser. Depuis, des plusieurs plaintes ont été déposées auprès de la CNIL, dénonçant les modalités de refus des cookies des sites internet “google.fr” et “youtube.com” mis à la disposition des utilisateurs situés en France. La CNIL a procédé à un contrôle en ligne sur les sites web en question.
# Concernant Facebook, la CNIL a effectué un contrôle en ligne sur le site web ” facebook.com ” après avoir reçu 4 plaintes, puis un contrôle sur pièces en adressant 2 questionnaires aux société Facebook France et Facebook Ireland Limited (FIL) afin qu’elles précisent la finalité des cookies présents sur le site. Les sociétés étaient également invitées à préciser leur organisation, leurs activités et les liens qui les unissent. Elles ont répondu en confirmant que FIL est responsable de traitement s’agissant des cookies.
Décision : Dans les 2 cas, la CNIL a relevé un manquement à la réglementation sur les cookies, le mécanisme de refus des cookies étant plus complexe que celui consistant à les accepter, alors qu’il est impératif de mettre en place un moyen de refuser les cookies avec le même degré de simplicité que celui prévu pour les accepter.
Sanction : La CNIL décide de sanctionner avec
1/ des amendes : 90M€ pour Google LLC, 60M€ pour la GIL et 60M€ pour FIL
2/ des injonctions assorties d’une astreinte d’un montant de 100K€ par jour de retard à l’issue d’un délai de 3 mois.
Publicité : La CNIL considère que la publicité des décisions se justifie au regard du nombre de personnes concernées et de la gravité du manquement. La CNIL rappelle encore une fois que l’internaute doit pouvoir refuser les cookies aussi simplement qu’il peut les accepter. Après avoir mis beaucoup de sociétés en demeure de respecter sa recommandation en date du 17 septembre 2020, elle entame des procédures de sanction.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840532
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062
#23/12/2021 – CNIL – Une commune mise en demeure pour ses dispositifs de caméra-piéton et vidéoprotection
A la suite d’un contrôle sur place, la CNIL a constaté plusieurs manquements concernant le dispositif de caméra piéton et le dispositif de vidéoprotection, notamment aux obligations d’exactitude des données, d’application de durées de conservation proportionnées, d’information des personnes concernées et de sécurité. La CNIL a donc mis en demeure la commune de se conformer au RGPD concernant les manquements relevés dans un délai de 4 mois.
#14/12/2021 – CNIL – La CNIL émet de nouveau une trentaine de mises en demeure au sujet des cookies !
La CNIL poursuit ses contrôles en matière de cookies, après avoir émis plus de 70 mises en demeures, elle vient tout juste d’en émettre de nouveau une trentaine. La CNIL soulève toujours le même point dans ces nouvelles mises en demeure, il doit être aussi facile de refuser les cookies que de les accepter.
Depuis le début de l’année 2021 près d’une centaine ont été mises en demeure à ce sujet.
Durant ses contrôles, la CNIL a relevé 3 points de non-conformité récurrents.
Elle a laissé un délai d’un mois aux entités pour se conformer à la réglementation et poursuit sa campagne de contrôle.
N’hésitez pas à contacter nos équipes pour en savoir plus !
#26/11/2021 – CNIL – Clearview AI mis en demeure pour traitement de photographies et vidéos illégal Clearview est un logiciel permettant de rechercher une personne sur internet grâce à la reconnaissance faciale. Pour cela, le logiciel aspire des photographies et des vidéos disponibles sur le web, notamment sur les réseaux sociaux. Clearview AI a collecté plus de 10 milliards d’images qui lui ont permis de calculer un « gabarit biométrique », une empreinte numérique unique, permettant d’effectuer des recherches par image. Des plaintes ont été déposées auprès de la CNIL et le 27 mai 2021, la CNIL a également été saisie d’une plainte par Privacy International concernant la reconnaissance faciale et son utilisation par les forces de l’ordre. La CNIL a relevé deux manquements : 1- un manquement au principe de licéité du traitement car il ne reposait sur aucune base légale. 2- un manquement au respect du droit des personnes puisque aucune réponse satisfaisante ne leur était apportée concernant les demandes d’accès et les demandes d’effacement des données. La CNIL a donc mis en demeure Clearview AI de se conformer sur ces points dans un délai de 2 mois.
Pour en savoir plus :
#22/11/2021 – 1,2M de propriétaires de site web impactés par une fuite de données de l’hébergeur GoDaddy !
GoDaddy a subi une cyberattaque le 6 septembre. Les hackers sont entrés dans le système en piratant des mots de passe. GoDaddy s’est rendu compte de la cyberattaque seulement 2 mois après, l’ayant découvert le 17 novembre. Environ 1.2 millions de propriétaires de sites WordPress sont concernés par cette violation. Visiblement, les données ayant fuité sont des adresses mails, numéros de téléphone, numéros de compte GoDaddy et mots de passe.
A la suite de cet indicent, GoDaddy a réinitialisé les mots de passe, les propriétaires des sites web doivent attendre que l’hébergeur délivre et installe de nouveaux certificats SSL pour pouvoir sécuriser leur site web.
Le risque de cette attaque consiste dans des attaques de phishing grâce à la récupération des adresses email. Les personnes concernées devront donc être particulièrement vigilantes.
#18/11/2021 – Lituanie – Une enquête ouverte sur Vinted
Certaines autorités européennes ont reçu un nombre important de plaintes à l’encontre du site de vente en ligne Vinted. Les autorités de contrôle de la France, de la Pologne et de la Lituanie ont décidé de coopérer afin de mener une enquête à l’encontre de Vinted. La société étant lituanienne, la Lituanie a été désignée comme l’autorité de contrôle chef de file.
L’enquête porte sur plusieurs points :
# l’exigence d’un scan d’une pièce d’identité pour débloquer les fonds reçus via une vente ;
# la procédure et les conditions de blocage d’un compte ;
# les durées de conservation.
Les autorités se sont réunies le 8 novembre pour la première fois afin de coordonner leurs actions concernant les différentes plaintes reçues.
#18/11/2021 – Lituanie – Une enquête ouverte sur Vinted
Certaines autorités européennes ont reçu un nombre important de plaintes à l’encontre du site de vente en ligne Vinted. Les autorités de contrôle de la France, de la Pologne et de la Lituanie ont décidé de coopérer afin de mener une enquête à l’encontre de Vinted. La société étant lituanienne, la Lituanie a été désignée comme l’autorité de contrôle chef de file.
L’enquête porte sur plusieurs points :
# l’exigence d’un scan d’une pièce d’identité pour débloquer les fonds reçus via une vente ;
# la procédure et les conditions de blocage d’un compte ;
# les durées de conservation.
Les autorités se sont réunies le 8 novembre pour la première fois afin de coordonner leurs actions concernant les différentes plaintes reçues.
#17/10/2021 – Espagne (AEPD) – Vueling sanctionné pour sa politique de cookies >> 30K€
Lorsque les internautes se rendaient sur le site web https://www.vueling.com/es, ils étaient informés de ce qu’est un cookie et de l’utilisation de cookies statistiques et de cookies tiers sur le site. Cependant, ils n’avaient pas la possibilité de paramétrer les cookies déposés sur leur ordinateur. Il leur était simplement précisé qu’ils pouvaient refuser les cookies en paramétrant leur navigateur ou en installant un logiciel de blocage des cookies. L’autorité a donc relevé des manquements aux obligations de recueillir le consentement et d’information. L’autorité espagnole sanctionne Vueling d’une amende de 30K€.
Pour en savoir plus :
05/10/2021 – Espagne (AEPD) – Vodafone sanctionné pour avoir transmis des factures clients à un tiers >> 50K€
Une personne a porté plainte après avoir reçu des factures clients d’un tiers. Le destinataire des factures avait indiqué l’adresse de messagerie de la plaignante pour l’envoi des factures. Après plusieurs courriels demandant à effacer son adresse mail, la plaignante n’a pas obtenu de réponse de la part de Vodafone. Cette situation a duré 1 an et 8 mois. L’autorité a donc relevé un manquement à l’obligation de licéité du traitement et à l’obligation de sécurité des données. Vodafone a été condamnée à une amende de 50K€.
Pour en savoir plus :
https://www.aepd.es/es/documento/ps-00111-2021.pdf
#27/09/2021 – Norvège (DPA) – La société Ferde AS sanctionnée pour transfert de données illégal en Chine >> 500K€
Grâce à un reportage radio national, l’autorité de protection des données norvégienne a appris que la société Ferde transférait des données à un sous-traitant en Chine depuis 2 ans, relatives aux véhicules qui passaient par des points de péage. Une enquête a été ouverte par la DPA afin de vérifier les mesures mises en place concernant le transfert de données vers la Chine. La DPA norvégienne a sanctionné la société avec une amende de 500K€ pour 3 manquements, notamment le manquement à l’obligation de recourir à des clauses contractuelles types de la Commission Européenne afin d’assurer la sécurité des données concernant un transfert hors UE.
#24/09/2021 – Allemagne (BWDPA) – Vattenfall Europe Sales GmbH (Vattenfall) sanctionné pour manquement à son obligation d’information >> 900K€
Vattenfall propose des contrats de fourniture d’électricité avec une prime pour les nouveaux clients. Afin de vérifier si les nouveaux clients n’ont pas déjà été clients de Vattenfall par le passé, la société utilise les anciennes factures clients, qu’elle conserve pour des obligations légales fiscales. Cette vérification avait pour but d’empêcher des personnes de conclure régulièrement des contrats en bénéficiant de la prime qui était réservée exclusivement aux nouveaux clients et non aux anciens. Les personnes n’étaient pas informées de ce traitement, l’autorité a donc relevé un manquement à l’obligation d’information et a sanctionné Vattenfall à une amende de 900K€ sachant que ce traitement concernait environ 500 000 personnes.
Pour en savoir plus :
https://datenschutz-hamburg.de/pressemitteilungen/2021/09/2021-09-25-vattenfall2
#20/09/2021 – Finlande (DPA) – Le Conseil National de Police sanctionné pour utilisation illégale d’un logiciel de reconnaissance faciale
L’autorité de protection des données a été alertée par un article de presse sur l’utilisation d’un logiciel de reconnaissance faciale, Clearview IA. Il était en test dans le cadre de la prévention des abus sexuels sur des enfants afin d’identifier les potentielles victimes. Le Conseil National de Police a notifié une violation de données au mois d’avril 2021. Le traitement des données personnelles via la reconnaissance faciale a été effectué par une unité de police. Il n’avait pas été approuvé par le Conseil national de Police qui l’a découvert dans les médias. L’autorité finlandaise a relevé un manquement au principe de licéité du traitement et à l’obligation d’information des personnes concernées. En tant que responsable de traitement, le Conseil National de Police aurait dû veiller à ce que les procédures soient respectées par les unités de police et a donc fait l’objet d’un blâme par l’autorité finlandaise.
#16/09/2021 – Italie (GDPD) – Une agence immobilière sanctionnée pour utilisation illégale de coordonnées via LinkedIn >> 5K€
Les faits :
Une personne a porté plainte auprès de l’autorité italienne car une agence immobilière l’a contactée grâce à ses coordonnées disponibles sur LinkedIn pour lui proposer ses services commerciaux via un message. La GDPD a relevé un manquement au principe de licéité du traitement puisque les coordonnées ont été utilisées pour une autre finalité que celle initialement prévue, à savoir la recherche d’opportunités d’emploi. L’autorité italienne sanctionne l’agence immobilière d’une amende de 5K€ en raison du traitement de données sans base légale et du manque de coopération avec l’autorité de contrôle.
#15/09/2021 – France – CNIL – La société nouvelle de l’annuaire français (SNAF) sanctionné pour non-respect des droits des personnes concernées >> 3K€
La SNAF est une petite société de moins de 10 salariés contrôlée par la CNIL à la suite du dépôt de 16 plaintes concernant des demandes d’exercice de droits.
Après une mise en demeure et un délai de 2 mois, la CNIL inflige une amende de 3K€ à la SNAF pour 3 manquements : non-respect du droit des personnes (en raison de difficultés opérationnelles), absence de mise en place d’un registre des traitements et manque de coopération.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044043045
#14/09/2021 – CNIL – Refuser des cookies doit être aussi simple que de les accepter
Depuis le 31 mars dernier la CNIL a commencé à vérifier que ses lignes directrices d’octobre 2020 concernant les cookies sont appliquées en pratique. Elle a par conséquent effectué des contrôles qui ont mené à environ 70 mises en demeure. La CNIL avait laissé jusqu’au 6 septembre aux entités concernées pour se mettre en conformité. Si environ 40% des organismes ont mis leurs cookies en conformité depuis, d’autres n’ont pas répondu à la mise en demeure de la CNIL et risquent une amende pouvant aller jusqu’à 2% de leur chiffre d’affaires.
La CNIL prévoit de nouvelles campagnes de contrôles qui porteront toujours sur la facilité à refuser les cookies mais également sur l’effectivité de ce choix.
#20/08/2021 – Chine – L’assemblée nationale populaire de Chine adopte une nouvelle loi sur la protection des données personnelles
Selon l’agence de presse nationale Xinhua, la Chine vient d’adopter une nouvelle loi en matière de protection des données personnelles qui sera applicable dès le 1er novembre 2021 et laisse donc à peine plus de 2 mois pour s’y conformer.
Elle a pour objectif principal de contraindre les entreprises à cesser les collectes abusives de données en particulier sur le web (avec le ciblage publicitaire).
On y constate certains rapprochements avec le RGPD, comme le principe de minimisation, l’obtention d’un consentement en particulier pour les données dites sensibles (biométrie, santé, finance, localisation).
D’après nos informations à ce stade, cette loi concerne principalement les sociétés domiciliées en Chine, mais il semblerait que les sociétés étrangères aient l’obligation de désigner un représentant local.
Les amendes peuvent grimper jusqu’environ 6.6M€ ou 5% du CA annuel de l’entreprise mais d’autres sanctions peuvent être prises (coupure de licence commerciale, interruption de service, fermeture de l’entreprise).
La loi prévoit également une interdiction de transfert des données à l’étranger, dans des pays dont les règles de protection seraient moins fortes. La question qui va nécessairement se poser est réciproque : la Chine considérera-t-elle que le RGPD est suffisamment strict pour permettre les transferts de données vers l’Union Européenne et la Commission Européenne décidera-t-elle que la Chine est, avec cette nouvelle loi, un pays adéquat (présentant des garanties suffisantes en matière de respect de la vie privée) ? Sur ce dernier point rien n’est moins sûr, car la nouvelle réglementation chinoise ne s’imposera visiblement pas au Gouvernement chinois, qui pourra continuer de collecter de nombreuses données et poursuivre sa politique de traçage, de sorte que la Commission Européenne aura sans doute les mêmes réticences que pour les USA…
Pour en savoir plus : https://iapp.org/news/a/china-adopts-national-privacy-law/
#13/08/2021 – UE – noyb dépose des plaintes contre 7 sites d’information allemands et autrichien en raison de leurs cookies wall payants
On voir fleurir depuis quelque temps des bandeaux cookies permettant de refuser les cookies mais proposant dans ce cas aux internautes de souscrire à un abonnement. Si le principe n’a pas été considéré comme illégal en soi, noyb pose la question de l’abus de cette pratique : le consentement de l’internaute peut-il être considéré comme libre et son refus de consentir aisé, quand pour refuser il faudrait payer des sommes supérieures à la valeur de la donnée selon le prix du marché ?
Pour en savoir plus : https://noyb.eu/fr/sites-dinformation-les-lecteurs-doivent-racheter-leurs-propres-donnees-un-prix-exorbitant
#10/08/2021 – UE – noyb dépose 422 plaintes pour bannières cookies illégales auprès de 10 autorités européennes
Fin mai 2021, noyb annonçait avoir adressé des avertissements à plus de 500 entreprises concernant la non-conformité des bannières cookies de leurs sites web. 82% des entreprises concernées n’ayant visiblement pas mis fin à leur non-conformité, noyb vient de déposer 422 plaintes auprès de 10 autorités européennes de protection des données.
Pour en savoir plus : https://noyb.eu/fr/noyb-depose-422-plaintes-officielles-au-titre-du-gdpr-concernant-des-bannieres-de-cookies
# 27/07/2021 – CNIL – Le Figaro sanctionné en raison de dépôts de cookies marketing >> 50K€
Les faits :
Une internaute utilisateur du site web du Figaro a porté plainte auprès de la CNIL en raison du dépôt de cookies publicitaires sans recueil préalable de son consentement. La CNIL a donc effectué 5 contrôles en ligne du site web du Figaro entre le 14 janvier 2020 et le 1er juin 2021. Les deux premiers contrôles ont permis de vérifier :
# quand les cookies étaient déposés ;
# la finalité des cookies ;
# l’information délivrée aux utilisateurs ;
# le dispositif de refus des cookies mis en place.
2 nouveaux contrôles ont été effectués afin de déterminer les conséquences d’un rechargement de la page ou d’un changement de page soit lorsque les utilisateurs donnent leur consentement puis refusent le dépôt des cookies, soit lorsqu’ils refusent immédiatement.
Un 5ème contrôle a été fait afin d’effectuer les mêmes vérifications à partir du navigateur Chrome, les 4 autres contrôles ayant été effectués uniquement à partir du navigateur Firefox.
Lors de la procédure le Figaro a avancé que la CNIL ne pouvait pas engager une procédure de sanction car elle ne l’avait pas mise en demeure préalablement. Cependant, il ressort de la Loi Informatique et Liberté que la CNIL n’est pas dans l’obligation d’effectuer une mise en demeure, elle peut sanctionner directement.
# La responsabilité de la Société du Figaro concernant les cookies déposés depuis son site web :
La Société du Figaro considère qu’elle n’est pas responsable des cookies déposés par des tiers sur son site web.
De plus, concernant des cookies identifiés comme étant des cookies internes, elle soutient que ce sont, en réalité, des cookies déposés par des tiers au moyen d’un code Javascript, et qu’elle n’a donc pas connaissance du dépôt de ces cookies.
La société estime qu’elle est responsable uniquement en ce qui concerne l’information des personnes et le recueil du consentement préalable au dépôt.
Cependant, la CNIL relève qu’en tant qu’éditrice du site web, la Société du Figaro a une part de responsabilité s’agissant des cookies tiers présents sur son site et que s’il ne s’agit pas d’une obligation de résultat mais d’une obligation de moyens, le Figaro n’a pas mis en œuvre les moyens suffisants.
La CNIL rappelle d’ailleurs que le Conseil d’Etat avait jugé, dans une décision Croque Futur du 6 juin 2018, qu’en matière de cookies, il appartient à l’éditeur du site web de s’assurer auprès de ses partenaires, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. L’éditeur du site web et les partenaires commerciaux sont coresponsables s’agissant des cookies.
Concernant les cookies identifiés comme internes mais déposés par des tiers la CNIL relève deux possibilités :
# Soit les tiers entrent le code Javascript avec l’accord de la société, donc elle en a connaissance,
# Soit les tiers entrent le code Javascript à l’insu de la société, auquel cas il y aurait une vulnérabilité majeure sur le site web,
Dans les deux cas, la société est donc tenue responsable.
# Manquement à l’article 82 de la Loi Informatique et Liberté :
La CNIL relève deux négligences aux cookies de la part du Figaro :
# le dépôt des cookies publicitaires par des tiers sans recueil préalable du consentement de l’utilisateur ;
# l’impossibilité effective de refuser le dépôt des cookies tiers.
Les systèmes mis en place par le Figaro étaient défaillants sur ces deux points et la CNIL considère donc que la Société a manqué à ses obligations en matière de cookies.
Décision :
La CNIL retient que la Société du Figaro est responsable du dépôt des cookies tiers sur son site web, il s’agit d’une obligation de moyens. Elle sanctionne la Société à une amende pour manquement à ses obligations de l’article 82 de la Loi Informatique et Liberté.
Sanction :
La CNIL inflige une amende de 50K€ en raison :
# de la nature du traitement ;
# du nombre de personne concernées ;
# de la gravité des manquements ;
# du rôle central joué par les cookies dans les procédés de ciblage publicitaire ;
# de la portée du manquement, la Société du Figaro étant un acteur majeur du monde médiatique dont le site web est très connu (24,5M de visiteurs par mois) ;
# de l’avantage financier que la Société a tiré de ces manquements.
Publication :
La décision est publiée nominativement pour une durée de 2 ans en raison des points listés ci-dessus.
Ce qu’il faut retenir :
La CNIL a déjà rappelé maintes et maintes fois qu’elle n’avait aucune obligation de mettre en demeure une société de se mettre en conformité avant de décider d’une sanction pécuniaire. Il n’y a aucune nécessité d’une sorte de rappel à la loi !!
L’éditeur du site web est responsable des cookies déposés par des tiers sur son site web. Il est tenu d’une obligation de moyens et doit s’assurer que ces tiers respectent bien les obligations liées à la législation en matière de cookies. L’éditeur et les tiers sont donc coresponsables de traitement.
Pour en savoir plus :
# https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043867129
#26/07/2021 – CNIL –Monsanto sanctionnée pour enregistrement illégal de personnes dans un fichier à des fins de lobbying >> 400K€
Les faits :
La société américaine Monsanto développe et commercialise des produits phytosanitaires parfois controversés, dont le plus connu contient du glyphosate.
En mai 2019, des médias ont révélé que deux sociétés, entre 2016 et 2017, avaient constitué des fichiers contenant les données personnelles de plus de 200 personnalités politiques, journalistes, militants etc. pour le compte de Monsanto dans le cadre de la campagne pour le renouvellement de l’autorisation d’utilisation du glyphosate par la Commission européenne.
Les données collectées étaient constituées de les nom, prénom, organisme de rattachement et son site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse mail professionnelle et, le cas échéant, le compte Twitter. Une note était attribuée à chacune des personnes afin d’évaluer sa crédibilité, son influence et son soutien à Monsanto sur plusieurs sujets. Aussi, une zone de texte libre était laissée pour indiquer à quels évènements les personnes avaient assisté ou quels événements elles avaient organisés, les personnes avec qui elles travaillaient, leur contact avec la société Monsanto et les articles qu’elles avaient publié sur le glyphosate. Le but était de permettre à Monsanto d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de lobbying, par une communication ciblée en faveur du renouvellement de l’autorisation du glyphosate.
Plusieurs plaintes ont été déposée auprès de la CNIL entre mai et septembre 2019 car les personnes figurant sur ce fichier n’avaient pas été informées de ce traitement. La CNIL a donc effectué plusieurs contrôles :
# 2 contrôles sur pièces en mai 2019 ;
# un 3ème contrôle sur pièce en août 2019 ;
# 1 audition en janvier 2020.
Lors de ces contrôles, la CNIL a relevé plusieurs manquements au RGPD.
# Sur la qualification de responsable de traitement :
La CNIL considère que Monsanto est responsable de traitement puisque les traitements de données sont effectués pour son compte. Monsanto détermine la finalité du traitement et les moyens à mettre en œuvre pour l’atteindre. Monsanto a fait appel à un prestataire pour parvenir à atteindre son objectif. La CNIL a relevé que Monsanto était étroitement associée à l’identification et au recensement des personnes, elle formulait des demandes très précises sur ce que le prestataire devait prendre en compte ou non, des réunions étaient organisées avec des points hebdomadaires. Ces éléments démontrent le pouvoir de direction de Monsanto sur le prestataire bien qu’il lui ait fait des propositions, Monsanto les a acceptées et sans cette acceptation le traitement n’aurait pas eu lieu. Par conséquent, Monsanto est bien le responsable de traitement.
# Sur l’application du RGPD :
Monsanto soutient que la constitution du fichier concerné était antérieure au RGPD et qu’il n’a jamais été mis à jour ou exploité depuis. Pour retenir l’application du RGPD, la CNIL retient que la seule conservation du fichier qui a perduré postérieurement au RGPD est un traitement en tant que tel. Ici, le fichier a été conservé dans les archives de messagerie électronique d’un employé de Monsanto.
# Manquement à l’obligation d’information :
La CNIL relève que le traitement peut relever de l’intérêt légitime (sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement) et qu’il est nécessaire, en l’espèce, de tenir compte des attentes raisonnables des personnes concernées concernant la nature des données collectées et la façon dont elles sont traitées.
En l’espèce, la CNIL retient que les personnes concernées pouvaient raisonnablement s’attendre à ce traitement de la part de Monsanto étant donné qu’elles avaient pris part au débat public sur l’utilisation du glyphosate ou des sujets en lien avec cette thématique. Cependant, les personnes doivent être informées de ce traitement afin de pouvoir exercer leurs droits. Il n’est possible de se substituer à cette obligation que si cela entraine des efforts disproportionnés ou si cela rend impossible ou compromet gravement la réalisation de la finalité du traitement. Ici, aucune des deux exceptions n’est jugée applicable par la CNIL :
→Monsanto disposait des coordonnées de la majorité des personnes concernées donc cela n’entrainait pas d’efforts disproportionnés de les informer (d’ailleurs cela a été fait tardivement en 2019 par une information individuelle alors que le traitement avait débuté en 2016) ;
→ Informer ces personnes n’aurait pas compromis le traitement : l’encadrement législatif de l’activité de représentant d’intérêts/ lobbying évolue vers une transparence accrue tant au niveau de l’Union européenne qu’au niveau national, ce qui apparaît incompatible avec un exercice de cette activité de manière opaque, à l’insu des personnes concernées.
# Manquement à l’obligation d’encadrer la relation de sous-traitance par un contrat :
La CNIL relève que le traitement relatif à la cartographie des personnes concernées a fait l’objet de plusieurs contrats et avenants successifs entre Monsanto et son prestataire mais qu’aucun d’entre eux ne contient les informations prévues à l’article 28 du RGPD.
Décision :
La CNIL a sanctionné Monsanto d’une amende en raison d’un manquement à l’obligation d’encadrer sa relation avec son sous-traitant et d’un manquement à l’obligation d’information.
Sanction :
La CNIL condamne Monsanto à une amende de 400K€ pour un CA 2018 de 12 milliards€ (soit 0,003% du CA), elle a tenu compte de l’atteinte portée aux droits des personnes et du fait qu’il n’a été mis fin au manquement qu’après plusieurs années uniquement et uniquement du fait que l’affaire ait été rendue publique.
Ce qu’il faut retenir :
Si la transparence devient de mise également dans les activités de représentant d’intérêts, on peut se demander malgré tout si le fait pour une personne d’être informée qu’elle apparait dans un tel fichier ne peut pas avoir un impact sur le résultat des actions de lobbying, par exemple sur le comportement ou le discours de cette personne. Toujours est-il que la CNIL fait passer le droit à l’information avant tout et que toute personne a le droit de savoir qu’elle est « fichée » et pas seulement de pouvoir l’imaginer ! Aussi, bien que les personnes puissent s’attendre à ce que leurs données soient traitées, il est nécessaire de les informer du traitement afin que ces dernières puissent exercer leurs droits.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043860997
#20/07/2021– CNIL – La société AG2R sanctionnée pour manquement à son obligation d’information et à son obligation d’appliquer des durées de conservation proportionnées à ses traitements >> 1.75M€
Les faits :
AG2R LA MONDIALE est une société de groupe d’assurance mutuelle. En 2019 l’une de ses filiales, la SGAM AG2R LA MONDIALE qui a la charge de la coordination de l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire, a été soumise, en octobre 2019, à un contrôle de la CNIL au sein de ses locaux, puis sur pièces.
Ce contrôle avait pour objectif de vérifier la conformité au RGPD des activités menées par la filiale, s’agissant notamment des traitements des données personnelles des clients et prospects du groupe, et en particulier en ce qui concerne l’information des personnes et les durées de conservation.
La procédure aura duré près de 2 ans jusqu’à la décision de la CNIL.
A l’issu du contrôle, la CNIL a déterminé que la société ne respectait pas les durées de conservation qu’elle avait établie dans son référentiel, ni l’obligation d’information dans le cadre de ses campagnes de démarchage téléphonique.
# Manquement à l’obligation de respecter les durées de conservations des données à caractère personnel (article 5-1-e) du RGPD)
La société conservait les données de ses clients et prospects pendant plus de 3, voir 5 ans, alors qu’en principe lorsque les données permettent d’identifier les personnes, elles doivent être conservées pendant une durée « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
En effet, la SGAM en conservant les données de prospects pendant une durée supérieure à 3 ans et les données de plus de 2 millions de clients alors qu’elle n’entretenait plus de relations contractuelles avec ces derniers depuis des années (parfois plus de 30 ans !), s’est placée hors la loi. Cette violation de l’article 5 est d’autant plus grave que certaines des données conservées étaient à caractère sensible et nécessitaient une protection particulière, qui n’a pas été appliquée.
# L’obligation d’informer les personnes des traitements réalisés (articles 13 et 14 du RGPD)
Il s’avère que lorsque les sous-traitants d’AG2R démarchaient des personnes, ils ne leur fournissaient pas toutes les informations relatives à l’identité et aux coordonnées du responsable de traitement, aux finalités du traitement, aux destinataires des données à caractère personnel, etc… La CNIL a en effet jugé qu’en ne leur donnant pas d’informations sur le traitement réservé à leurs données personnelles ou sur leurs droits, comme celui de s’opposer à l’enregistrement d’un appel téléphonique, la société a encore une fois méconnu les obligations imposées par le RGPD.
Décision :
A la suite du contrôle effectué par la CNIL et durant la procédure, la société a mis en œuvre des mesures afin de se conformer au RGPD. Les téléconseillers des prestataires ont par exemple commencé à délivrer des informations sur l’identité du responsable de traitement ou encore les finalités de ce dernier ; et s’agissant de la conservation des données de prospect, la société met désormais en œuvre les durées de conservation qu’elle a définie dans son référentiel. Ceci étant, le 20 juillet 2021, la CNIL a condamné AG2R à une amende, prenant en compte sa négligence grave sur les principes fondamentaux du RGPD et le nombre important de personnes concernées.
Publication :
La CNIL a décidé de publier cette décision qui ne nommera plus la société à l’expiration d’un délai d’1 an à compter de sa publication. Une telle sanction s’explique car AG2R LA MONDIALE est un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. La publicité de la sanction permet alors d’informer les personnes concernées de la nature et l’étendue des manquements de la société en matière de protection des données personnelles.
Sanction :
La CNIL inflige une amende de 1.75M€ à la société, soit 0.02% de son CA en 2020 (9.3 milliards€).
Ce qu’il faut retenir :
L’amende décidée par la CNIL reste relativement faible par rapport au montant maximum de 20M€ qui aurait pu être retenu et ne correspondait qu’à 0.22% du CA 2020 d’AG2R.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?isSuggest=true
#19/07/2021 – UE – noyb se plaint de l’absence de décision suite à des plaintes concernant le droit d’accès, qu’elle a engagées contre des services de streaming
Depuis janvier 2019, noyb a lancé des plaintes contre les plus grands acteurs du streaming tels que YouTube, Spotify, Netflix, Apple music ou Amazon prime video… L’association constate que plus de 2 ans après le lancement de ces procédures aucune décision n’a encore été prise par les autorités concernées et regrette leur incapacité à faire respecter les droits fondamentaux des usagers de ces plateformes.
Pour en savoir plus : https://noyb.eu/fr/25-ans-et-toujours-pas-de-decision-sur-les-plaintes-de-streaming
# 19/07/2021 – La CNIL émet une quarantaine de mises en demeure concernant les cookies
Après avoir émis 20 mises en demeure le 18 mai dernier, la CNIL poursuit ses contrôles et émet une quarantaine de nouvelles mises en demeure car certains organismes ne permettent pas de refuser les cookies aussi simplement que de les accepter.
Ces mises en demeure concernent des acteurs de divers secteurs tels que l’économie numérique, l’informatique, la grande consommation, l’automobile, le tourisme, le secteur bancaire, les services publics et le secteur de l’énergie.
Les organismes réprimandés par la CNIL ont jusqu’au 6 septembre pour se mettre en conformité avec les lignes directrices de la CNIL du 1er octobre 2020 relatives aux cookies. Ils risquent une sanction financière pouvant aller jusqu’à 2% de leur CA.
Ce qu’il faut retenir :
La CNIL poursuit sa campagne de contrôle concernant la conformité des cookies et vérifiera également à partir du 6 septembre, que les organismes mis en demeure ont bien modifié leur fonctionnement en matière de cookies pour être en conformité.
#16/07/2021 – Luxembourg (CNPD) – Amende record contre Amazon Europe Corp. pour ciblage publicitaire illégal >> 746MK€
En mai 2018, une plainte collective (en représentation de 1.000 personnes) contre Amazon a été adressée par l’association La Quadrature du Net (LQDN) à la CNIL concernant de possibles analyses comportementales et ciblage publicitaire illicites. La CNIL a transmis l’affaire à l’autorité Luxembourgeoise, compétente compte-tenu de l’établissement de la société Amazon Europe Corp. sur son territoire, tout en coopérant avec elle pendant toute la procédure.
Manquement à l’obligation de traitement licite / absence de base légale :
La décision n’est pas encore rendue publique (en attendant que toutes les voies de recours soient épuisées), ceci étant la CNIL tout comme la Quadrature du net ont commencé à communiquer sur elle. La plainte portait sur l’absence de base légale du ciblage publicitaire réalisé par Amazon qui a visiblement été reconnue justifiée par l’autorité luxembourgeoise.
Sanction :
En dehors de l’amende décidée par l’autorité, l’autorité luxembourgeoise a donné à Amazon un délai de 6 mois pour se mettre en conformité, ce qui implique soit l’arrêt du ciblage, soit l’obtention d’un consentement valable pour le réaliser. A défaut, une astreinte de 746K€ par jour de retard est prévue. Amazon a d’ores et déjà annoncé qu’elle ferait appel de la décision.
Amende :
L’amende infligée est d’un montant de 746M€ et correspond à date au nouveau record européen en matière de violation du RGPD (le précédent record concernait Google condamnée par la CNIL à 60M€ fin 2020).
Ce qu’il faut retenir :
Il semble que, sans surprise, l’autorité retienne que le ciblage publicitaire doit être fondé sur la base légale du consentement et non mis en œuvre dans le cadre d’une exécution contractuelle, comme tentait de le justifier Amazon).
#13/07/2021 – Allemagne (BWDPA) – Les autorités allemandes contrôlent les transferts de données entre l’Union européenne et les Etats-Unis
Dans le cadre d’un contrôle national, les autorités allemandes ont décidé de s’assurer de la conformité des transferts de données personnelles opérés par certaines entreprises, à l’arrêt Schrems II (CJUE – 16 juillet 2020).
Pour mémoire, cet arrêt a invalidé le transfert de données personnelles depuis l’UE vers les Etats-Unis qui étaient effectués sur la base du Privacy Shield. Il valide en revanche les clauses contractuelles types établies par la Commission Européenne mais exige que ces clauses contractuelles, qui régulent le transfert, soient accompagnées de mesures complémentaires si le niveau de protection est trop faible dans l’Etat de destination.
Mise en place de questionnaires pour apprécier la conformité à Schrems II
Afin de mener à bien leurs contrôles, les autorités ont prévu de soumettre les entreprises à l’un des cinq questionnaires suivants :
# Questionnaires portant sur des contrats conclus avec un prestataire de services, pour :
-L’envoi de courriels électroniques
-L’hébergement de sites internet
-La gestion des données des candidats
# Questionnaire portant sur le webtracking
# Questionnaire portant sur les échanges de données des clients ou employés de la société
La suspension ou l’interdiction des transferts ne correspondant pas aux critères de l’arrêt Schrems II
L’objectif de ces contrôles est de suspendre ou d’interdire les transferts ne répondant pas aux exigences de l’arrêt Schrems II.
Les autorités allemandes sont conscientes que la mise en conformité des transferts aux exigences du juge européen ne sera pas évidente, elles sont ainsi disposées à accompagner les entreprises dans la mise en place de nouvelles mesures.
Ce qu’il faut retenir :
Pour l’heure, nous ne connaissons pas encore l’issue des démarches de contrôle mises en place par l’Allemagne mais il est certain que plus d’un an après l’arrêt Schrems II, la question de la conformité des transferts de données vers les USA reste délicate.
Pour mémoire, en avril 2021, l’autorité portugaise avait décidé (cf. : notre news du 28/04/21) de suspendre un traitement concernant le recensement 2021 de la population portugaise, car l’entité chargée de collecter les réponses au questionnaire avait sous-traité son exploitation à une société située aux Etats-Unis.
Pour en savoir plus :
#13/07/2021 – Pologne (UODO) – Le Président du tribunal du district de Zgierz sanctionné pour ne pas avoir sécurisé le support des données >> 2.2K€
Les faits :
Une violation de données a été signalée en février 2020 par le Président du tribunal du district de Zgierz à l’UODO, il s’agissait de la perte d’une clé USB non cryptée. Les données de 400 personnes soumises à une surveillance probatoire étaient stockées sur ce support. Les données concernées étaient les noms et prénoms, dates de naissance, adresses de résidence ou de séjour, numéro d’inscription PESEL, des données sur les revenus et/ou les biens, les séries et numéros de cartes d’identité, les numéros de téléphone, des données concernant la santé et des données sur les condamnations pénales. Le président du tribunal du district a demandé à ses employés de sécuriser les supports de ces données.
Manquement à l’obligation de sécurité :
Au cours de la procédure, le responsable de traitement a expliqué qu’il avait mis en place des règles concernant les traitements de données personnelles afin d’assurer la sécurité des données. La documentation était mise à jour et auditée par un DPO et indiquait qu’il incombait aux utilisateurs de sécuriser les supports de données. De plus, le responsable de traitement avait assuré avoir sensibilisé ses employés grâce à des formations en ligne. L’UODO a relevé un manquement à l’obligation de sécurité puisque des personnes non autorisées auraient pu accéder aux données, et retient qu’il appartient au responsable de traitement de délivrer à ses collaborateurs des supports de données sécurisés.
Décision :
L’UODO sanctionne le responsable de traitement d’une amende pour manquement à son obligation de sécurité.
Sanction :
L’UODO inflige une amende d’un montant de 10 000 PLN, soit environ 2.2K€.
Ce qu’il faut retenir :
Il incombe au responsable de traitement de mettre en œuvre les mesures techniques et organisationnelles afin d’assurer la sécurité des données, il ne peut pas imposer à ses employés de le faire pour son compte.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/polish-sa-personal-data-carrier-must-be-secured_en
#08/07/2021 – Lituanie (DPA) – Un club de sport sanctionné pour traitement illégal d’empreintes digitales >> 20K€
Une personne a déposé une plainte à l’encontre d’un club sportif car le seul moyen d’identification d’une personne, obligatoire pour accéder aux services, était la lecture de l’empreinte digitale. Cela concernait à la fois les clients et les employés. La DPA a donc ouvert une procédure à l’encontre du club de sport.
Manquement à l’obligation de recueillir un consentement préalable :
Les données biométriques, telle que l’empreinte digitale, sont des données sensibles au sens du RGPD. Le club de sport a indiqué que le traitement des empreintes reposait sur le consentement des personnes concernées. Cependant, le responsable de traitement n’a pas vérifié que le consentement répondait aux conditions légales. La DPA lors de son contrôle a déterminé que le consentement n’était notamment pas donné volontairement donc qu’il n’était pas valide.
Manquement à l’obligation de licéité du traitement / mauvaise base légale / absence d’analyse d’impact / manque d’information :
La DPA a relevé que le consentement n’était pas la base légale appropriée pour le traitement des empreintes digitales concernant les employés car il y a un déséquilibre de pouvoir avec l’employeur. De plus, le responsable de traitement n’a pas précisé la finalité du traitement et il aurait dû effectuer une analyse d’impact afin de vérifier que le traitement était proportionnel à la finalité visée. Aucune information sur le traitement n’était donnée aux personnes concernées.
Décision :
La DPA sanctionne le club de sport d’une amende.
Sanction :
L’amende est d’un montant de 20K€, la DPA a tenu compte du fait qu’il s’agit de données sensibles et du fait que la société avait déjà reçu une instruction sur ces données concernant un autre club de sport lui appartenant. Par conséquent, elle ne pouvait pas ignorer que le traitement était illégal.
Ce qu’il faut retenir :
Le traitement de données biométriques est très encadré puisqu’il s’agit de données particulièrement sensibles et sa mise en œuvre nécessite d’effectuer une analyse d’impact afin d’évaluer les risques que pourraient entrainer le traitement sur la vie privée des personnes concernées au regard de la finalité visée.
Pour en savoir plus :
# 08/07/2021 – La CNIL clôture l’injonction à l’encontre d’Amazon
Les faits : Le 7 décembre dernier, la CNIL avait condamné Amazon à une amende de 35M€ pour plusieurs manquements relatifs aux cookies :
# l’information des personnes : des cookies étaient déposés sans délivrer une information complète ;
# le recueil du consentement : des cookies étaient déposés sans recueillir le consentement des personnes.
La CNIL avait enjoint à Amazon de se mettre en conformité sur ces points dans un délai de 3 mois.
Le 8 juillet dernier, la CNIL a considéré qu’Amazon s’était bien mis en conformité sur ces manquements et a décidé de clôturer l’injonction.
Ce qu’il faut retenir :
La CNIL a clôturé l’injonction relative aux manquements en date du 7 décembre 2020, c’est-à-dire avant la date butoir du 31 mars 2021 laissée aux entreprises pour se conformer à ses nouvelles lignes directrices relatives aux cookies. Il est probable que la CNIL recontrôle Amazon dans le cadre de sa campagne de contrôle des cookies afin de vérifier qu’Amazon est bien en conformité avec ses nouvelles lignes directrices. Notamment, on note qu’en pratique, à date, sur le site www.amazon.fr, il n’est pas aussi simple de refuser les cookies que de les accepter, ce qui est actuellement le cheval de bataille de la CNIL !
Pour en savoir plus :
https://www.cnil.fr/fr/cloture-de-linjonction-prononcee-lencontre-damazon
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043812469
#07/07/2021 – Norvège (DPA) – Le conseil municipal de Moss sanctionné pour manquement à son obligation de sécurité >> 50K€
Les faits :
En janvier 2020, les 2 municipalités de Rygge et Moss ont fusionné, leurs systèmes informatiques ont donc été combinés. Parmi eux, un système administratif utilisé depuis longtemps par le conseil municipal de Moss traite les données de santé des habitants qui sont patients au sein de la clinique de sécurité infantile. Ce système conserve les programmes de vaccination, les bilans de santé des nourrissons et des enfants ainsi que les soins prénataux et son utilisation a été poursuivi après la fusion. La municipalité de Moss a détecté une faille signalé que le système violait la confidentialité, l’intégrité et la disponibilité de certaines données concernant à la fois des adultes et des enfants.
Manquement à l’obligation de sécurité :
Des données des vaccinations enregistrées étaient incorrectes, il était indiqué que certains avaient reçu le vaccin alors que ce n’était pas le cas et d’autres qu’ils n’avaient pas reçu le vaccin alors qu’au contraire ils l’avaient bien reçu. Des informations concernant la grossesse de certaines femmes étaient erronées (nombre incorrect de semaines de grossesse, erreurs de poids et de taille, les erreurs de détail de la consommation d’alcool/de stupéfiants par la mère). Certaines données ont été rendues accessibles au personnel soignant qui n’en n’avait pas l’utilité et les accès n’étaient pas tracés. La tenue des dossiers des patients et des rendez-vous comprenaient également des erreurs.
Aucune personne n’a été identifiée comme réellement impactée par ces erreurs de sécurité mais 2000 personnes auraient pu l’être. La municipalité a rapidement corrigé ces défaillances.
Décision :
La DPA inflige une amende à la municipalité.
Sanction :
L’amende infligée est de 50K€.
Ce qu’il faut retenir :
Bien qu’un manquement à la sécurité des données n’ait pas entrainé, en pratique, d’impact sur la vie privée des personnes concernées, le simple fait que la non-conformité puisse avoir un impact est sanctionnable.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-moss-municipal-council-fined_en
#06/07/2021 – France – Conseil d’Etat (référé) – Le Passe sanitaire ne constitue pas une ingérence grave et illégale dans l’exercice des libertés fondamentales
Les Faits :
Depuis le 9 Juin 2021, le gouvernent a mis en place le « Passe sanitaire » afin de vérifier que les individus ne soit pas porteur du Covid-19. Ce Passe doit être présenté à l’entrée de certains lieux définis par les textes de loi.
L’association La Quadrature du Net a saisi le juge des référés du Conseil d’Etat d’une requête afin d’obtenir la suspension du Passe sanitaire et préserver les données sensibles des citoyens.
Elle soutient que l’instauration du Passe, notamment de sa version numérique TousAntiCovid, constitue une ingérence grave et manifestement illégale dans l’exercice de diverses libertés fondamentales :
– Atteinte aux libertés fondamentales des individus avec : la liberté d’aller et venir des citoyens n’acceptant pas de se soumettre au Pass qui ne pourraient plus accéder librement aux lieux visés par le décret du 07/06/2021, la liberté d’expression et celle de manifester.
– Atteinte au droit au respect de la vie privée et au droit à la protection des données personnelles, le Passe sanitaire contenant des données civiles et de santé, qui ne seraient pas nécessaires (les données ne permettent pas de vérifier l’authenticité des documents / les données de santé pourraient d’être détournées lors du scan des codes du Passe numérique.
La Quadrature du Net soutient aussi qu’aucune analyse d’impact sur la protection des données n’a été réalisée, et déplore également le manque de contrôle de ce dispositif par la CNIL.
Décision :
Le juge des référés a débouté l’Association de sa demande, jugeant que le Gouvernement n’a commis aucune atteinte grave aux libertés fondamentales des individus.
Il rappelle :
-que le Passe sanitaire n’est pas exigé afin de réaliser des actes de la vie courante, et en ce sens n’entrave pas l’exercice des libertés fondamentales soulevées par le requérant (liberté d’expression, de manifestation).
-que la liberté d’aller et venir a été restreinte pour des questions de santé publique, afin d’empêcher la circulation du Covid-19.
Concernant l’atteinte au droit au respect de la vie privée, la loi du 31 mai 2021 n’interdit pas la présence de données d’identité de la personne concernée et ces données sont nécessaires au contrôle du Passe sanitaire par les forces de l’ordre. Le principe de nécessité est par conséquent respecté.
Selon le juge, le principe de minimisation des données est pleinement rempli par le dispositif et les risques de détournement des données contenues au sein du passe sanitaire, considérablement amoindris : le choix d’un système décentralisé limite les traitements de données, ces dernières sont conservées sur les téléphones mobiles des utilisateurs. En outre, le dispositif instauré par le gouvernement remplit un motif d’intérêt général dans le domaine de la santé publique.
Enfin, le juge rappelle qu’il lui appartient de déterminer s’il y a lieu de saisir l’autorité de contrôle de l’analyse d’impact. En l’espèce, le Ministre de la santé a affirmé que l’analyse d’impact du Passe sanitaire portant sur le module « Carnet » de l’application TousAntiCovid et sur l’application TousAntiCovid Vérif, n’a pas fait apparaître de risque résiduel et qu’il n’y avait pas lieu de consulter la CNIL sur son contenu.
Sanction :
Aucune
Pour en savoir plus :
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2021-07-06/453505
#01/07/2021 –Norvège (DPA) –Une société sanctionnée pour avoir accédé à la boite de messagerie professionnelle de son ancien employé >> 15K€
Faits :
Un employé a découvert que lorsqu’il a quitté son entreprise, son ancien employeur a accédé à sa boite de messagerie professionnelle, a changé le mot de passe et en a fait usage sans son autorisation. Il s’est connecté quotidiennement durant 6 semaines et y a eu accès durant 5 mois. Son ancien employeur aurait maintenu la messagerie ouverte pour répondre aux besoins de l’entreprise. L’employé a porté plainte auprès de l’autorité de contrôle.
Manquement à l’obligation de licéité du traitement :
L’accès à la messagerie électronique revenait à surveiller l’utilisation qui en était faite par l’employé.
L’autorité norvégienne retient que l’employeur a accédé à ces données sans base légale. Elle retient également qu’il a ainsi méconnu les exigences du RGPD :
# L’obligation d’informer la personne concernée par la collecte de données personnelles (article 13) ;
# L’obligation de supprimer le contenu de la messagerie (article 17) ;
# L’obligation d’examiner les objections de l’employé (article 21).
Manquement à l’obligation de sécurité :
L’entreprise n’avait pas établi de procédure d’accès aux courriers électroniques, cela aurait permis de sensibiliser et promouvoir le respect de la réglementation.
Décision :
L’autorité décide de sanctionner la société d’une amende et lui ordonne d’établir des mesures et des procédures de contrôle interne concernant l’accès aux comptes de messagerie des employés et des anciens employés.
Sanction :
L’autorité a infligé une sanction d’un montant de 150 000 NOK soit environ 15K€.
Ce qu’il faut retenir :
L’autorité norvégienne de protection des données, nous rappelle que les messageries des employés contiennent des données personnelles auxquelles il n’est pas possible d’accéder sans être en conformité.
Pour en savoir plus :
#01/07/2021 – Norvège (DPA) – L’entreprise d’Etat Innovation Norway condamnée pour traitement de données sans base légale >> 100K€
Les Faits :
Innovation Norway est une entreprise d’Etat et une banque de développement national.
Début 2020, après avoir reçu de multiples notations de crédit de la part d’Innovation Norway, un chef d’entreprise a saisi l’Autorité norvégienne de protection des données afin de signaler la violation de ses données personnelles.
Les notations de crédit sont des compilations de données personnelles qui permettent d’obtenir des informations quant au statut financier d’une entreprise.
En l’espèce, les employés d’Innovation Norway ont collecté des données sur la solvabilité du chef d’entreprise et de ses deux sociétés alors même que le plaignant ne faisait pas partie de leur clientèle.
Manquement à l’obligation de licéité du traitement :
L’Autorité norvégienne a rappelé dans sa décision que les informations de crédit sur une entreprise peuvent constituer des données personnelles.
Afin de les collecter, il faut se prévaloir d’un fondement juridique valable et disposer d’une raison légitime.
Décision :
L’autorité décide de condamner Innovation Norway à une amende en raison de la collecte de données personnelles sans base légale.
Sanction :
L’entreprise a été condamnée à une amende de 100K€. En fixant un tel montant, l’Autorité norvégienne a réaffirmé l’obligation d’accorder un niveau minimum de protection aux données personnelles conformément aux exigences du RGPD.
Ce qu’il faut retenir :
Quel que soit le traitement de données, une base légale doit être définie au préalable (tel que prévue par le RGPD) et celui objet de l’affaire aurait du être fondé sur le consentement de la personne concernée.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-innovation-norway-fined_en
#01/07/2021 – Norvège (DPA) – L’hôpital universitaire d’Oslo sommé de modifier ses contrats avec ses sous-traitants
Les faits :
Lorsque l’hôpital ou d’autres laboratoires norvégiens ne disposent pas de l’expertise nécessaire pour effectuer certaines analyses médicales, l’hôpital universitaire d’Oslo envoie les échantillons de sang ou d’autres données de patients à des laboratoires d’autres pays, internes ou externe à l’Union Européenne. Environ 8000 patients par an sont concernés.
Manquement à son obligation d’encadrer sa relation avec ses sous-traitants :
L’hôpital n’avait pas conclu de contrat avec les laboratoires à qui il envoyait des données. Le besoin d’assistance de l’hôpital ne le dispense pas de son obligation d’encadrer sa relation avec ses sous-traitants par un contrat afin de cadrer le traitement qui va être fait par les laboratoires.
Décision :
Aucune sanction n’est prononcée à ce stade et, à la suite du rapport préliminaire de la DPA, l’hôpital a indiqué à l’autorité qu’il allait conclure des contrats avec les laboratoires afin de garantir la protection des données des patients.
Ce qu’il faut retenir :
Bien qu’il s’agisse du secteur de la santé, avec une mission très importante qui est d’assurer la santé des patients, cela ne dispense pas les hôpitaux de respecter le RGPD et notamment de conclure des contrats avec ses sous-traitants afin qu’ils mènent des analyses pour leur compte.
Pour en savoir plus :
#01/07/2021 – Norvège (GDPD) –Absence de consentement à l’envoi de publicité ciblée >> Injonction
Les faits :
Une personne a porté plainte car ayant assisté gratuitement à un webinar proposé par la société Smartere Utdanning AS, elle s’est rendue compte qu’elle recevait des publicités sur Facebook et par courriel, sans qu’elle n’y ait consenti. Par conséquent, elle a demandé à la société d’effacer ses données personnelles ce qui n’a pas été fait : Smartere Utdanning AS a affirmé que toute personne utilisant ses services consent automatiquement à l’envoi de publicité sur Facebook et par courriel.
Manquement à l’obligation de recueillir le consentement préalablement au traitement :
Selon l’autorité, cette manière de recueillir le consentement porte atteinte aux dispositions du RGPD s’agissant de publicité ciblée. En effet, en application du Règlement européen, le consentement doit être donné librement, de manière spécifique, éclairée et univoque, ce qui n’était pas le cas d’autant que plusieurs types de marketing étaient opérés via Facebook et par email : Il est nécessaire de recueillir un consentement pour chacun de ces traitements.
Manquement à l’obligation de respecter l’exercice des droits des personnes :
Smartere Utdanning AS n’a pas supprimé les données de la plaignante malgré ses demandes.
Décision :
L’autorité norvégienne a ordonné à la société Smartere Utdanning AS de modifier la manière dont elle recueille le consentement de ses clients, conformément aux exigences du RGPD. La société a dû, en outre, supprimer toutes les informations relatives à la plaignante.
Ce qu’il faut retenir :
Le simple fait de suivre une formation gratuite en ligne ne vaut pas consentement à l’envoi d’offres commerciales ciblées par Facebook et par email. De plus, bien qu’il s’agisse d’une même finalité commerciale pour les deux moyens de publicité, il est nécessaire qu’un consentement soit donné pour chacun des types d’opérations.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-order-improve-solutions-consent_en
#29/06/2021 – Islande (DPA) – Une société sanctionnée pour vidéosurveillance illégale de ses salariés >> 34K€
Les faits :
Un employé a déposé plainte auprès de la DPA concernant une zone réservée aux employés, surveillée par des caméras de manière continue. Ces caméras ont été installées pour des raisons de sécurité. Cette zone est un endroit où les employés se changent en uniforme de travail. L’employé mentionne qu’il n’a pas non plus reçu une information à propos de ce traitement.
Manquement à l’obligation d’information du traitement :
Les employés n’étaient pas informés de cette vidéosurveillance, aucune affiche n’était placée à l’entrée du lieu filmé et les panneaux indiquant la vidéosurveillance étaient insuffisants tant dans les zones des employés que dans la zone de service à la clientèle.
Manquement à l’obligation de licéité du traitement :
Le traitement a été jugé inadéquat et non nécessaire à la finalité poursuivie. De plus, la plupart des employés étaient mineurs, or leurs données font l’objet d’une protection encore plus accrue.
Manquement à l’obligation de coopération :
L’entreprise n’a visiblement pas pleinement coopéré avec la DPA.
Décision :
La DPA sanctionne la société d’une amende et lui impose d’arrêter la surveillance vidéo de la zone des employés, de supprimer tous les enregistrements de cette caméra et de mettre à jour et en œuvre des procédures garantissant que les employés reçoivent suffisamment d’informations sur la vidéosurveillance et sur leurs droits à cet égard.
Sanction :
L’amende infligée est d’un montant de 34K€.
Ce qu’il faut retenir :
Une nouvelle fois, un système de vidéo surveillance trop intrusif est condamné, avec un manque d’information des personnes concernées. La vulnérabilité des personnes mineures qui nécessitent une protection plus stricte de leur vie privée est ici réaffirmée.
Pour en savoir plus :
#28/06/2021– Slovénie (DPA) – Une agence de production multimédia condamnée à supprimer 88 photos
Les faits :
Une personne a porté plainte auprès de l’autorité de protection des données slovène. Une agence de production multimédia détenait une collection de photos d’une personne, associées à son prénom et son nom, prises lors d’évènements aux cours des 7 à 15 dernières années, ces photos étaient sur un site web et proposées à la vente en ligne. La personne concernée a souhaité exercer son droit à l’effacement. Le responsable de traitement a refusé d’effacer les photos en raison de l’exercice de la liberté d’expression et justifiant le traitement par la base légale de l’intérêt légitime. L’autorité a retenu qu’il n’a pas démontré un intérêt public fort, le site web n’a pas contribué à un débat d’importance sociale ou ne se rapportait pas à un sujet d’intérêt public. L’autorité a décidé que le responsable de traitement devait supprimer l’ensemble des données.
Pour en savoir plus :
28/06/2021 – Royaume-Uni / Brexit – Décisions d’adéquation adoptées par la Commission Européenne à la suite du Brexit
A la suite du Brexit, le RGPD cessera de s’appliquer au Royaume-Uni à compter du 1er juillet 2021.
Les transferts de données depuis l’Europe vers le Royaume-Uni sont désormais des transferts hors Union Européenne.
Plusieurs solutions pouvaient donc être envisagées pour commencer ou poursuivre ce type de transferts, à savoir :
# L’utilisation des clauses contractuelles types de la Commission Européenne ;
# L’adoption d’une décision d’adéquation par la Commission Européenne.
Ce qu’il faut retenir :
Le 28 juin, la Commission Européenne a jugé que la législation sur la protection des données au Royaume-Uni est adéquate au regard de la législation européenne. Elle a émis une décision d’adéquation au regard du RGPD et une décision d’adéquation au regard de la directive en matière de protection des données dans le domaine répressif. Ces deux décisions sont valables pour 4 ans. Dès lors, les transferts de données depuis l’Union Européenne vers le Royaume-Uni ne nécessitent aucune mesure contractuelle supplémentaire pour les quatre années à venir.
Ceci étant, il sera tout de même nécessaire d’informer les personnes concernées que leurs données sont transférées hors Union Européenne. Il est donc essentiel que les entreprises vérifient quelles données transitent par le Royaume-Uni et les sous-traitants qu’elles ont effectivement sur ce territoire, pour rédiger ou mettre à jour leur documentation RGPD (registre, mentions d’information, etc.)
23/06/2021 – Chambre sociale de la Cour de cassation : Inopposabilité des enregistrements provenant d’un contrôle constant d’un employé à travers des dispositifs de vidéosurveillance.
Les faits :
En l’espèce, un restaurateur avait installé des caméras de surveillance afin de constituer les preuves suffisantes au licenciement pour faute grave de l’un de ses salariés, à savoir le cuisinier. Il lui était en effet reproché plusieurs absences injustifiées, ainsi que des manquements aux règles d’hygiène et de sécurité. Le salarié avait été informé, dans le cadre d’un avertissement lié à ces fautes, du souhait de l’employeur de mettre notamment en place rapidement un système de vidéosurveillance avec pour finalité d’éviter la reproduction des manquements commis par le salarié en cuisine.
A la suite de son licenciement pour faute grave, le salarié a saisi la juridiction prud’homale afin que son licenciement soit prononcé sans cause réelle et sérieuse. La Cour d’Appel dans un arrêt du 17 janvier 2019 a fait droit à sa demande en jugeant que le mode de preuve constitué par les enregistrements provenant du dispositif de vidéo surveillance était inopposable au salarié.
Décision :
La Cour de cassation considère que la Cour d’Appel a retenu à bon droit que le salarié qui exerçait seul son activité en cuisine était soumis à la surveillance constante de la caméra qui était installée et que les enregistrements issus de ce dispositif de surveillance, attentatoires à la vie personnelle du salarié et disproportionnées au but allégué par l’employeur de sécurité des personnes et des biens, ne pouvaient lui être opposés.
Rejet du pourvoi et 3K€ au titre de l’article 700 NCPC.
Ce qu’il faut retenir :
La décision rendue par la Cour de cassation fait écho au positionnement de la CNIL en matière de vidéosurveillance et vidéoprotection au travail. En effet, la CNIL rappelle régulièrement que les travailleurs ont le droit au respect de leur vie privée, comme toutes les personnes protégées par la réglementation sur les données personnelles.
Si l’employeur n’a pas informé ses salariés de la vidéo-surveillance en place dans les règles de l’art, il ne pourra utiliser ces images comme preuves par exemple dans le cadre d’un licenciement. Dans tous les cas la surveillance permanente et constante du salarié est souvent considérée comme disproportionnée par rapport à la finalité recherchée. Il faut donc veiller à trouver un système équilibré de surveillance qui ne soit pas inutilement attentatoire à la vie privée des collaborateurs.
Pour en savoir plus : Cour de cassation, civile, Chambre sociale, 23 juin 2021, 19-13.856, Publié au bulletin – Légifrance (legifrance.gouv.fr)
#22/06/2021 – Norvège (DPA) – La BRAbank sanctionnée pour évaluation des risques insuffisante du lancement de son portail client >> 40K€
Les faits :
Le 6 septembre 2019, la DPA a reçu une notification de violation de données concernant le service « Ma page », mis en place par une banque, permettant aux clients de consulter les informations sur leurs contrats de prêt. Des clients ont eu accès à des informations concernant d’autres clients. Un lien était disponible pour vérifier ses informations de contact, et via ce lien les clients pouvaient consulter des informations autres que les leurs notamment concernant les coordonnées et les contrats de prêts.
Manquement à son obligation de sécurité :
La violation de données a eu lieu alors que le service « Ma page » était en lancement auprès d’une sélection de 500 clients de la banque. La DPA a considéré que celle-ci n’a pas suffisamment évalué les risques et n’a pas pris les mesures techniques adéquates, comme effectuer une phase de test, dans le cadre du lancement du service. Cette violation aurait donc pu être évitée.
Décision :
La DPA a décidé de sanctionner la BRAbank d’une amende. En effet, la DPA norvégienne a considéré comme un facteur aggravant le fait que la banque traite les données financières de ses clients, un type de données personnelles particulièrement privées, notamment pour ce qui concerne les crédits à la consommation et le refinancement.
Sanction :
L’amende infligée est d’un montant de 40K€
Ce qu’il faut retenir :
Lors de la mise en place d’un nouveau système, il est nécessaire de prendre toutes les mesures nécessaires afin de garantir la sécurité des données et notamment effectuer une phase de test avec des données fictives.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-brabank-asa-fined_en
#21/06/2021 – Suède (IMY) – SL sanctionné pour vidéosurveillance illégale dans les transports publics >> 16M SEK soit environ 1.5M€
Les faits :
SL est une société qui gère les transports publics de Stockholm, elle a équipé les contrôleurs de caméra corporelles qui enregistrent le son et l’image en continu, afin de prévenir les menaces qu’ils peuvent subir, de documenter les incidents qui se sont produits et de s’assurer que la bonne personne est condamnée pour avoir voyagé sans titre de transport valable. Les contrôleurs ont pour consigne de les garder sur eux en continu. Ces caméras sont donc susceptibles de filmer tous les voyageurs qui passent devant eux. A noter que plusieurs centaines de milliers de personnes voyagent quotidiennement sur ces lignes de sorte qu’un grand nombre de voyageurs sont potentiellement surveillés avec des enregistrements vidéo et audio.
Manquement à l’obligation d’appliquer des durées de conservation proportionnées :
Les enregistrements sont conservés automatiquement durant 1 minute, sauf si le contrôleur appuie sur le bouton « enregistrer » afin de conserver les données. L’IMY relève que ces enregistrements n’auraient dû être conservés que pour 15 secondes maximum.
Manquement au principe de minimisation des données :
L’IMY relève qu’une image fixe, sans vidéo et sans son aurait été suffisante pour confirmer l’identité d’une personne voyageant sans titre de transport.
Manquement à l’obligation d’information :
Aucune information n’était donnée sur la vidéosurveillance et notamment sur le fait que la vidéo était enregistrée mais le son également.
Les personnes voyageant dans les transports en publics ne peuvent pas raisonnablement s’attendre à ce que leurs conversations soient enregistrées.
Décision :
L’IMY sanctionne la société d’une amende pour les différents manquements.
Sanction :
L’amende infligée est de 16M SEK soit environ 1.5M€.
Ce qu’il faut retenir :
L’utilisation de la vidéosurveillance, qui est particulièrement intrusive, doit être limitée et seules les données strictement nécessaires à la finalité doivent être collectées, pour une durée minimale.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/unlawful-use-body-cams-stockholms-public-transport_en
#16/06/2021 – Italie (DPA) – L’ordonnance de limitation de traitement de l’application OI levée par l’autorité italienne
L’autorité de contrôle avait émis une limitation du traitement effectué par PagoPA, responsable de traitement, avec l’application OI permettant d’utiliser le pass vert en Italie, puisque le traitement impliquait des interactions avec Google et Mixpanel (sociétés américaines).
Décision :
Le responsable de traitement, PagoPA a pris des mesures techniques afin de protéger les données de ses utilisateurs et s’est engagé à :
# minimiser les données transmises à Mixpanel ;
# informer les utilisateurs ;
# recueillir le consentement préalable des utilisateurs pour le transfert des données hors Union Européenne ;
# limiter certaines fonctionnalités notamment afin de ne pas permettre la localisation des utilisateurs ;
# désactiver des services de Google qui ne sont pas utiles au traitement.
Les utilisateurs auront la possibilité de sélectionner les services qu’ils souhaitent activer sur l’application, ils sont au nombre de 12 000, ils étaient tous activés auparavant.
L’autorité italienne a décidé de lever la limitation du traitement qui restera tout de même limité concernant les données collectées et stockées par Mixpanel tant que l’autorité italienne n’aura pas finalisé ses vérifications.
L’autorité évaluera de nouveau la conformité de l’application à la lumière des dernières mesures prises par PagoPA.
Ce qu’il faut retenir :
L’autorité de contrôle a la possibilité de limiter totalement ou partiellement un traitement. Elle réévalue la conformité en temps voulu afin de lever la limitation ou de la maintenir.
Pour en savoir plus :
#15/06/2021 – Norvège (DPA) – La municipalité d’Oslo condamnée pour divulgation de données sensibles >> 40K€
Les faits :
Une assignation à comparaitre a été transmise par un avocat municipal, par erreur il n’a pas marqué le courrier de la mention « soustraite à l’accès du public ». Cette assignation a par la suite été publiée sur la plateforme Elnnsyn (service de publication pour le gouvernement central et local) par la municipalité d’Oslo en libre accès.
Ce document contenait notamment des données concernant la santé d’une personne et sa vie personnelle.
Manquement à l’obligation de sécurité :
Par inadvertance, l’avocat municipal a oublié la mention « soustraite à l’accès au public », le document a donc été publié.
Décision :
La DPA sanctionne la municipalité d’Oslo à une amende pour manquement à son obligation de sécurité.
Sanction :
Le montant de l’amende est de 40K€.
Ce qu’il faut retenir :
La sécurité des données n’est pas uniquement liée à des défaillances informatiques, il arrive souvent que des erreurs humaines mettent en péril la sécurité des données et soient à l’origine d’une faille, ce qui n’enlève en rien la responsabilité de l’entreprise. Alerter et sensibiliser les personnes pouvant traiter des données personnelles sur les risques et les obligations en matière de respect de la vie privée fait partie des obligations du RGPD et est fortement recommandé pour tenter de limiter les erreurs humaines.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-municipality-oslo-fined_en
#15/06/2021 – Norvège (DPA) – La confédération norvégienne des sports (NIF) condamnée à une amende pour manquement à son obligation de sécurité >> 125K€
Les faits :
Le Centre national norvégien de la cybersécurité a indiqué, en décembre 2019, à l’autorité de protection des données, que les données personnelles de 3.2 millions de norvégiens étaient librement disponibles sur une adresse IP publique durant 87 jours. Le NIF a notifié cette faille à la DPA. Parmi ces données, il y avait notamment le nom, le sexe, la date de naissance, l’adresse postale, le numéro de téléphone, l’adresse mail ainsi que l’affiliation à une association. Ces données concernaient environ 486 000 d’enfants âgés entre 3 et 17 ans sur les 3.2M de personnes. L’autorité a donc ouvert une procédure à l’encontre du NIF.
Manquement à l’obligation de sécurité/confidentialité :
Le NIF était en train de tester des solutions afin de déplacer une base de données vers un cloud. Malgré le fait que, visiblement, ces données n’aient pas été exploitées par des tiers, l’autorité a relevé que le NIF a manqué à son obligation de sécurité en mettant en place les tests, sans évaluer les risques au préalable et sans prévoir de mesures de sécurité particulières.
Manquement à l’obligation de licéité/minimisation du traitement :
Les tests effectués par le NIF ne reposaient sur aucune base légale, la finalité aurait pu être atteinte par d’autre moyens notamment a minima, en utilisant un volume beaucoup plus faible de données ou idéalement en utilisant des données fictives.
Décision :
La DPA a sanctionné le NIF d’une amende en prévoyant que celle-ci soit proportionnée à l’infraction (notamment compte-tenu du nombre de personnes concernées et en particulier du nombre important d’enfants) et dissuasive.
Sanction :
L’amende infligée est d’un montant de 125K€ après avoir été revue à la baisse (de moitié) compte-tenu de l’organisation et des finances du NIF.
Ce qu’il faut retenir :
Les tests sont faits pour observer si le système fonctionne correctement et peut engendrer des failles de sécurité. Ils doivent doivent donc être réalisés avec des données fictives afin que toute faille ne puisse donner lieu à une violation de données personnelles.
Pour en savoir plus :
#15/06/2021 – Norvège (DPA) – La municipalité d’Oslo condamnée pour divulgation de données sensibles >> 40K€
Les faits :
Elnnsyn est un service de publication pour le gouvernement central et local sur lequel transite des documents. Une personne a signalé à la DPA la mise à disposition libre d’informations la concernant sur cette plateforme. La DPA a donc lancé une enquête.
Manquement à l’obligation de sécurité :
Une assignation à comparaître a été transmise par un avocat municipal à la Commission permanente des finances du conseil municipal. Par erreur, l’avocat n’a pas marqué le courrier de la mention « soustraite à l’accès du public ». Cette assignation a ainsi été publiée sur la plateforme par la municipalité d’Oslo en libre accès pendant 5h avant d’être retirée et déplacée vers une section sécurisée du système de classement des dossiers et des archives. Parmi ces données il y avait des données concernant la santé d’une personne et sa vie personnelle.
Décision :
La DPA sanctionne la municipalité d’Oslo à une amende pour avoir mal classifié le document et porté atteinte à sa confidentialité.
Sanction :
Le montant de l’amende est de 40K€.
Ce qu’il faut retenir :
La sécurité des données n’est pas uniquement liée à des défaillances informatiques, il est possible que des erreurs humaines mettent en péril la sécurité des données. Pour cette raison, il est nécessaire d’alerter et de sensibiliser à la sécurité des données en sein des entreprises car de petites erreurs peuvent avoir de grandes conséquences financières. A noter que la condamnation est assez conséquence, malgré le fait que la faille n’ait duré que 5h et ne concernait qu’une seule personne.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-municipality-oslo-fined_en
# 14/06/2021 – CNIL – Sanction de la société BRICO PRIVE pour des e-mails de prospection, ses cookies et d’autres manquements >> 500K€
Les faits :
La société française Brico Privé est éditrice du site web bricoprive.com proposant des ventes privées dans les secteurs du bricolage, du jardin et de la maison, avec une activité également en Espagne, Italie et Portugal. Elle a fait l’objet d’un contrôle spontané, sur place puis sur pièces et en ligne, dès novembre 2018 par la CNIL principalement concernant les traitements de données personnelles des clients et prospects. la CNIL a informé l’ensemble des autorités de contrôle européennes de son ouverture de la procédure en tant qu’autorité chef de file qui n’ont par la suite pas émis d’objection au projet de décision de la CNIL. Pour autant, lors de son contrôle, la CNIL elle a détecté en bas active les données personnelles de plus de 16000 personnes n’ayant pas passé commande depuis plus de 5 ans puis a noté dans un document fourni par la société, quel conserver les données de plus de 130000 personnes qui ne s’était pas connecté à leur compte depuis plus de 5 ans.
Manquement à l’obligation de définir et respecter une durée de conservation proportionnée :
Dans le cadre du contrôle, Brico Privé a indiqué qu’aucune durée de conservation des données des clients et prospects ayant créé un compte sur son site, n’avait été mise en place pour ensuite fournir un document de politique de durées de conservation (suppression du compte ou 3 ans à compter de la dernière commande) qui aurait été définies préalablement au contrôle de la CNIL. La politique n’était donc pas respectée et des données étaient conservées pour une durée excessive.
Manquement à l’obligation d’information :
La CNIL a pu constater que l’information mise à disposition des utilisateurs du site n’était pas complète (certaines mentions obligatoires à savoir les coordonnées du délégué à la protection des données, les durées de conservation, les bases juridiques des traitements et certains droits dont les personnes bénéficient au titre du RGPD n’étaient pas portées à la connaissance des personnes concernées sur le site bricoprive.com) ni dans les CGV, ni dans les mentions légales et données personnelles, ni encore via la politique de conservation des données.
La société a cherché à se défendre en indiquant que si les coordonnées du DPO n’était pas directement accessibles en ligne, il était possible aux internautes le contacter via une rubrique désabonnement et désinscriptions, rubrique intitulée « service client contactez-nous » pour poser des questions « à propos d’une commande ou des informations sur les produits ». La CNIL a ici considéré que l’internaute ne pouvait raisonnablement s’attendre à être mis en relation avec le DPO par ce biais pour exercer ses droits et notamment son droit d’accès.
Quant à l’information sur les durées de conservation, la CNIL a relevé qu’elle n’était pas disponible sur le site au moment de son contrôle puis que le lien mis en place par Brico Privé n’était pas actif.
S’agissant des droits des personnes, la société ne portait pas à leur connaissance l’existence de leurs droits à la limitation du traitement, à la portabilité des données ainsi que celui d’introduire une réclamation auprès d’une autorité de contrôle.
Manquement concernant l’exercice du droit à l’effacement :
La CNIL a pu vérifier que lorsqu’une personne demandait l’effacement de son compte, la société ne supprimait pas les données personnelles mais désactivait uniquement le compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale (par exemple les nom, prénom et adresse électronique d’une personne ayant demandé l’effacement de ses données, par e-mail, étaient toujours dans la base active).
Manquement concernant l’obligation de sécurité :
La CNIL reproche ensuite à Brico Privé l’absence de robustesse de sa politique de mot de passe (création d’un compte sur le site : mot de passe composé uniquement de six caractères numériques, de type 123456 – accès au logiciel de gestion de la relation client par les salariés de la société : mot de passe composé de huit caractères, contenant au moins un chiffre et une lettre et conservation des mots de passe en clair, dans un fichier texte contenu dans un ordinateur de la société.) l’utilisation d’une méthode de hachage obsolète depuis 2004 et l’accès de quatre salariés à une copie de la base de production de la société BRICO PRIVÉ par un compte commun.
Manquement concernant les cookies :
Lors des contrôle en ligne, le dépôt de 32 cookies était automatique dès l’arrivée sur la page d’accueil du site, et avant tout action de l’utilisateur et donc avant tout consentement, notamment s’agissant de cookies publicitaires / ne bénéficiant pas d’exemption au consentement.
Manquement à l’obligation de recueillir le consentement pour une opération de prospection directe au moyen d’un courrier électronique :
Brico Privé envoyait des messages de prospection directe par courriers électroniques à des personnes ayant créé un compte sans avoir procédé à un achat, et ce sans avoir obtenu le consentement préalable, libre, spécifique de ces prospects.
Pour remédier à cette situation, Brico Privé a proposé d’adresser à ces prospects 5 e-mails sur une période de 100 jours pour leur demander leur consentement à la prospection. Ceci constitue un nouveau traitement qui reposerait sur un éventuel intérêt légitime de la société vis-à-vis de personnes ayant, en créant un compte, manifesté un certain intérêt pour ses services et pouvant donc raisonnablement s’attendre à être contactées. Ceci étant, la CNIL a jugé que ce nombre d’e-mail sur une période assez courte était excessif.
Décision :
Malgré les d’importantes modifications apportées par Brico Privé pour se mettre en conformité, durant la procédure de sanction, la CNIL a décidé d’une sanction financière pour ces différents manquements, d’une injonction (sous astreinte) de se mettre en conformité et de la publication de sa décision, compte-tenu des négligences graves s’agissant de principes fondamentaux du RGPD avec 6 manquements constitués.
Sanction :
La CNIL prononce une amende de 500K€.
Ce qu’il faut retenir :
Il ne suffit pas de mettre en place dans l’entreprise une politique de durées de conservation adéquate, encore faut-il l’appliquer !
Par ailleurs, la CNIL rappelle ici que la clarté et la facilité d’accès est réellement de mise dans la façon de communiquer des informations aux personnes concernées et que la bonne foi dans la non-conformité (simple oubli) n’est pas prise en compte.
De même, si après une demande d’effacement, certaines données personnelles de clients peuvent être conservées en archivage intermédiaire, notamment au titre d’obligations légales, à des fins de preuve ou en raison d’un motif légitime impérieux, celles qui ne sont pas nécessaires pour ces finalités doivent être supprimées.
L’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données et une gestion correcte des habilitations.
Enfin, s’il est possible dans certaines conditions d’adresser de la prospection commerciale à ses clients, des personnes ayant simplement créé un compte sans jamais passer commande ne peuvent être considérées comme faisant partie de la clientèle bénéficiant de l’exception.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043668709
11/06/2021 – Suède (IMY) – Affaire 1177 : 5 organisations sanctionnées dans le domaine médical >> un total d’environ 1.365M€
# Les faits :
1177 est un service de consultation médicale suédois offert et détenu par 21 régions suédoises. Ce service disponible en ligne et par téléphone collecte des informations sur la santé et les soins médicaux. Chaque région exerce sa propre activité de consultation médicale soit elle-même, soit par l’intermédiaire de sous-traitants, mais elles font toutes partie d’un réseau national.
En 2019, il est apparu dans les médias suédois que les appels téléphoniques enregistrés au 1177 étaient disponibles sur un serveur web sans être sécurisés par un mot de passe ou autre. A la suite de la parution dans les médias, l’IMY a reçu des notifications de violation de données personnelles de la part des différentes organisations. L’IMY a donc ouvert une enquête sur une des organisations impliquées dans le service puis a étendu la procédure à 5 autres organisations : 3 entreprises et 3 régions suédoises.
Le 11 juin 2021, l’IMY a finalisé son enquête. Lorsqu’un appel est passé il est envoyé vers la société Inera qui administre et développe le système dans son ensemble. Les appels concernant certaines régions étaient reliées via Inera à la société Medhelp qui a répondu aux appels. Medhelp avait elle-même engagé une société thaïlandaise, Medicall pour gérer les appels de nuit et du week-end. Ces 2 dernières avaient conclu un contrat avec une société de technologie, Voice Integrate, pour assurer le standard et l’enregistrement des appels téléphoniques.
# Manquement à l’obligation de sécurité :
Les enregistrements, qui étaient transmis à l’entreprise thaïlandaise, étaient disponibles sur le web à partir d’un serveur de stockage de Voice Integrate qui avait été mal configuré et était donc en libre accès sur internet. De plus, les communications n’étaient pas cryptées donc très accessibles. Pour accéder aux fichiers, il fallait seulement connaître l’adresse IP de l’unité de stockage, aucun mot de passe n’était requis.
Medhelp en tant que prestataire de soins médicaux est ici considéré comme responsable de traitement, il aurait dû prendre les mesures techniques et organisationnelles afin d’assurer la sécurité des enregistrements vocaux. En tant que sous-traitant, Voice Inegrate aurait dû prendre les mesures nécessaires pour protéger les données traitées pour le compte de Medhelp.
# Manquement à l’obligation d’information :
Aucune information n’a été donnée aux patients notamment sur l’identité du responsable de traitement et la manière dont leurs données étaient traitées.
3 autres régions ne donnaient pas les informations nécessaires également.
# Manquement à l’obligation de licéité du traitement :
Les données ont été transférées vers un pays tiers qui n’est pas soumis à la loi suédoise et notamment au secret médical. Le traitement était donc illégal.
# Décision :
L’IMY a sanctionné les organisations d’une amende pour manquement à l’obligation de sécurité et manquement à l’obligation d’information.
# Sanction :
Des amendes distinctes ont été prononcées à l’encontre des différentes organisations :
– 12MSEK soit environ 1.193.813€ pour Medhelp pour manquement à l’obligation de sécurité, à l’obligation d’information et transfert illégal de données vers un pays tiers ;
– 650.000SEK soit environ 64.665€ pour Voice Integrate pour manquement à l’obligation de sécurité ;
– 500.000SEK, soit environ 49.740€ : la région de Stockholm pour manquement à l’obligation d’information ;
– 2 autres régions 250.000SEK soit environ 24871K€ chacune pour manquement à l’obligation d’information.
# Ce qu’il faut retenir :
Un responsable de traitement doit s’assurer que son sous-traitant prend des mesures techniques et organisationnelles adéquates afin de sécuriser les données traitées pour son compte. Il peut être sanctionné pour le défaut de sécurité de son sous-traitant. En revanche, le sous-traitant a ses propres obligations et peut être lui-même lourdement et directement sanctionné.
# Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/swedish-dpa-investigation-1177-incident-finalized_en
#10/06/2021 – Italie (GDPD) – La plateforme Foodinho appartenant au Groupe Glovo condamnée pour traitements discriminatoires de données réalisés au travers d’algorithmes >> 2.6M€
Les faits :
A la suite de ses enquêtes, l’autorité italienne a constaté que la plateforme numérique Foodinho (livraison de nourriture en Italie), détenue par la société holding GlovoApp23 (espagnole), utilisait un algorithme permettant de réserver et attribuer les commandes aux livreurs concernés. Cet algorithme fonctionnait de manière totalement automatisée, sans intervention humaine.
Manquement à l’obligation d’information et de licéité du traitement :
Les livreurs n’étaient pas correctement informés du fonctionnement des algorithmes de la plateforme et Foodinho n’avait pas mis en place de système afin de garantir l’exactitude et l’équité des résultats utilisés pour évaluer leurs performances, ce qui aboutissait à des discriminations et pertes d’opportunités pour les livreurs (restriction du nombre de courses attribuées, refus définitif d’accès à la plateforme). Les livreurs n’avaient par ailleurs aucun moyen de demander une intervention humaine dans la prise de décision ou de contester les décisions prises par ces algorithmes.
Décision :
L’Autorité italienne a sanctionné Foodinho d’une amende avec injonction de mise en conformité sous 3 mois maximum.
Sanction :
L’autorité a infligé une amende de 2.6M€. justifié par la gravité des manquements, la faible coopération de la plateforme et le nombre important de livreurs concernés par cette affaire (19 000).
Ce qu’il faut retenir :
Lorsqu’un traitement automatisé est mis en place, le responsable de traitement doit s’assurer qu’aucune décision discriminatoire ne sera prise et garantir une intervention humaine si nécessaire.
Pour en savoir plus :
#10/06/2021 – Italie (DPA) – Mise en place du pass vert, l’application IO temporairement limitée par l’autorité italienne
Les faits :
L’autorité italienne a émis un avis favorable quant à l’utilisation de la Plateforme National DGC pour la délivrance du pass vert (équivalent du pas sanitaire français) par le Gouvernement Italien. Le pass vert permet de voyager entre les régions et de participer à des évènements regroupant des personnes comme les évènements sportifs.
L’autorité italienne a rappelé au Gouvernement qu’il fallait promouvoir une loi afin d’inscrire les lieux où le pass pourrait être demandé car plusieurs régions ont rendu obligatoire le pass vert pour des endroits différents, la législation n’était donc pas uniforme dans tout le pays.
Le Gouvernement a repris les recommandations de l’autorité italienne pour la mise en œuvre du pass vert mais il reste des points nécessitant des modifications :
# les finalités pour lesquelles le pass vert est exigé doivent être clairement définies par la législation ;
# la législation devra prévoir que la délivrance du pass vert se fera uniquement via la Plateforme DGC et que la vérification s’effectuera uniquement via l’application « VerificaC19 » ;
# seul le personnel dédié et formé devra contrôler les pass verts ;
# l’utilisation du pass vert par les personnes concernées devra s’effectuer sur le site internet de la plateforme nationale, le dossier personnel de e-santé, l’application « Immuni » ou l’application « IO ».
Concernant l’application IO, l’autorité de protection des données n’a pas encore autorisé son utilisation en raison de lacunes. Cette application entraine des interactions avec Google et Mixpanel ce qui implique des transferts de données vers les Etats-Unis, l’Inde et l’Australie. Il s’agit de données sensibles et d’informations sur des outils de paiements, les personnes concernées n’avaient pas été informées donc le consentement préalable n’avait pas été recueilli.
Décision :
Le Gouvernement devra apporter les correctifs cités ci-dessus afin de pouvoir mettre en place le pass vert. De plus, l’autorité limite temporairement le traitement effectué via l’application IO.
Ce qu’il faut retenir :
Bien que la situation sanitaire nécessite le déploiement d’applications, notamment par les différents Gouvernement européens, afin de délivrer et vérifier les pass sanitaires, les autorités de contrôle sont vigilantes et n’hésitent pas à faire stopper des traitements de données qui ne respecteraient pas les obligations imposées par le RGPD.
Pour en savoir plus :
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9668146
10/06/2021 – Suède (IMY) – Le service de secours (pompiers) d’Östra Skaraborg sanctionné pour vidéosurveillance illégale >> 350 000 SEK (environ) 3.5K€
# Les faits :
Plusieurs casernes de pompiers d’Östra Skaraborg sont placées sous vidéosurveillance 24h/24 et 7j/7, des caméras filment les vestiaires où les pompiers se changent en cas d’urgence. Alertée, l’autorité suédoise a mené son enquête.
# Manquement à l’obligation de minimisation des données :
Les caméras des casernes de pompiers en question filmaient en temps réel 24h/24 24 et 7j/7, alors que le service de secours d’Östra Skaraborg déclarait que la surveillance n’est nécessaire qu’en cas d’alarme. L’Autorité a également relevé que les employés filmés étaient en situation de dépendance vis-à-vis de leur employeur. Elle confirme que la vidéosurveillance doit être limitée : elle ne doit être activée qu’en cas d’alarme et ne doit pas filmer la partie où les pompiers se changent.
# Décision :
L’autorité sanctionne d’une amende le service de secours d’Östra Skaraborg, qui, depuis lors, a mis fin à la surveillance par caméra litigieuse.
# Sanction :
L’amende infligée est d’environ 3.5K€.
# Ce qu’il faut retenir :
La vidéosurveillance est très intrusive, elle doit être limitée qu’à ce qui est strictement nécessaire, si un autre moyen moins intrusif est possible pour atteindre la finalité du traitement alors il doit être privilégié.
# Pour en savoir plus :
10/06/2021 – Pays-Bas (DPA) – Un cabinet d’orthodontie sanctionné pour son site web non sécurisé >> 12K€
# Les faits :
Une plainte a été déposée auprès de la DPA concernant la sécurité d’un site web d’un cabinet d’orthodontie. Le dossier concernant le secteur de la santé où la sécurité des données doit être accrue, l’autorité a décidé d’ouvrir une procédure d’enquête
# Manquement à l’obligation de sécurité des données :
La DPA ainsi pu constater que le cabinet orthodontie en question avait autorisé ses nouveaux patients à s’inscrire sur son site web alors qu’il n’était pas sécurisé. En effet, les données entrées sur ce site web, telles que le numéro d’identification des citoyens(BSN), toute sorte de données personnelles et des données relatives aux parents du patient, à son médecin généraliste, son dentiste, sa compagnie d’assurance etc., étaient collectées via des formulaires obligatoires. Il s’agissait principalement de données concernant des enfants, principaux patients en orthodontie. Les données étaient ensuite transmises au cabinet via une connexion non cryptée se sorte qu’elles n’étaient pas sécurisées. Le cabinet a donc manqué à son obligation de sécurité imposée par le RGPD.
# Décision :
La DPA a décidé d’infliger une amende. Toutefois, cette décision n’est pas définitive et irrévocable car le cabinet s’est opposé à l’amende et peut introduire une demande de révision judiciaire.
# Sanction :
La sanction infligée est de 12K€.
# Ce qu’il faut retenir :
Les données doivent être sécurisées et encore plus particulièrement lorsqu’il s’agit de données de santé qui sont des données sensibles et de données d’enfants qui sont considérés comme des personnes vulnérables au sens du RGPD et qui nécessitent une protection accrue.
# Pour en savoir plus :
09/06/2021 – Autriche (DAP) – Un responsable de traitement sanctionné pour manquement à son obligation de coopération >> 500€
# Les faits :
Au cours d’une procédure de plainte, l’autorité autrichienne a demandé au responsable de traitement de lui communiquer des informations à plusieurs reprises.
Le responsable de traitement a ignoré toutes les demandes d’information et a refusé de se présenter à sa convocation devant l’autorité pour un examen.
# Manquement à l’obligation de coopération :
En refusant de communiquer les informations demandées et de se présenter devant l’autorité, le responsable de traitement a manqué à son obligation de coopération.
# Décision :
La DPA a sanctionné le responsable de traitement d’une amende. A la suite de cette amende, le responsable de traitement a décidé de fournir les informations demandées.
# Sanction :
L’amende infligée est de 500€. A noter que celle-ci est assez faible, peut-être parce qu’a été invoqué ici le droit procédural autrichien et non l’article 31 du RGPD.
# Ce qu’il faut retenir :
Coopérer avec l’autorité de contrôle est une obligation, son non-respect peut entrainer une amende sur ce seul fondement et peut être retenue comme une circonstance aggravante concernant d’autres éventuelles non conformités.
# Pour en savoir plus :
#04/06/2021 – Italie (DPA) – La DPA limite le traitement sur l’application Mitiga >> Limitation du traitement
Les faits :
Mitiga est une application qui a été utilisée le 19 mai 2021 permettant de vérifier le passe sanitaire italien afin de permettre aux spectateurs certifiés vaccinés, guéris ou testés négatifs au COVID-19 d’accéder au stade de football pour assister à la finale de la coupe d’Italie. Cette application allait être utilisée pour contrôler d’autres évènements.
# Absence de base légale
L’autorité rappelle qu’aucune base légale n’existe actuellement pour ce traitement via l’application, en partie compte tenu du fait qu’il s’agit d’informations hautement sensibles telles que des données de santé. L’application Mitiga avait été soumise à la DPA italienne pour consultation en avril 2021 mais n’avait pas obtenu de décision, le traitement n’aurait donc pas dû être mis en œuvre.
#Décision :
La DPA décide de limiter temporairement ce traitement en attendant la fin de ses enquêtes.
#Ce qu’il faut retenir :
Dans le cadre de la situation sanitaire actuelle, des applications sont développées notamment afin de vérifier le « statut Covid » des personnes. Ce type de traitement est effectué sur des données sensibles puisqu’il s’agit de données de santé, les autorités seront très vigilantes et contrôleront fortement ce type d’application.
Pour en savoir plus :
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9592623
# 04/06/2021 – La Commission Européenne adopte de nouvelles clauses contractuelles type
Le vendredi 4 juin, la Commission Européenne a adopté de nouvelles clauses contractuelles type afin d’encadrer :
# La relation entre Responsable de traitement et Sous-traitant
# Le transfert de données personnelles vers des pays tiers
Ces clauses tiennent compte de l’arrêt Schrems II de la Cour de justice européenne. Pour rappel, cet arrêt portait sur le transfert de données personnelles vers les Etats-Unis : la CJUE avait invalidé la décision d’adéquation du Privacy Shield rendant les transferts de données vers les USA inadéquats vis-à-vis du RGPD.
La Commission européenne a donc adapté ses clauses contractuelles types dans le but de garantir le respect du RGPD dans les relations Responsable de traitement et Sous-traitant et de permettre et sécuriser le transfert des données personnelles vers un pays tiers dont la réglementation est jugée inadéquate.
En effet, en raison de l’expansion du monde numérique actuelle, il est nécessaire de permettre aux entreprises la circulation des données personnelles tout en assurant la sécurité juridique de ces données. Ces clauses tiennent compte de la réalité à laquelle les entreprises sont confrontées en matière de données personnelles notamment depuis l’invalidation du Privacy Shield. Selon la Commission européenne, ces clauses garantissent la conformité juridique des entreprises concernant les transferts vers les pays tiers et dans leur relation de sous-traitance. Ces clauses sont modulables ce qui devrait permettre aux entreprises de les adapter au mieux à leur propre situation.
Ce qu’il faut retenir : Ces nouvelles clauses devraient apporter une solution à la situation d’incertitude créée pour les entreprises en particulier dans les transferts de données vers les USA depuis l’invalidation du Privacy Shield. Une période de transition de 18 mois est laissée aux entreprises afin d’implémenter les nouvelles clauses contractuelles types en lieu et place des anciennes. Il convient donc de mettre à jour les contrats existants qui intégraient les anciennes clauses contractuelles (dès lors qu’il est prévu que ces relations perdurent après 18 mois).
Pour en savoir plus :
#02/06/2021 – Slovénie (DPA) – Une paroisse refuse l’effacement des données du registre des baptêmes
Une personne a demandé l’effacement de ses données du registre des baptêmes à une paroisse de l’Eglise catholique.
La paroisse indique que la base juridique du traitement de ces données du registre est la loi sur la protection des documents et des archives et des institutions d’archives, selon celle loi le registre serait une archive d’une importance nationale exceptionnelle, par conséquent elle ne peut pas effacer les données.
L’autorité a donc évalué si ce traitement était nécessaire à des fins d’archivage dans l’intérêt public et a relevé qu’il s’agit d’un document d’archive nécessaire à des fins d’archivage dans l’intérêt public. Par conséquent, il n’est pas possible de demander l’effacement des données car cela entraverait la réalisation de cet objectif.
#31/05/2021 – UE – noyb adresse des projets de plainte à plus de 500 entreprises concernant leurs bannières cookies jugées illégales
Noyb a mis au point un logiciel permettant de détecter les bannières cookies non conformes au RGPD et de générer des plaintes automatiques qu’elle a transmis à 516 entreprises, en leur donnant un délai d’un mois pour apporter les modifications nécessaires. A défaut, noyb engagera les procédures de plainte auprès des autorités compétentes.
Pour en savoir plus : https://noyb.eu/fr/noyb-veut-mettre-fin-la-terreur-des-bannieres-de-cookies-et-emet-plus-de-500-plaintes-rgpd
# 28/05/2021 – France (CNIL) – A la suite de l’émission « Cash Investigation », signalement à la CNIL concernant la société IQVIA chargée de créer un lac de données collectées par des pharmacies >> Privacy Shield
A la suite de l’émission « Cash Investigation : Nos données personnelles valent de l’or », diffusée le 20 mai sur France 2, plusieurs entités ont adressé un signalement à la CNIL concernant la société IQVIA. Celle-ci est chargée (à la suite d’une délibération de la CNIL l’y autorisant en 2018) de créer un lac, baptisé LXR, de données collectées visiblement par près de la moitié des pharmacies françaises. Ce lac de données, pseudonymisées mais non anonymisées, contiendrait le numéro de sécurité sociale, l’année de naissance, le prénom, le sexe des clients et les produits qui leurs sont délivrés.
Les inquiétudes proviennent en particulier du fait que la société IQVIA est américaine et est donc soumise au droit US qui n’est pas considéré comme adéquat pour la protection de la vie privée à la suite de l’invalidation du Privacy Shield par la CJUE en 2020.
Pour en savoir plus : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000037462044
https://www.france.tv/france-2/cash-investigation/
# 18/05/2021 – France (CNIL) – La CNIL met en demeure une vingtaine d’acteurs publics et privés de se mettre en conformité vis-à-vis de ses lignes directrices cookies
Le 1er octobre 2020, la CNIL a adopté de nouvelles lignes directrices s’agissant des cookies et autres traceurs en laissant un délai de 6 mois, soit jusqu’au 31 mars 2021, pour les mettre en application.
Elle a également dévoilé ses thématiques prioritaires de contrôles pour cette année 2021 et ses efforts porteront notamment sur le respect des règles applicables aux cookies et autres traceurs.
Elle a donc débuté ses contrôles en ligne en avril 2021 et d’ores et déjà mis en demeure une vingtaine d’organismes, jugeant leurs pratiques contraires à la législation.
La CNIL leur a laissé un délai d’un mois pour se mettre en conformité et éviter des sanctions financières pouvant aller jusque 2% de leur CA.
Ce qu’il faut retenir : Si ces mises en demeure portent sur le fait que les organismes concernés ne permettent toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter, la CNIL a déjà plusieurs fois sanctionné sur le fait que des cookies soient déposés sans consentement préalable ou sur l’absence de clarté et de transparence dans les informations communiquées aux utilisateurs sur la gestion de leurs données via ces cookies. Il est donc essentiel pour les entreprises de revoir leur politique cookies et le cas échéant d’adopter un outil permettant techniquement une gestion conforme. Notre équipe dédiée peut bien sûr vous accompagner sur ce sujet.
Pour en savoir plus : https://www.cnil.fr/fr/cookies-une-vingtaine-organismes-mis-en-demeure
#13/05/2021 – Norvège (DPA) – La DPA Norvégienne sanctionne Miljø- og Kvalitetsledelse pour diffusion illégale d’images de vidéosurveillance >> 3.5K€
Les faits :
Miljø- og Kvalitetsledelse exploite un lavage-auto dont le terminal de paiement a été vandalisé. La Société a envoyé les images de la vidéosurveillance à la police ainsi qu’à l’employeur de la personne soupçonnée.
Manquement à l’obligation de licéité du traitement :
La DPA norvégienne a constaté que la divulgation de ces images à l’employeur de la personne soupçonnée ne reposait sur aucune base légale, elle a jugé cette partie du traitement inutile pour prévenir de nouveaux actes de vandalisme ou résoudre l’affaire… et donc illégal. De plus, la divulgation de telles images à l’employeur du suspect, concernant une infraction pénale présumée, pouvait clairement avoir un impact sur la relation de travail employé/employeur.
Décision :
La DPA norvégienne sanctionne Miljø- og Kvalitetsledelse d’une amende pour manquement à son obligation de licéité du traitement.
Sanction :
La DPA inflige une amende de 3.5K€ pour des faits antérieurs à l’entrée en vigueur du RGPD et donc selon le niveau d’amende pratiqué antérieurement.
Ce qu’il faut retenir :
Si une collecte de données personnelles peut être licite, la diffusion de ces mêmes données, en dehors de la finalité première, est condamnée. Ici on peut penser que la cette diffusion à l’employeur répondait davantage à une petite vengeance plutôt qu’à un objectif de sécurité des lieux et infrastructures du lavage auto !
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-miljo-og-kvalitetsledelse-fined_en
# 13/05/2021 – Norvège (DPA) – La DPA norvégienne sanctionne Dragefossen AS pour diffusion d’images illégale >> 15K€
Les faits : Dragefossen AS est une compagnie d’électricité. Elle a installé une caméra panoramique au sommet de son immeuble filmant des lieux publics tels que des parkings, des entrées de supermarchés, la mairie etc. Elle a diffusé les images en direct durant 12 heures sur YouTube et son site web jusqu’à ce que la DPA la contacte.
Manquement au principe de licéité du traitement / absence de base légale :
Bien que les images ne permettaient pas de voir le visage des personnes filmées, elles permettaient tout de même de reconnaître une personne en fonction du type de véhicule qu’elle conduisait, des vêtements qu’elle portait, la couleur de ses cheveux et tout autre éléments distinctifs. Il était donc possible d’identifier les personnes. Les personnes ne pouvaient pas s’attendre à être filmées dans ce cadre et encore moins à ce que les images soient diffusées sur internet.
Décision :
La DPA a décidé d’infliger une amende à Dragefossen AS en raison du nombre de personnes concernées et du contexte.
Sanction :
La DPA sanctionne Dragefossen AS à une amende de 15K€.
Ce qu’il faut retenir :
Une donnée personnelle au sens du RGPD correspond à toute information permettant d’identifier directement ou indirectement une personne. Les informations que l’on pourrait dire ‘standard’ telles que le nom, le prénom ou le visage ne sont pas nécessaires pour considérer qu’une personne est identifiable.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-dragefossen-fined_en
# 13/05/2021 – Norvège (DPA) – La DPA norvégienne sanctionne un restaurant pour vidéosurveillance illégale des locaux >> 20K€
Les faits :
La DPA a reçu une plainte concernant la vidéosurveillance 24h/24h des locaux d’un restaurant (Basaren Drift AS). Les employés étaient filmés ainsi que les clients alors qu’ils étaient en train de manger. Elle a ouvert une procédure et a constaté plusieurs manquements.
Manquement à l’obligation d’information :
Aucune information relative à la vidéosurveillance n’était donnée, ni aux clients ni aux employés du restaurant.
Manquement au principe de licéité du traitement :
Barasen Drift filmait les locaux du restaurant de manière trop large (aucune raison de filmer les clients qui sont en droit d’attendre le respect de leur intimité pendant leurs repas) et trop longtemps (24h/24) alors que ce n’était pas nécessaire. Ce traitement ne reposait sur aucune base légale.
Décision :
La DPA sanctionne Barasen Drift d’une amende pour manquement à son obligation d’information et manquement à son obligation de licéité du traitement.
Sanction :
La DPA prononce une amende de 20K€ en fonction de la gravité de l’infraction et de la situation financière du restaurant.
Ce qu’il faut retenir :
Dans les lieux destinés aux loisirs, la vidéosurveillance doit être particulièrement contrôlée, elle doit être mise en place dans des conditions strictes notamment lorsque les personnes ne s’attendent légitimement pas à être filmées.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-basaren-drift-fined_en
# 06/05/2021 – France (DGCCRF) – Sanction de MAAF Assurances SA concernant le défaut d’information du consommateur de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique >> 69500€
La DGCCRF a émis une sanction avec amende administrative de 69 500 euros à l’encontre de MAAF Assurances SA concernant du démarchage illicite mais également le défaut d’information du consommateur de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique, en vertu de l’article L223-2 du code la consommation qui stipule : « Lorsqu’un professionnel est amené à recueillir auprès d’un consommateur des données téléphoniques, il l’informe de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique. Lorsque ce recueil d’information se fait à l’occasion de la conclusion d’un contrat, le contrat mentionne, de manière claire et compréhensible, l’existence de ce droit pour le consommateur. »
Visiblement, le seul fait d’informer la personne dont les données sont traitées de son droit d’opposition en vertu du RGPD ne semble pas suffisant pour la DGCCRF qui impose, même en l’absence d’opération effective de démarchage téléphonique, de communiquer l’information selon laquelle le consommateur peut exercer son droit à d’inscrire sur la liste d’opposition au démarchage téléphonique sur le site Bloctel.
#30/04/2021 – France (CNIL) – La CNIL clôture l’injonction prononcée à l’encontre de Google le 7 décembre 2020
Les faits :
Le 7 décembre 2020, la CNIL a laissé un délai de 3 mois à Google LLC et Google Ireland Limited pour se conformer au RGPD quant à l’information claire et précise des personnes concernées préalablement au traitement opéré sur le moteur de recherche : en pratique, il était reproché à Google :
# D’avoir un bandeau d’information cookies et une fenêtre ne permettant pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur l’existence de dépôts de cookies sur leurs terminaux ni de la finalité de ceux-ci et des moyens mis à leur disposition quant à la possibilité de les refuser.
# De déposer des cookies sans recueil préalable du consentement des personnes.
# D’avoir un mécanisme d’opposition aux cookies partiellement défaillant.
Décision :
La CNIL considère que Google s’est conformé à l’injonction de la formation restreinte en date du 7 décembre 2020, elle clôture donc cette injonction.
Ce qu’il faut retenir :
Cette clôture concerne l’injonction du 7 décembre 2020. Un délai d’adaptation avait été laissé aux responsables de traitement jusqu’au 31 mars 2021 afin de se conformer aux nouvelles lignes directrices de la CNIL concernant les cookies et autres traceurs. Cette clôture n’atteste donc pas de la conformité de Google aux nouvelles lignes directrices mais à l’ancien droit applicable en matière de cookies. La CNIL pourra donc tout à fait sanctionner Google à la lumière de ses nouvelles lignes directrices, s’agissant du système (très discutable) actuellement en place.
Pour en savoir plus :
Voir notre news du 07/12/2020
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043470685?isSuggest=true
#28/04/2021 – Portugal (CNPD) – Le Portugal suspend les transferts de données vers les Etats-Unis
Les faits :
Dans le cadre du recensement 2021 de la population portugaise, un questionnaire était à compléter sur internet. Cependant, à la suite de plaintes, le CNPD a mené une enquête qui a révélé que l’entité chargée de collecter les réponses au questionnaire, l’INE, a sous-traité son exploitation à Cloudflare qui est une société située aux Etats-Unis. Plus de 6.5 millions de personnes ont déjà rempli le questionnaire.
Selon la législation américaine, les sociétés américaines ont l’obligation de donner un accès illimité aux autorités américaines aux données personnelles qu’elles détiennent. Cependant, la CJUE en invalidant le Privacy Shield a jugé que cette législation n’était pas adéquate avec le droit de l’Union Européenne en ce qu’elle n’offre pas de garanties équivalentes.
Décision :
L’autorité portugaise a ordonné la suspension immédiate du transfert des données vers les Etats-Unis et vers tout autre pays tiers qui n’aurait pas une législation adéquate à celle de l’Union Européenne en matière de protection des données.
Ce qu’il faut retenir :
Cette décision découle de l’invalidation par la CJUE du Privacy Shield. La protection des données personnelles ne peut pas être assurée même avec des clauses contractuelles types car la loi américaine pourra toujours s’appliquer aux entreprises américaines. Dans ce cadre, les transferts de données vers les Etats-Unis doivent être suspendus à moins de prévoir un encadrement contractuel adapté (clauses contractuelles types), associé à des mesures complémentaires. Ceci étant, à ce jour aucune précision n’a été donnée sur le contenu de ces mesures. Cela pose évidemment des difficultés puisqu’aujourd’hui beaucoup de transferts se font vers les Etats-Unis notamment du fait que des sous-traitants sont des sociétés américaines. Pour le moment les sociétés européennes doivent donc minimiser au maximum les transferts vers les Etats-Unis et privilégier les sous-traitants européens ou ayant une législation adéquate avec celle de l’UE.
Pour en savoir plus :
#26/04/2021 – Espagne – (AEPD) – La société Equifax Ibérica SL sanctionnée pour utilisation de données personnelles extraites de sources publiques >> 1M€
Les faits :
96 personnes ont porté plainte en raison de l’utilisation de leurs données par la société Equifax. En effet, Equifax a collecté des données extraites de sources publiques (essentiellement des journaux officiels et des gazettes) et les a incorporées dans un dossier de réclamations judiciaires et organismes publics (FIJ) avec leur nom, prénoms et numéro d’identification (NIF), pour l’évaluation de la solvabilité des personnes physiques en vue de la fourniture de services de crédit. Ces données figuraient à l’origine dans des documents des administrations publiques et portaient sur les dettes et les amendes présumées de citoyens. Equifax n’a pas vérifié que les dettes et amendes étaient réelles et n’a pas obtenu le consentement des personnes pour l’utilisation de leurs données. Environ 4 millions de personnes pourraient subir un préjudice du fait que leurs données étaient accessibles dans les registres gouvernementaux.
Manquement à la licéité du traitement :
Le traitement fait par la société Equifax, en créant un fichier avec ces données dans le but d’évaluer la solvabilité des personnes physiques en vue de la fourniture de services de crédit, avait une finalité incompatible avec le traitement fait par les autorités administratives. Le traitement n’était donc pas licite puisqu’il ne reposait pas sur un objectif d’intérêt public mais sur un objectif commercial. Le traitement viole le principe de limitation de la finalité du traitement.
Manquement à l’obligation de l’exactitude des données :
La société ne dispose pas d’un mécanisme de mise à jour des informations et ne peut pas garantir l’exactitude de ces informations. La société viole donc le principe de minimisation des données.
Manquement à l’obligation de recueillir le consentement :
La société aurait dû recueillir le consentement des personnes afin de traiter les données issues de sources publiques dans le cadre de sa finalité spécifique.
Manquement à l’obligation de respecter le droit des personnes concernées :
Malgré la demande de personnes concernées d’accéder à leurs données ou de supprimer leurs données, la société n’a pas répondu à leurs demandes.
Décision :
L’AEPD sanctionne la société d’une amende. Elle ordonne également à la société de prendre des mesures correctives à savoir :
# Cesser le traitement en cause car il est illicite et donc incompatible avec le RGPD
# Supprimer les données personnelles faisant l’objet de ce traitement.
Sanction :
L’AEPD sanctionne la société Equifax à une amende de 1M€. Des circonstances aggravantes ont été prises en compte pour déterminer le montant de l’amende à savoir :
# Le modus operandi mis en place ; il ne s’agit pas d’un comportement délictueux isolé mais d’une véritable organisation, avec pour seul objectif un avantage économique pour la société,
# L’imprévisibilité du préjudice subi par les personnes concernées.
# L’intentionnalité de la société d’opérer un traitement illicite malgré qu’elle ait conscience de la violation du RGPD.
# Le nombre de personnes concernées, plus de 4 millions.
# Le dommage que peut causer ce traitement notamment du fait pour une personne de se retrouver dans un dossier de solvabilité financière.
Ce qu’il faut retenir :
Les données rendues publiques sont également protégées par le RGPD. Ce n’est pas parce que des données personnelles sont accessibles qu’elles peuvent être utilisées sans encadrement et dans le cas d’espèce, il a été considéré que la finalité de la disponibilité de ces données a été détournée et est donc illégale.
En savoir plus :
https://www.aepd.es/es/documento/ps-00240-2019.pdf
#09/04/2021 – Pays-Bas (DPA) – Booking.com sanctionné pour retard de notification de violation de données >> 475K€
Les faits :
En décembre 2018, 40 hôtels des Emirats Arabes Unis ont subi des escroqueries téléphoniques : des hackers se faisaient passer pour le personnel de Booking.com auprès des hôtels et ont ainsi obtenu les données personnelles d’environ 4 000 clients de Booking.com et les coordonnées bancaires de 300 personnes (dont 97 codes de sécurité). Parmi les données personnelles, il y avait notamment le nom, l’adresse, le numéro de téléphone et les détails concernant les réservations.
Manquement à l’obligation de notifier la violation dans le délai légal de 72h :
Booking.com a été informé de la violation de données le 13 janvier 2019, cependant, la DPA n’a été notifié que le 7 février 2019, 25 jours après la violation. Le délai légal de 72h était donc largement dépassé. Booking.com a informé les personnes concernées par la violation le 4 février et a proposé d’indemniser les personnes pour les pertes éventuelles.
Décision :
La DPA a décidé de sanctionner Booking.com d’une amende pour manquement à l’obligation de notifier la violation de données, considérant cette violation particulièrement grave, les personnes concernées étant raisonnablement susceptibles d’être victimes de vols ou de tentatives de hameçonnage de sorte qu’une réaction rapide du responsable de traitement est essentielle. Elle a insisté sur l’importante responsabilité de Booking.com du fait du nombre de données qu’elle collecte, tant sur le plan de la sécurité des données que sur sa réactivité en cas de faille.
Sanction :
La DPA inflige une amende de 475K€ en raison du retard de notification de la violation.
Ce qu’il faut retenir :
Une violation peut en entrainer une autre, il est donc nécessaire de signaler la violation dans les 72h imposées par le RGPD. En effet, en cas de retard de notification les hackers disposent de plus de temps pour utiliser les données personnelles volées et porter préjudice aux personnes concernées.
Pour en savoir plus :
#06/04/2021 – Fuite de données chez Facebook – 533 millions de personnes concernées !
Les faits :
Un fichier contenant des données telles que les nom et prénom, la date de naissance et le lieu de naissance, le genre, la ville et le pays de résidence, la profession, le numéro de téléphone, l’adresse mail et le statut marital de 533 millions de personnes s’est retrouvé librement accessible. Parmi les 533 millions de personnes, 20 millions de français sont concernés, soit environ la moitié des français utilisateurs de Facebook !
Cette violation serait due à une vulnérabilité de Facebook qui avait entrainé une fuite de données en 2019.
L’autorité irlandaise a contacté Facebook qui ne lui a pas notifié la violation de données. Une enquête va être menée.
Ce qu’il faut retenir : Pour limiter les risques liés à des données personnelles les personnes peuvent notamment renseigner le moins d’information possible sur les réseaux sociaux, en particulier les données sensibles (opinions politiques, religieuses ou encore orientation sexuelle). La CNIL recommande aux utilisateurs de modifier leur mot de passe par précaution et d’être attentifs et prudents à d’éventuelles tentatives de phishing.
Pour en savoir plus :
https://www.cnil.fr/fr/fuite-de-donnees-facebook-comment-proteger-vos-donnees
https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-re-dataset-appearing-online
#04/03/2021 – Tribunal Judiciaire de Paris – Demande de blocage de l’accès d’un site web aux principaux FAI à la suite d’une fuite de données de santé
A la suite d’un article de presse mentionnant une fuite de données de santé, le Tribunal Judiciaire de Paris a été saisi par la CNIL afin de bloquer l’accès à un site web qui hébergeait un fichier contenant les données de santé d’environ 500 000 personnes. En parallèle, la CNIL mène des contrôles auprès des sociétés concernées afin d’informer les personnes concernées de la violation de leurs données et de vérifier les mesures de sécurités mises en place par les sociétés concernées.
# 02/03/2021 – France (CNIL) – La CNIL dévoile ses priorités de contrôle pour l’année 2021 – Sécurité et consentement au cœur des préoccupations !
La CNIL a défini ses thématiques principales de contrôle pour cette année 2021. Ses efforts porteront sur 3 thématiques à savoir, la sécurité des données de santé, la cybersécurité des sites web et les cookies.
La sécurité des données de santé :
Compte tenu de l’évolution du numérique dans le secteur de la santé et du contexte sanitaire actuel, la CNIL va continuer, comme en 2020, à effectuer des contrôles sur la sécurité des données de santé. Le numérique est de plus en plus présent dans le secteur de la santé, par conséquent, de plus de plus de données personnelles sont traitées. Pour rappel, les données de santé sont des données classées sensibles au sens de l’article 9 du RGPD et doivent donc être particulièrement protégées. En 2020, de nombreuses violations de données ont eu lieu dans ce secteur et ces violations ne font que s’accentuer. Par ces contrôles, la CNIL souhaite augmenter le niveau de sécurité des données de santé et accroitre la vigilance des acteurs de la santé.
La cybersécurité des sites web :
Lors des contrôles des sites web la CNIL relève beaucoup de manquements à la sécurité qui entrainent des violations de données. La CNIL va notamment porter son attention sur les politiques de mots de passe et le cryptage des données avec l’utilisation du protocole HTTPS. Il est encore possible, sur de nombreux sites web, de créer des comptes avec un mot de passe trop simple et qui, par conséquent, ne protège pas d’une intrusion frauduleuse qui peut mener à un vol de données. Par exemple sur certains sites, il est possible de mettre 0000 en guise de mot de passe ou même une seule lettre, il faudra très peu de temps à un hacker pour le craquer. De plus, la CNIL contrôlera également la présence des mentions d’information dans les formulaires de recueil de données. Nombreux sont les sites où aucune mention d’information n’est disponible alors même que le site collecte des données. La CNIL portera également son attention sur les stratégies mise en œuvre pour lutter contre les pratiques de ransomware qui se multiplient.
L’utilisation des cookies :
En Octobre 2020, la CNIL a publié des lignes directrices et des recommandations concernant les cookies. La CNIL va donc poursuivre son mouvement de contrôle à ce sujet notamment en matière de ciblage publicitaire et de profilage. L’ancienne pratique consistant à dire « en poursuivant votre navigation sur le site vous acceptez les cookies » n’est plus admise, la CNIL vérifiera, à partir d’avril 2021, que le recueil du consentement est bien conforme aux nouvelles lignes directrices.
Ce qu’il faut retenir :
Le site web est la première chose que la CNIL peut voir d’une société, il lui suffit uniquement de visiter un site web et de relever les manquements au RGPD, ce qui peut conduire à un contrôle plus large de l’ensemble des traitements de données personnelles de l’entreprise. Les sanctions peuvent aller jusqu’à 20M d’euros ou jusqu’à 4% du chiffre d’affaire mondial d’une entreprise. Il est donc important pour une société d’avoir déjà et a minima un site web en conformité avec le RGPD.
Pour en savoir plus :
#12/02/2021 – Suède – IMY – La police suédoise sanctionnée pour l’utilisation d’une application de reconnaissance faciale >> environ 250K€
Les faits :
À la suite d’informations parues dans les médias concernant l’utilisation de l’application Clearview AI pour la reconnaissance faciale par la police suédoise, l’Autorité suédoise pour la protection de la vie privée (IMY) a ouvert une enquête contre la police. Clearview AI est une application américaine qui permet, par la biométrie, de rechercher le visage d’une personne parmi une base de données contenant plus de 3 milliards de visages qui ont été obtenus sur internet et notamment via les réseaux sociaux.
L’application a été utilisée par la police d’automne 2019 au 3 mars 2020 sans autorisation préalable. Des employés l’ont utilisée notamment pour identifier des suspects et pour identifier des inconnus ayant participé à des crimes en bande organisée.
Manquement à l’obligation de sécurité :
La police n’a pas mis en œuvre des mesures organisationnelles suffisantes pour garantir et pouvoir démontrer que le traitement des données à caractère personnel dans cette affaire a été effectué conformément à la loi sur les données criminelles. Elle devait s’assurer que les employés connaissent les règles. Elle aurait dû effectuer une analyse d’impact car il s’agit d’une application traitant des données biométriques (reconnaissance faciale). De plus, aucune analyse d’impact n’a été menée alors qu’il s’agissait d’un traitement de données sensibles s’agissant de données biométriques.
Décision :
L’IMY sanctionne la police suédoise à une amende pour avoir enfreint la loi sur les données criminelles. Elle ordonne également à la police d’assurer la formation continue des employés afin que cette loi ne soit plus violée. L’IMY laisse jusqu’au 15 Septembre 2021 à la police suédoise pour prendre les mesures nécessaires.
La police doit également informer les personnes concernées de la divulgation des données à Clearview AI et elle doit s’assurer que les données transférées à Clearview AI soient effacées.
Sanction :
L’amende est d’un montant de 2 500 000 SEK, soit environ 250K€. L’autorité a pris en compte le fait qu’aucune mesure de sécurité n’a été prise ainsi que la durée et la nature du traitement.
Ce qu’il faut retenir : S’agissant d’une application utilisant la reconnaissance faciale et exploitant ainsi des données particulièrement sensibles, une analyse d’impact est nécessaire compte-tenu du risque possiblement engendré pour les droits et libertés des personnes concernées.
Pour en savoir plus : https://www.imy.se/globalassets/dokument/beslut/beslut-tillsyn-polismyndigheten-cvai.pdf
#12/02/2021 – Norvège (NDPA) – La société Telenor Norge AS réprimandée pour protection des données insuffisante dans sa fonction de messagerie vocale et absence de notification de violation >> Réprimande
Les faits
Une erreur de sécurité a permis à des personnes non autorisées d’accéder aux messages vocaux d’environ 1,3 million de clients en utilisant des services dits de “spoofing”.
Manquement à l’obligation de sécurité des données
La vulnérabilité dans la fonction de messagerie vocale à l’aide de services de « spoofing » est connue depuis de nombreuses années et Telenor Norge aurait dû l’identifier dans son système bien plus tôt. Elle n’a pas mis en œuvre des mesures de sécurité satisfaisantes.
Manquement à son obligation de notification
Les messages vocaux peuvent contenir beaucoup d’informations dont le responsable de traitement ne peut maîtriser le contenu, ce qui présente un risque pour la vie privée des 1.3 million de personnes concernées. Or La société n’a pas notifié la violation à la DPA.
Décision
L’autorité norvégienne des communications avait déjà infligé une amende de 1.5M€ dans les mêmes circonstances à Telenor Norge. Afin d’éviter que Telenor Norge AS ne soit pénalisée deux fois pour la même infraction, l’Autorité norvégienne de protection des données a choisi d’émettre une simple réprimande formelle à la place. Il s’agit donc d’une reconnaissance de la violation du RGPD, d’autant que la décision est publiée. En effet, le fait que la décision soit publique participe également à la sanction, cela peut impacter la réputation de la société.
Ce qu’il faut retenir :
Comme le fait la CNIL en France, l’autorité Norvégienne est intransigeante et implacable en cas de défaut de sécurité lié à des vulnérabilités et défaillances techniques déjà connues. Il est impératif de se tenir à jour des défauts de sécurité récurrents et habituels (comme ceux liés aux ransomware actuellement) pour être en mesure de les éviter, ains que des décisions des autorités de protection des données personnelles qui mettent régulièrement en avant les défaut techniques et moyens de les éviter.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-issues-reprimand-telenor-inadequate-protection-personal-data_en
#12/02/2021 – Norvège (NDPA) – Une municipalité norvégienne sanctionnée pour violation de la confidentialité des données >> 20K€
Les faits :
Un ancien élève avait besoin de son dossier pour la poursuite de ses études, et a donc demandé à la municipalité d’Indre Østfold de le lui envoyer. Or la municipalité a l’habitude de répondre à certaines demandes en les enregistrant, ce qui implique que le document demandé est scanné et mis à disposition du public. Elle a suivi ici cette même procédure de sorte que le dossier de l’ancien élève, contenant des données personnelles confidentielles, a été publié sur le site web municipal et disponible pendant 4 jours. Il a été retiré après qu’un journaliste local ait signalé l’incident à la municipalité. Celle-ci en a ensuite informé l’ancien élève.
Manquement à l’obligation de sécurité :
Si la municipalité a cherché à faire valoir auprès de la NDPA les mesures mises en œuvre pour faire cesser la violation (retrait des documents et information de la personne concernée), l’autorité n’a pu que constater l’infraction.
Décision :
La DPA a sanctionné la municipalité d’une amende car elle n’a pas assuré la confidentialité des données en raison d’un défaut de sécurité lié à ses process internes.
Sanction :
Le montant de l’amende a été fixé à 20K€ malgré la demande de la municipalité de baisser ce montant en raison des mesures prises immédiatement pour faire cesser la violation. La NDPA a affirmé ici que le montant de l’amende doit en effet refléter la gravité de la violation.
Ce qu’il faut retenir :
Si l’on voit souvent que les autorités apprécient et tiennent compte de la bonne volonté des responsables de traitement pour prendre les mesures attendues et pour coopérer avec elles, les mesures mises en œuvre même très rapidement pour remédier à une violation de données en raison d’une défaillance de sécurité ne permettent pas systématiquement d’éviter une amende ni de la faire baisser.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-issues-fine-municipality-indre-ostfold_en
#11/02/2021 – Norvège (NDPA) – Sanction pour transfert illégal automatique des emails d’un employé >> 40K€
Les faits :
Un employé a porté plainte à l’encontre de son employeur après avoir découvert que celui-ci avait activé le transfert automatique de sa boite mail nominative professionnelle, pendant plus d’un mois en raison de l’absence de l’employé pour arrêt maladie.
Manquement à la législation norvégienne :
La NDPA juge que cette transmission est contraire à la réglementation nationale concernant l’accès de l’employeur aux boîtes aux lettres électroniques et autres informations électroniques de ses employés.
Manquement à l’obligation d’information :
Cette transmission automatique de données a été faite sans aucune information à l’employé concerné.
Manquement à l’obligation du respect de l’exercice des droits de la personne concernée :
Il semblerait par ailleurs qu’en apprenant cette transmission, l’employé s’y soit opposé mais la société n’a pas examiné ou pris en compte les objections de l’employé.
Manquement à l’obligation de licéité du traitement :
La NDPA a constaté que cette transmission automatique ne reposait sur aucune base légale.
Décision :
La NDPA a sanctionné la société en lui ordonnant de revoir ses procédures écrites d’accès aux boîtes de réception de courriers électroniques et lui a infligé une amende pour les différents manquements. La société a fait appel de cette décision.
Sanction : L’amende a été fixée à 40K€.
Publication :
Le nom de la société condamnée n’a pas été rendu public afin de protéger l’identité du plaignant.
Ce qu’il faut retenir :
Toute personne doit être informée du traitement qui est fait de ses données personnelles, dont fait partie l’adresse nominative professionnelle et chaque traitement doit reposer sur une base légale. On peut ici penser que ce traitement pourrait reposer sur l’intérêt légitime de la société à pouvoir accéder aux mails professionnels de son salarié afin de ne pas pénaliser son activité. Ceci étant, un message automatique proposant de rediriger la correspondance vers une autre adresse e-mail pourrait être jugé plus proportionné et suffisant.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-issues-fine-forwarding-e-mail_en
#11/02/2021 – Pays-Bas – DDPA – L’hôpital OLVG sanctionné pour protection insuffisante des dossiers médicaux >> 440K€
Les faits :
La DDPA a engagé une enquête après avoir été informée d’une possible faille au sein de l’hôpital OLVG, après avoir reçu une information d’un patient, des informations dans les médias et deux notifications de violation de données concernant le fait que des étudiants en stage et d’autres membres du personnel accéderaient aux dossiers médicaux même si cela n’est pas nécessaire à leur travail.
Dans la cadre de don enquête, la DPA a conclu qu’il y avait des lacunes structurelles dans la façon dont OLVG sécurisait l’accès aux dossiers médicaux. Entre 2018 et 2020, l’hôpital OLVG d’Amsterdam n’avait pas mis en place des garanties suffisantes pour empêcher l’accès non autorisé aux dossiers médicaux des patients comportant bien sûr des données sensibles (de santé) mais également leurs adresse et numéro de téléphone par exemple. Il n’a pas effectué de contrôles appropriés pour vérifier qui avait accès à quels dossiers, et des lacunes dans la sécurité des systèmes d’information ont été détectées.
Manquement à l’obligation de sécurité des données :
L’hôpital disposait d’un moyen de traçage afin de savoir qui avait accédé à quel dossier, mais ne s’est pas (assez souvent) servi de ce système pour vérifier que seules les personnes habilitées accédaient aux dossiers et réagir si ce n’était pas le cas.
Par ailleurs, si un système d’authentification à 2 facteurs était prévu pour permettre l’accès aux dossiers depuis l’extérieur de l’hôpital, ce n’était pas le cas lorsque l’accès au dossier était demandé depuis l’intérieur de l’hôpital.
Décision :
La DDPA sanctionne l’hôpital d’une amende pour manquement à son obligation de sécurité : les données des hôpitaux sont des données sensibles, leur sécurité est primordiale. L’hôpital a pris les mesures nécessaires pendant l’enquête, il a mis en place un système d’authentification à deux facteurs pour l’accès aux dossiers médicaux depuis l’intérieur de l’hôpital. Il a également mis en place une procédure pour examiner régulièrement les journaux d’accès. L’hôpital a décidé de ne pas faire appel de la décision de la DDPA.
Sanction :
Le montant de l’amende est de 440K€.
Ce qu’il faut retenir :
Les dossiers médicaux ne doivent être accessibles que si c’est nécessaire au traitement du patient et d’autres données personnelles contenues dans le dossier, même non sensibles, pourraient être utilisées pour faire de l’usurpation d’identité ou même du phishing. Un système d’authentification à 2 facteurs devrait être mis en place pour accéder au dossier d’un patient (par exemple, il peut s’agir d’un mot de passe associé à un badge personnel). Les données de santé sont des données sensibles, le secteur de la santé est dans le top 3 des secteurs les plus touchés par les violations de données. Les acteurs du secteur de la santé doivent d’autant plus accroitre leur vigilance et s’assurer de la sécurité des données.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-olvg-hospital-inadequate-protection-medical-records_en
#11/02/2021 – Norvège – NDPA – La société Coop Finnmark SA sanctionnée pour diffusion illégale d’un enregistrement vidéo du magasin >> 40 K€
Les faits : La société a notifié une violation de données à la NDPA le 10 avril 2019. L’autorité avait émis un avis d’amende en mars 2020. Le gérant du magasin a effectué un enregistrement de la vidéo de surveillance de la boutique, avec son téléphone, et a diffusé l’enregistrement qui se serait rapidement propagé.
Manquement à l’obligation de licéité du traitement : La diffusion de l’enregistrement vidéo ne reposait sur aucune base légale.
Décision : La DPA a décidé de sanctionner la société d’une amende, notamment du fait que les images de la caméra montraient des enfants avec un risque majeur pour leur vie privée.
Sanction : L’amende est de 40K€, elle est calculée sur la base d’une évaluation globale de la gravité de l’infraction et de la situation financière de la société.
Publication : Un communiqué de presse a été publié par l’autorité nationale de surveillance à des fins d’information.
Ce qu’il faut retenir : Tout traitement de données personnelles doit reposer sur une base légale qui doit répondre à la finalité du traitement envisagé.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-issues-fine-coop-finnmark_en
#11/02/2021 – NO – DPA – La société Cyberbook AS sanctionnée pour transfert automatique des e-mails d’un ancien employé >> 20K€
Les faits : Un ancien employé a déposé plainte après avoir découvert que la société avait activé la redirection automatique de son adresse électronique professionnelle nominative vers l’entreprise. Cette transmission est restée active pendant plusieurs mois sans qu’il n’en soit informé.
Manquement à la règlementation nationale norvégienne : La DPA relève que cette transmission est contraire à la réglementation nationale concernant l’accès d’un employeur aux boîtes de réception de courrier électronique et à d’autres informations électroniques.
Manquement à l’obligation d’information : La personne n’a pas été informée de la redirection automatique de son adresse mail professionnelle nominative vers l’entreprise.
Manquement à l’obligation de licéité du traitement : Pour être licite le traitement doit reposer sur une base légale, ce qui n’était pas le cas en l’espèce.
Manquement à l’obligation de durée de conservation : Les données personnelles de l’ancien employé auraient dû être supprimées.
Décision : La DPA a ordonné à la société de mettre en œuvre des procédures écrites pour l’accès aux boîtes de réception des courriers électroniques des employés et des anciens employés. Elle a décidé d’infliger une amende à la société pour la transmission illégale.
Sanction : L’amende s’élève à 20K€.
Publication : Un communiqué de presse a été publié par l’autorité nationale de surveillance à des fins d’information.
Ce qu’il faut retenir : Une adresse e-mail professionnelle dès lors qu’elle est nominative est une données personnelle en tant que telle. Il est illégal de rediriger l’adresse mail professionnelle nominative d’un ancien employé vers l’entreprise sans l’en informer et sans base légale. Cette décision met en exergue la nécessité pour chaque entreprise de prévoir des process de gestion des outils informatiques des utilisateurs sous l’œil de la réglementation vie privée et qui soit documentés et adaptés à l’activité de l’entreprise et aux fonctions des personnes elles-mêmes.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-issues-fine-cyberbook_en
#11/02/2021 – Pologne -UODO – L’école Nationale de la Magistrature et du ministère public (KSSIP) sanctionné pour défaut de sécurité, d’analyse d’impact et d’encadrement des relations avec son sous-traitant >> environ 22K€
Les faits :
La KSSIP a notifié à l’autorité polonaise une violation de données, en avril 2020, suite à l’apparition sur internet de données personnelles relatives au domaine kssip.gov.pl. Des personnes non autorisées ont accédé à une copie de la base de données du site de formation KSSIP créée lors d’une migration test vers une nouvelle plateforme de formation. Un sous-traitant était chargé de la conception, du développement, de la mise en œuvre et du support technique, il traitait donc des données en tant que sous-traitant.
L’autorité de contrôle a mené un contrôle sur pièces.
Manquement à son obligation de sécurité et absence d’analyse d’impact :
La violation concernait les données de plus de 50 000 personnes qui occupent des fonctions de juge, procureur, greffier…
La KSSIP n’a pas effectué d’analyse d’impact et n’a pas testé l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité des données à caractère personnel contenues dans la copie de la base de données de la plateforme de formation KSSIP.
Une copie de la base de données de la KSSIP se trouvait sur le système informatique, dont l’existence et la sécurité, après avoir effectué les activités de migration, n’ont pas été vérifiées par le responsable de traitement. Concernant les modifications du traitement, la KSSIP n’a pas pris les mesures suffisantes pour vérifier la sécurité de l’environnement de traitement avant et après les activités de migration.
Les mesures techniques et organisationnelles doivent être réexaminées et mises à jour si nécessaire. Cela signifie que le responsable de traitement, lorsqu’il procède à l’évaluation de la proportionnalité des garanties, doit tenir compte des facteurs et des circonstances concernant le traitement (par exemple, le type, les moyens de traitement) et les risques encourus.
Manquement à son obligation d’encadrer sa relation avec le sous-traitant :
Le responsable de traitement n’a pas suffisamment encadré le traitement de données fait pour son compte par un sous-traitant. L’objet, la durée du traitement, la nature, la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, ainsi que les obligations et les droits du responsable de traitement doivent être spécifiés dans le contrat de sous-traitance de données à caractère personnel. En l’espèce, ces informations n’étaient pas précisées dans le contrat.
Exclusion de la responsabilité du sous-traitant :
La responsabilité du sous-traitant n’est pas retenue, l’UODO ayant considéré que le sous-traitant s’est conformé aux obligations du contrat de mandat et du contrat principal, a appliqué les mesures organisationnelles qu’il avait adoptées afin d’assurer la sécurité des systèmes informatiques et n’a pas manqué à son obligation de conseil vis-à-vis de son client. C’est le responsable du traitement qui n’a pas procédé à une analyse pour savoir si, en indiquant au sous-traitant un endroit où effectuer une copie de sauvegarde de la base de données, il exposait les données à caractère personnel qu’elle contenait à une violation de leur confidentialité.
Décision :
La DPA sanctionne d’une amende la KSSIP pour manquement à son obligation de sécurité et manquement à son obligation d’encadrer correctement sa relation avec son sous-traitant.
Sanction :
La KSSIP est sanctionnée d’une amende de près de 22K€ (100 000 PLN). L’autorité a tenu compte du nombre de personnes impactées, de la nature des données ayant fait l’objet de la violation, de la durée de l’infraction (février 2020 à avril 2020) et de sa responsabilité en tant que responsable de traitement.
Publication :
Un communiqué de presse sur cette décision a été publié par l’IODO à des fins d’information.
Ce qu’il faut retenir :
Le responsable de traitement doit prendre les mesures techniques et organisationnelles nécessaires et les tester et les vérifier avant et pendant le traitement. Le sous-traitant qui n’a pas manqué à son obligation de conseil ne voit pas sa responsabilité engagée.
Pour en savoir plus : https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020
#01/02/2021 – Belgique – (BDPA) – La société Family Service sanctionnée pour plusieurs manquements au RGPD >> 50K€
Les faits :
Family Service est une société de marketing qui distribue des boîtes roses destinées aux futurs parents (avec des échantillons, des offres promotionnelles et informations).
Après avoir reçu une plainte concernant le fait que Family Service avait transféré des données personnelles à des tiers (notamment des courtiers en données), sans avoir obtenu de consentement valable ni fourni d’informations suffisantes, l’autorité de contrôle belge a lancé une enquête sur cette société.
Manquement à l’obligation d’information :
La DPA a constaté que la société louait et/ou vendait des données à caractère personnel à des fins commerciales sans en informer clairement et de manière compréhensible les personnes concernées. Effectivement, les boites roses ont été distribuées par des gynécologues et des hôpitaux, cela laissait penser que l’initiative venait du secteur public et non d’une entreprise privée dont l’activité principale est le commerce de données.
Manquement à l’obligation de recueillir le consentement :
Le consentement donné par les personnes concernées n’était pas spécifique car le consentement donné pour recevoir les boites impliquait automatiquement le transfert de données, elles étaient mal informées. De plus, le consentement n’était pas libre car l’absence de consentement entrainait la perte de certains avantages.
Décision :
La société a manqué à son obligation d’information et son obligation de recueillir un consentement spécifique, libre et éclairé. La DPA décide donc d’infliger une amende à la société et lui ordonne de se conformer au RGPD.
Sanction :
L’amende est fixée à 50K€ (ce qui est une somme très important compte-tenu de la taille de l’entreprise).
Pour la fixer, l’autorité a tenu compte du nombre de personne concernées (plus de 21% de la population belge), de la gravité de la violation et de la nature des données traitées puisqu’il s’agit surtout de données relatives aux enfants.
Ce qu’il faut retenir : Le consentement doit être clairement et spécifiquement recueilli pour pouvoir transférer licitement des données personnelles à un tiers, avec une information préalable suffisante, notamment de l’identité du responsable de traitement, et de façon libre : ne pas donner son consentement ne peut pas aboutir à une perte d’avantages. On peut considérer que l’autorité belge a souhaité ici faire un exemple pour sanctionner un modèle économique basé sur le transfert de données personnelles dans des conditions non conformes au respect de la vie privée.
Pour en savoir plus : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-04-2021.pdf
#27/01/2021 – GPDP (Italie) – Demande d’informations sur le traitement de données des enfants sur Facebook et Instagram
Les faits :
Après le décès d’une enfant de 10 ans ayant un profil sur TikTok et la limitation de traitement imposée à TikTok le 26 janvier, l’autorité italienne poursuit son action pour protéger les enfants qui utilisent les réseaux sociaux, elle a ouvert des enquêtes concernant les traitements de données faits par Facebook et par Instagram. Selon les médias, la fillette aurait ouvert des profils sur Instagram et Facebook.
Respect de l’âge sur les réseaux sociaux :
L’autorité italienne a demandé à Facebook, propriétaire d’Instagram, de fournir des informations, notamment concernant le nombre et les profils détenus par la jeune fille décédée et, le cas échéant, d’expliquer comment une jeune fille de 10 ans avait pu s’inscrire sur les deux plateformes. Des informations ont également été demandées sur les mécanismes d’enregistrement mis en place et sur les méthodes de vérification de l’âge appliquées par les deux réseaux sociaux afin de vérifier le respect du seuil d’âge pour la création de profils.
Facebook et Instagram doivent répondre dans les 15 jours.
Les enquêtes sur les accès des enfants aux plateformes vont être étendues à d’autres réseaux sociaux.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2021/children-and-social-networks-italian-dpa-requests-information-processing_en
# 27/01/2021 –CNIL – 1ère condamnation d’un sous-traitant pour défaut de sécurité >> amendes de 150K€ pour le RT et 75K€ pour son ST
Les faits : Un site web de vente en ligne a subi plusieurs vagues de cyberattaques entre juin 2018 et janvier 2020. Après avoir reçu de nombreuses notifications de violation de données personnelles , la CNIL a mené des contrôles à la fois auprès du responsable de traitement (l’éditeur du site) et auprès de son sous-traitant (son prestataire chargé de la gestion du site web en question).
Il en est ressorti que le site web avait subi de nombreuses attaques par « credential stuffing » ayant permis au pirate d’accéder à diverses données d’environ 40 000 clients : nom, prénom, adresse courriel, date de naissance, numéro et solde de leur carte de fidélité informations liées à leurs commandes.
N.B. Le « credential stuffing » ou bourrage d’identifiants est un système par lequel le hacker utilise des identifiants et des mots de passe volés sur internet pour tenter de se connecter, de manière automatisée et intensive, à l’aide d’un robot, à des comptes sur plusieurs sites web, partant du principe que les mêmes couples identifiant / mot de passe sont souvent utilisés par une personne. En cas de succès des tentatives de connexion, le hacker accède aux données du compte concerné. Ce type d’attaque a été annoncée comme la « violation du trimestre » par la CNIL en janvier 2021 (https://www.cnil.fr/fr/la-violation-du-trimestre-attaque-par-credential-stuffing-sur-un-site-web)
Manquement à l’obligation d’assurer la sécurité des données personnelles :
La CNIL a relevé que le responsable de traitement et le sous-traitant avaient tous deux manqué à leur obligation de sécuriser les données personnelles.
Elles n’ont pas pris immédiatement les mesures adéquates malgré le côté répétitif des attaques. Elles ont préféré prendre 1 an pour développer un outil permettant de bloquer ce type d’attaques alors que d’autres mesures auraient déjà pu être prises, comme la mise en place d’un CAPTCHA au moment de l’authentification des utilisateurs ou la restriction du nombre de requêtes autorisées sur le site web pour la même adresse IP.
Décision : Par une délibération du 27 Janvier 2021, la CNIL confirme le manquement à l’obligation d’assurer la sécurité des données. Elle souligne que le responsable de traitement et le sous-traitant sont chacun responsables, le 1er de donner des instructions de sécurité à son sous-traitant et le second de rechercher les solutions adéquates pour garantir un maximum de sécurité et les conseiller à son client.
Sanction : La CNIL a prononcé une amende à l’encontre du responsable de traitement, 150K€ et une amende à l’encontre du sous-traitant, 75K€.
Publication : La CNIL n’a pas décidé de publier cette décision mais de communiquer sur le sujet pour alerter sur ces attaques devenues courantes par « credential stuffing » .
Ce qu’il faut retenir : C’est à notre connaissance la 1ère décision de la CNIL venant condamner un sous-traitant en application des nouvelles dispositions édictées par le RGPD qui a créé cette responsabilité individuelle du prestataire. On voit que le montant de l’amende du prestataire correspond ici à la moitié de celle du responsable, ce qui n’est pas négligeable pour le prestataire. A noter qu’en fonction des dispositions contractuelles entre le sous-traitant et son client, il est aussi possible que le responsable de traitement demande réparation de son préjudice à son prestataire. Les entreprises et leurs prestataires doivent travailler de concert pour assurer la sécurité des données et, que l’on soit responsable ou sous-traitant, il est impératif de veiller à la rédaction des limites de responsabilité dans les contrats encadrant la gestion des données personnelles.
Pour en savoir plus :
#26/01/2021 – Norvège – NDPA – L’autorité norvégienne notifie son intention d’infliger une amende de 10M€ à Grindr LLC pour défaut de consentement
Les faits :
Grindr LLC une société américaine éditant le réseau social Grindr, basé sur un système de géolocalisation, pour les gays, bi, et les transgenres (LGBTQ+). Une plainte a été déposée contre Grindr par le conseil norvégien des consommateurs, invoquant un partage illégal avec des tiers de données personnelles (localisation, données du profil de l’utilisateur et le fait que l’utilisateur en question utilise le réseau Grindr) à des fins marketing. Evidemment, le fait qu’une personne soit un utilisateur de Grindr témoigne de son orientation sexuelle, ce qui constitue une donnée sensible.
Le NPDA a procédé à une enquête qui s’est concentrée sur les périodes de mai 2018 jusqu’à avril 2020 et l’application gratuite Grindr.
Dans le cadre de cette enquête, Grindr a effectué des changements mais l’autorité ne les a pas encore évalués.
A noter que des plaintes sont également en cours à ce sujet contre 5 des tiers qui auraient eu accès aux données.
Manquement à l’obligation de recueillir le consentement :
Grindr LLC aurait partagé des données avec des tiers sans recueillir le consentement des personnes concernées. Pour utiliser l’application, les utilisateurs ont nécessairement du accepter la politique de confidentialité dans son intégralité sans que leur soit demandé un accord pour le partage de leurs données avec des tiers et avec des informations visiblement non conformes.
Champs d’applicabilité du RGPD :
Même si l’entreprise n’est pas située en Europe, le RGPD, prévoit en son article 3.2 qu’il s’applique aux responsables de traitement qui offrent des biens ou des services aux personnes dans L’Union Européenne ou qui surveillent le comportement de ces personnes.
Décision :
L’autorité norvégienne de protection des données a notifié à Grindr LLC son intention de lui infliger une amende administrative de 100 000 000 NOK soit environ 10M€ pour non-respect des règles du RGPD en matière de consentement. Ce montant d’amende est justifié par le grand nombre d’utilisateurs concernés (13.7M) et du CA de la société (100M€), soit environ 10% du CA de l’entreprise.
Grindr est en mesure de contester ce projet de décision jusqu’au 15/02/2021, avant qu’une décision définitive ne soit émise.
Ce qu’il faut retenir :
Pour transférer des données à un tiers pour des pratiques de profilage et de suivi intrusives à des fins de marketing ou de publicité, le consentement des personnes concernées est nécessaire.
De plus, bien qu’une entreprise ne soit pas située sur le territoire européen, si elle offre des biens ou des services ou qu’elle surveille le comportement des personnes se situant dans l’Union européenne, le RGPD s’applique.
Pour en savoir plus : Consultez le projet de décision : https://documentcloud.adobe.com/link/review?uri=urn:aaid:scds:US:1697a239-f97e-495e-b380-4451a2bb8de7
#26/01/2021 – GPDP (Italie) – Limitation du traitement de données sur le réseau social TikTok après le décès d’une enfant de 10 ans
Les faits :
L’autorité italienne a ouvert une procédure vis-à-vis de TikTok en lui notifiant plusieurs infractions, notamment :
# le peu d’attention accordée à la protection des mineurs,
# la facilité avec laquelle l’entreprise esquive l’interdiction d’enregistrement qu’elle applique aux enfants de moins de 13 ans,
# le manque de transparence et de clarté des informations fournies aux utilisateurs
# les paramètres par défaut qui ne respectent pas les exigences en matière de respect de la vie privée.
La procédure de contrôle étant en cours et dans l’attente des réponses de TikTok pour apprécier la conformité de ses traitements, des articles de presse ont fait état de la mort d’une fillette de 10 ans à la suite de « pratiques émulatives » liées à sa participation à la plateforme TikTok (son inscription n’avait pas été refusée par la plateforme).
Décision d’urgence avec prise d’effet immédiate
En l’absence du retour d’information demandé à TikTok avec l’ouverture de la procédure de contrôle et donc de garanties quant à l’adoption de procédures correctes pour la vérification de l’âge des membres de la plateforme, et en attendant les enquêtes en cours de l’autorité judiciaire compétente, l’autorité administrative a pris une décision d’urgence en application de l’art.66 du RGPD.
En effet celui-ci prévoit que “dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle estime qu’il est urgent d’agir afin de protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de cohérence … adopter immédiatement des mesures provisoires destinées à produire des effets juridiques sur son territoire pour une durée déterminée n’excédant pas trois mois ».
Compte-tenu des incertitudes, notamment concernant les formulaires prévus pour vérifier l’âge des utilisateurs eux-mêmes et, en particulier, des mineurs, l’autorité italienne a décidé de limiter les traitements réalisés par TikTok et lui a ainsi interdit de continuer à traiter les données relatives à tout utilisateur se trouvant sur le territoire italien “dont l’âge ne pouvait être établi avec certitude afin de garantir le respect des exigences liées à l’âge”.
Cette interdiction est d’application provisoire jusqu’au 15 février, l’autorité ayant prévu de conclure son évaluation complémentaire d’ici cette date.
L’ordonnance de limitation sera portée à l’attention de la SA irlandaise, puisque TikTok a récemment communiqué qu’elle avait fixé son principal établissement européen en Irlande.
Pour en savoir plus : https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/95241944
#26/01/2021 – Allemagne (BWDPA) – Notebooksbilliger.de sanctionnée pour sa mise en place de vidéosurveillance >> 10.4M€
Les faits :
L’entreprise Notebooksbilliger.de AG utilisait la vidéosurveillance pour surveiller ses employés depuis au moins deux ans sans aucune justification légale. Les caméras filmaient les espaces de travail, les surfaces de vente, les entrepôts et les salles du personnel. L’entreprise a affirmé que c’était pour prévenir des vols.
Manquement à l’obligation de licéité du traitement :
La vidéosurveillance ne peut être utilisée pour enquêter sur des infractions que si des personnes spécifiques sont raisonnablement soupçonnées d’avoir commis de telles infractions. Si tel est le cas, l’entreprise peut être autorisée à surveiller les individus à l’aide de caméras pendant une période limitée. Cependant, notebooksbilliger.de n’a pas limité sa surveillance vidéo à des employés spécifiques ou à une période déterminée et une suspicion générale ne suffit pas. En outre, de nombreux enregistrements ont été conservés pendant 60 jours, ce qui est beaucoup plus long que nécessaire.
Les clients de notebooksbilliger.de ont également été touchés par la vidéosurveillance illégale, car certaines caméras étaient dirigées vers les sièges de l’espace de vente.
Décision :
L’autorité allemande a sanctionné notebooksbilliger.de via une amende. L’entreprise a depuis lors organisé sa surveillance vidéo conformément à la loi et l’a prouvé au commissaire d’État à la protection des données de Basse-Saxe.
Sanction :
L’amende est fixée à 10.4M€, c’est la sanction la plus forte imposée par le commissaire d’Etat à la protection des données de Basse-Saxe à ce jour.
Ce qu’il faut retenir : Pour mettre en place la vidéosurveillance destinée à prévenir les vols, il faut avoir des soupçons raisonnables sur des personnes spécifiques car il s’agit d’une atteinte particulièrement envahissante aux droits d’une personne, l’ensemble de son comportement pouvant théoriquement être observé et analysé. Pour autant, toute vidéosurveillance n’est pas interdite mais dans tous les cas, la mise en place d’un tel système très intrusif nécessite la détermination préalable de sa finalité, proportionnée au traitement envisagé, la détermination de la base légale adéquate et une information suffisante aux personnes concernées.
Pour en savoir plus : https://lfd.niedersachsen.de/startseite/themen/videouberwachung/videoueberwachung-175953.html
#26/01/2021 – DPA – Pays-Bas – Avertissement formel à un supermarché pour son intention d’utiliser la technologie de reconnaissance faciale
Les faits :
Suite à des rapports dans les médias, le 6 décembre 2019, la DPA a demandé des informations au propriétaire du supermarché.
Le 8 décembre 2019, le supermarché a désactivé la technologie de reconnaissance faciale. Le propriétaire a toutefois indiqué dans les documents fournis à la DPA qu’il souhaitait la réactiver.
Le supermarché a placé des caméras disposant d’un système de reconnaissance faciale à l’entrée du magasin, d’après lui dans le but de protéger ses clients et son personnel et pour empêcher le vol à l’étalage.
Les caméras sont capables de scanner le visage de toutes les personnes qui entrent dans le magasin et de le comparer à une base de données de personnes interdites d’accès au magasin. Les visages des personnes qui ne sont pas interdites sont effacés après quelques secondes.
Manquement à l’obligation de recueillir le consentement :
Selon la vice-présidente de la DPA : La reconnaissance faciale « nous fait tous marcher avec des codes-barres ». Le visage est scanné chaque fois que quelqu’un entre dans un magasin, sans le consentement des personnes concernées. En passant le visage par un moteur de recherche, il est possible que le visage soit lié à un nom et à d’autres données personnelles. Cela pourrait se faire en croisant le visage avec un profil sur les réseaux sociaux, par exemple. Selon elle, cette technologie est beaucoup trop intrusive et ne respecte pas la vie privée.
Pour rappel, l’utilisation de la reconnaissance faciale est interdite sauf dans deux cas cumulatif :
# Les personnes ont donné leur consentement explicite au traitement de leurs données. Ici, bien que le propriétaire du supermarché affirme que les clients ont été avertis que le magasin utilisait la technologie de reconnaissance faciale, les clients n’ont pas donné de consentement explicite. Le silence ne vaut pas approbation, le simple fait d’entrer dans le magasin ne vaut pas consentement.
# La technologie de reconnaissance faciale est nécessaire à des fins d’authentification ou de sécurité, mais uniquement dans la mesure où un intérêt public substantiel est concerné. Le supermarché affirme que c’est le cas mais non la DPA. Le seul exemple que la loi donne est celui de la sécurité d’une centrale nucléaire, ce n’est donc pas le cas du vol à l’étalage.
Décision : La DPA a averti formellement le supermarché.
Ce qu’il faut retenir : La reconnaissance faciale est particulièrement compliquée à mettre en place vis-à-vis de la protection des données personnelles. D’une manière générale et sauf cas très particulier, les autorités ont tendance à considérer que l’utilisation de cette technologie particulièrement intrusive n’est pas proportionnée à une finalité de sécurité.
# 19/01/2021 – Vers une augmentation des cas de cybercriminalité – La nouvelle tendance des Ransomware – Une vigilance permanente
Les cas de cybercriminalité ont augmenté en pleine pandémie de covid-19 et notamment les cas de ransomware, ces logiciels malveillants qui prennent en otage des données personnelles. En effet, les pirates entrent dans les systèmes informatiques des sociétés afin de rendre les données inaccessibles ou inexploitables (codées). Ils proposent ensuite le paiement d’une rançon pour permettre à la société victime de recouvrer l’accès à ses données et leur usage. Cela ne garantit pas pour autant qu’elles n’aient pas été dupliquées, réexploitées ou vendues entre temps… Ces pratiques ont explosé en 2020 avec notamment, la forte digitalisation des activités et l’augmentation de la pratique du télétravail.
Selon l’enquête de la société d’investigation Kroll, ces pirates entrent dans les serveurs d’ordinateurs utilisés par le personnel qui fait du télétravail (appelés protocoles de bureau à distance qui ne sont souvent pas suffisamment sécurisés.
Les secteurs les plus touchés par ces attaques seraient les services, la santé et les télécommunications.
En plus des variantes de ransomware (Ryuk, Sodinokibi et Maze) qui sont utilisées pour prendre en otage des données d’entreprise, menacer de publier les données des victimes en vue d’obtenir le paiement des rançons, la nouvelle tendance des ransomware c’est de refuser la suppression des données prises en otage après le paiement de la première rançon et d’exiger une seconde rançon. Les pirates menacent de mener des attaques contre les clients ou partenaires des entreprises victimes ou d’exposer leurs données personnelles.
Ce qu’il faut retenir : Il est conseillé, surtout pour les professionnels, d’organiser une haute sécurité pour accéder à leurs serveurs. Cela commence par redoubler la vigilance en mettant en œuvre des mesures de sécurité. Cela passe également et nécessairement par le blocage de tout accès inutile au protocole de bureau à distance en améliorant le système d’authentification et par la sauvegarde régulière des données en dehors du réseau de l’entreprise. Cela passe enfin par la mise en place de formations du personnel, pour augmenter sa vigilance et qu’il soit apte à identifier plus facilement les courriels malveillants.
Pour en savoir plus : https://www.zdnet.fr/actualites/croissance-des-ransomware-voici-quatre-facons-dont-les-attaquants-s-introduisent-dans-vos-systemes-39911253.htm
#15/01/2020 – Italie (GPDP) – TIM SpA sanctionnée d’une amende pour traitements illicite à des fins de marketing >> 27.8M€
Les faits : Des centaines de personnes ont porté plainte entre janvier 2017 et janvier 2019 concernant des appels marketing non sollicités. La GPDP a initié une procédure le 25 juillet 2019 à l’encontre de la société avec un contrôle sur pièces. A l’occasion de son contrôle, elle a pu constater que des millions de personnes étaient concernés par ces appels.
Manquement à l’obligation de respecter les droits des personnes :
Lorsque les personnes s’opposaient au traitement de leur données et demandaient à accéder à leur données aucune réponse ne leur était apportée. Les personnes continuaient à être contactées par la société. La société n’a donc pas respecté les droits des personnes.
Manquement à l’obligation de recueillir le consentement :
Les opérateurs téléphoniques appelaient des clients et des non-clients sans aucune base légale, sans même recueillir le consentement des personnes appelées. Une personne a même été contactée 155 fois en un mois. 200.000 personnes ne figurant pas dans la base des clients prospects ont également été appelées, de même que les personnes sur liste noire, qui ont clairement exprimé leur refus d’être contactées à des fins marketing. Des formulaires permettaient parfois de recueillir le consentement des personnes, cependant, la personne ne pouvait pas exprimer son consentement pour une seule finalité. Le consentement était donné une seule fois pour plusieurs finalités dont les finalités marketing, il n’était pas unique et spécifique.
Par ailleurs, le consentement n’était pas libre puisqu’il était nécessaire pour bénéficier de certains rabais.
Manquement à l’obligation d’information des personnes :
Les informations fournies par la société ne répondaient pas à l’exigence de clarté et n’étaient pas exactes.
Manquement à l’obligation de limiter la durée de conservation :
Les numéros relatifs aux clients d’autres opérateurs de téléphonie, que TIM détenait en sa qualité de fournisseur de réseau, étaient conservés plus longtemps que la loi ne l’autorisait.
Manquement à l’obligation de sécurité :
Des violations de données ont eu lieu suite à des problèmes de traitement de données dans les systèmes. Cela a mené à l’attribution incorrecte des lignes téléphoniques aux titulaires et à l’association incorrecte entre les titulaires et les coordonnées utilisées par la société.
Décision :
La GDPD sanctionne la société d’une amende en raison de plusieurs manquements aux RGPD. Elle lui ordonne de se conformer au RGPD en suivant 20 mesures correctives. Il est notamment interdit à la société d’utiliser les données de ses clients à des fins marketing alors qu’ils n’ont pas consenti ou qu’ils ont exprimé leur refus. Les clients devront pouvoir bénéficier des rabais sans avoir à consentir à l’utilisation de leurs données à des fins marketing. La société devra recueillir un consentement valide et devra informer correctement les personnes. Elle devra également mettre en œuvre une procédure pour l’exercice des droits des personnes et assurer la sécurité des données.
Sanction :
La GDPD inflige à TIM une amende de 27.8M€.
Ce qu’il faut retenir :
Il est nécessaire d’obtenir et de conserver la preuve du consentement des personnes pour les contacter à des fins de prospection, mais encore faut-il que le consentement soit obtenu de manière unique pour chaque finalité spécifique et sans soumettre l’obtention d’un avantage au consentement de la personne aux traitements de ses données à des fins marketing.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2020/marketing-italian-sa-fines-tim-eur-278-million_fr
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9256486
#13/01/2021 – Pologne (UODO) La vérification des vulnérabilités potentielles du système ne peut être retardée >> 250K€
Les faits :
Dans le cadre de la procédure, l’UODO a établi que une violation des bases de données de la société ID Finance Poland est intervenue suite à l’incapacité par l’hébergeur (le sous-traitant) de rétablir la configuration de sécurité appropriée après le redémarrage d’un des serveurs exploités. Le responsable de traitement en a été informé par un spécialiste cybersécurité indépendant qui a détecté la vulnérabilité et indiqué que des données étaient accessibles au public. Au lieu de vérifier avec diligence les signalements reçus et de s’assurer que le sous-traitant avait bien effectué les vérifications en termes de sécurité, le responsable de traitement a douté des signalements. Par conséquent, il n’a pas vérifié immédiatement les vulnérabilités identifiées du système et quelques jours plus tard, une personne non autorisée a copié les données et les a ensuite supprimées du serveur. Cette personne a exigé une rançon pour la restitution des informations volées. Ce n’est qu’alors que l’entreprise a commencé à analyser les dispositifs de sécurité de ses serveurs et a notifié en même temps la violation des données à l’autorité de contrôle. Cette violation n’aurait pas eu lieu si le responsable de traitement avait immédiatement réagi suite aux signalements du défaut de sécurité.
Manquement à l’obligation de sécurité :
Le président de l’Office de protection des données personnelles (UODO) a constaté que la société n’avait pas mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une perte de confidentialité des données personnelles. La société n’a pas réagi, elle n’a pas vérifié assez rapidement et le signalement n’a pas été traité avec sérieux.
Le responsable de traitement doit conserver la capacité d’identifier rapidement et efficacement toute violation afin de pouvoir prendre les mesures appropriées.
L’autorité de contrôle a estimé que le fait que le sous-traitant n’ait pas réagi suffisamment rapidement à la notification d’une vulnérabilité du système n’exclut pas la responsabilité du responsable du traitement dans la violation des données. Le responsable de traitement doit être en mesure de détecter, de traiter et de notifier la violation des données – c’est un élément essentiel des mesures techniques et organisationnelles.
Décision : L’autorité décide de sanctionner la société d’une amende administrative. La société, bien qu’elle ait rapidement fourni au sous-traitant les informations sur la vulnérabilité potentielle de la sécurité du serveur, n’a pas pris de mesures suffisantes. La procédure a montré que le responsable de traitement a brièvement analysé le signalement reçu, ne l’a pas pris au sérieux et n’a pas obligé le sous-traitant à le traiter correctement.
Sanction : L’autorité a sanctionné le responsable de traitement à plus d’un million de PLN (250K€). L’autorité considère que le montant de l’amende doit remplir une fonction à la fois répressive et préventive. Il devrait permettre de prévenir des infractions similaires à l’avenir, tant dans l’entreprise sanctionnée que chez les autres responsables de traitement. L’autorité a pris en compte l’ampleur de la violation et l’étendue des données volées. Elle a également tenu compte du fait que des mots de passe non cryptés ont également fait l’objet de fuites, qu’il est possible d’utiliser ces données pour se connecter à différents comptes de clients, s’ils utilisent le même identifiant (par exemple, un e-mail) et le même mot de passe sur d’autres sites web. L’autorité a également tenu compte du retard pris par le responsable de traitement dans la prise de mesures préventives.
Ce qu’il faut retenir : Le responsable de traitement doit s’assurer, lorsqu’il y a un défaut de sécurité chez le sous-traitant, que ce dernier le traite rapidement et efficacement. De plus, Le responsable de traitement doit être en mesure de détecter, de traiter et de notifier la violation des données, c’est un élément essentiel des mesures techniques et organisationnelles.
Pour en savoir plus : https://uodo.gov.pl/decyzje/DKN.5130.1354.2020
#12/01/2021 – CNIL – La CNIL rappelle à l’ordre le Ministère de l’intérieur concernant l’utilisation des drones
Les faits : Certains commissariats et certaines gendarmeries ont utilisé des drones afin de vérifier si les mesures de confinement étaient respectées notamment à Paris et en Haute Garonne. Par la suite les drones ont été utilisés pour d’autres finalités comme pour la reconnaissance d’un lieu avant une interpellation, la surveillance d’une manifestation ou pour des contrôles routiers. La CNIL a adressé un courrier au Ministère de l’intérieur le 23 avril 2020 afin d’obtenir des précisions concernant ce dispositif. Le 7 mai 2020, elle a décidé d’effectuer des contrôles par le biais de questionnaires concernant l’utilisation des drones. En juillet 2020, la CNIL décide de se rendre sur place et de tester les drones. L’autorité relève plusieurs manquements et décide d’engager une procédure contre le Ministère de l’intérieur. Plusieurs questions se sont posées au cours de cette procédure et des manquements ont été constatés.
Sur l’existence d’un traitement de données à caractère personnel
Les drones sont équipés d’une caméra permettant la captation d’image en haute résolution et permettant de zoomer afin d’agrandir l’image entre 6 et 20 fois. Un dispositif de floutage était prévu mais il n’avait pas encore été mis en place, donc, pour les vols ayant déjà été effectués, aucun système ne permettait de rendre les personnes non identifiables. De plus, les flux de données floutées pouvaient être consultés en clair par les agents de la préfecture de police.
La CNIL relève que la captation et l’enregistrement d’images non floutées par la caméra et leur transmission au pilote constituent des opérations de traitement de données à caractère personnel. Elle constate également que même lorsque l’image est floutée il s’agit d’un traitement de données à caractère personnel puisque les drones permettent tout de même l’identification des personnes sur la base de leur apparence ou d’autres éléments spécifiques.
Sur l’identification du responsable de traitement :
Les drones ont été utilisés pour plusieurs finalités, à savoir, le respect des mesures de confinement, pour des missions de police judiciaire, de maintien de l’ordre public, ou encore pour des contrôles routiers. La CNIL relève qu’au vue des finalités le Ministère de l’intérieur est le responsable de traitement, d’autant que les services ayant agi l’ont fait sous la tutelle du Ministère de l’intérieur.
Manquement à la licéité du traitement et l’absence d’étude d’impact :
Le traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes car il porte sur des données sensibles (il est possible, grâce aux drones, de connaître la prétendue origine raciale de la personne ou même son origine ethnique, ses convictions religieuses etc.). Le Ministère de l’intérieur aurait donc dû effectuer une analyse d’impact.
Manquement à l’obligation d’informer les personnes concernées :
Les personnes concernées étaient uniquement informées de la présence d’un drone via un message vocal les invitant à se disperser. Aucune autre information n’était donnée concernant le responsable de traitement, le DPO, la finalité du traitement ou encore les droits des personnes concernées.
Décision : La CNIL rappelle à l’ordre le Ministère de l’intérieur pour les manquements à la LIL car elle n’a pas le pouvoir de prononcer une amende contre l’Etat. Elle prononce également une injonction de se mettre en conformité sans imposer toutefois de délai spécifique. Elle demande cependant que cesse le traitement de données par drone et si besoin de le prévoir dans un cadre normatif afin d’être autorisé.
Publication : La CNIL décide de publier cette décision en raison de la gravité du manquement relatif à la licéité des traitements, des risques importants pour les droits et libertés des personnes, de plus, en raison des évolutions technologiques les drones permettent d’obtenir une très bonne qualité d’image même s’ils volent à une altitude importante, les personnes sont peu susceptibles de prendre conscience des traitements opérés et de la captation de leur image.
Ce qu’il faut retenir : La captation d’images, floutées ou non, relève du traitement de données personnelles : les personnes restent identifiables même sur la base de leur apparence. Les données peuvent également être sensibles (origine raciale, opinion, religieuse…). L’utilisation de drones doit se faire dans un cadre légal l’autorisant. Les personnes concernées doivent être informées de ce traitement, un simple message vocal ordonnant de se dissiper ne permet pas d’informer les personnes. La CNIL considère que le perfectionnement de technologies telles que la reconnaissance faciale pourrait entraîner, à l’avenir, des risques encore plus importants pour les droits et libertés individuelles si elles étaient couplées à l’utilisation de drones.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042960768
# 05/01/2021 – Pologne (UODO) – Sanction de la société Anwara pour défaut de coopération avec l’autorité de contrôle >> Amende de 5K€ environ
Les faits
La société Anwara exerce une activité liée à la gestion d’écoles post-secondaires, d’écoles secondaires, d’écoles primaires et d’établissements d’enseignement préscolaire qui est donc étroitement liée au traitement de données personnelles.
A la suite d’une plainte d’une personne physique concernant des irrégularités dans le traitement de ses données à caractère personnel (nom, prénom, adresse de résidence et numéro PESEL) à son insu et sans son consentement, ce qui a déclenché, l’autorité polonaise s’est saisie de la plainte et a interrogé Anwara.
Manquement à l’obligation de coopération
L’autorité polonaise a adressé, à la société Anwara, 2 demandes écrites de fournir des explications (sources, base légale, finalité, nature et actualité du traitement, transmission éventuelle à des tiers, gestion de l’exercice des droits des personnes – réponse et suppression), en vue de pouvoir analyser cette plainte.
La société n’a visiblement fourni aucune réponse à l’autorité ni aucune information lui permettant de résoudre l’affaire.
Décision
L’autorité polonaise décide d’une amende de plus de PLN21000 soir environ 5000€ compte-tenu de l’absence totale de coopération de la société et ce d’autant plus qu’exerçant dans des domaines juridique, la société doit particulièrement être au fait de ses obligations en matière de respect de la vie privée.
Ce qu’il faut retenir :
Le seul fait de ne pas coopérer avec l’autorité de contrôle (ce qui est une obligation en tant que telle, issue du RGPD) peut engendrer une amende.
En l’absence de données financières pour 2019 demandées à l’entreprise et non fournies, pour déterminer le montant de l’amende administrative dans cette affaire, ont été prises en compte la taille estimée de la Société et la spécificité, l’étendue et l’échelle de son activité.
Pour en savoir plus :
https://uodo.gov.pl/decyzje/DKE.561.16.2020
# 28/12/2020 – UK – BREXIT – Application du RGPD au Royaume-Uni jusqu’au 1er Juillet 2021
L’Union Européenne et le Royaume-Uni se sont entendus pour que le RGPD reste applicable pour une durée de 6 mois post Brexit, soit jusqu’au 1er juillet 2021.
Bien que le RGPD continue de s’appliquer pour les 6 prochains mois, le système du guichet unique, permettant d’harmoniser les décisions sur les traitements de données transfrontaliers et donc de faciliter les démarches pour les entreprises européennes, prend fin. Il ne sera donc plus possible pendant cette période transitoire d’accomplir les obligations prévues par le RGPD auprès d’une seule autorité chef de file choisie par l’entreprise. Les responsables de traitement et les sous-traitants établis uniquement au Royaume-Uni, en vertu de l’article 3(2) du RGPD, devront désigner un représentant dans l’Union Européenne si le traitement concerne des personnes sur le territoire de l’Union et que les activités sont liées à à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Ce qu’il faut retenir : A partir du 1er janvier 2021, le guichet unique prend fin vis-à-vis du Royaume-Uni. Les transferts de données de l’UE vers ou depuis le Royaume-Uni peuvent se poursuivre en conformité avec le RGPD. En revanche, au 1er juillet 2021, les transferts de données vers le Royaume-Uni devront être encadrés avec des clauses contractuelles types reconnues par la Commission Européenne ou par des règles contraignantes d’entreprise, sauf si la Commission européenne reconnait que le niveau de protection offert par le Royaume-Uni est adéquat (ce qui nous semble probable, le Royaume-Uni ayant intégré la réglementation européenne dans sa propre législation nationale, et à moins d’une modification de la loi anglaise sur les données personnelles). Il est essentiel pour les entreprises d’identifier leurs traitements de données personnelles en relation avec le Royaume-Uni pour vérifier si des démarches de conformité devront être menées d’ici juillet.
Pour en savoir plus : https://www.cnil.fr/fr/brexit-le-rgpd-reste-applicable-au-royaume-uni-jusquau-1er-juillet-2021
#20/12/2019 – Pays-Bas (DDPA) – Une association de tennis sanctionnée pour vente illégale de données personnelles >> 525K€
Les faits :
Des membres de l’association de tennis La Royal Dutch Lawn Tennis Association (KNLTB) ont porté plainte auprès de l’autorité de contrôle néerlandaise, après avoir été contactés par téléphone et par courrier dans le cadre de prospection commerciale. Le 22 octobre 2018, la DDPA a ouvert une enquête sur l’association. Elle a détecté dans ce cadre qu’en juin et juillet 2018, l’association avait vendu les données de centaines de milliers de ses membres à 2 de ses sponsors pour leurs activités marketing (50 000 pour l’un et plus 300 000 pour l’autre). Ces données étaient notamment le nom, le sexe et l’adresse postale des personnes.
Manquement à la licéité du traitement :
Selon l’association la vente de données reposait sur son intérêt légitime. Cependant, la DDPA rejette cette base légale et retient que les données n’ont été transmises que dans un but lucratif pour les activités marketing des 2 sponsors. Elles ont donc été utilisées pour une autre finalité que celle prévue initialement qui était l’adhésion à l’association. Pour pouvoir vendre ces données, l’association aurait dû obtenir le consentement de ses membres.
Décision :
L’autorité a décidé de d’infliger une sanction à l’association pour vente illégale de données personnelles. L’association a fait appel de cette décision.
Sanction :
La sanction est d’un montant de 525K€ en raison du grand nombre de personnes concernées et de la quantité des données personnelles fournies illégalement.
Ce qu’il faut retenir :
Lorsqu’une société collecte des données pour une finalité, elle ne peut pas réutiliser ces données pour dans un autre but incompatible avec la finalité initiale. C’est le principe de la limitation du traitement qui vient condamner le détournement de finalités.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2020/dutch-dpa-fines-tennis-association_fr
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf
Dans le fil d’actualité RGPD
#15/01/2020 – Italie (GPDP) – TIM SpA sanctionnée d’une amende pour traitements illicite à des fins de marketing >> 27.8M€
Les faits : Des centaines de personnes ont porté plainte entre janvier 2017 et janvier 2019 concernant des appels marketing non sollicités. La GPDP a initié une procédure le 25 juillet 2019 à l’encontre de la société avec un contrôle sur pièces. A l’occasion de son contrôle, elle a pu constater que des millions de personnes étaient concernés par ces appels.
Manquement à l’obligation de respecter les droits des personnes :
Lorsque les personnes s’opposaient au traitement de leur données et demandaient à accéder à leur données aucune réponse ne leur était apportée. Les personnes continuaient à être contactées par la société. La société n’a donc pas respecté les droits des personnes.
Manquement à l’obligation de recueillir le consentement :
Les opérateurs téléphoniques appelaient des clients et des non-clients sans aucune base légale, sans même recueillir le consentement des personnes appelées. Une personne a même été contactée 155 fois en un mois. 200.000 personnes ne figurant pas dans la base des clients prospects ont également été appelées, de même que les personnes sur liste noire, qui ont clairement exprimé leur refus d’être contactées à des fins marketing. Des formulaires permettaient parfois de recueillir le consentement des personnes, cependant, la personne ne pouvait pas exprimer son consentement pour une seule finalité. Le consentement était donné une seule fois pour plusieurs finalités dont les finalités marketing, il n’était pas unique et spécifique.
Par ailleurs, le consentement n’était pas libre puisqu’il était nécessaire pour bénéficier de certains rabais.
Manquement à l’obligation d’information des personnes :
Les informations fournies par la société ne répondaient pas à l’exigence de clarté et n’étaient pas exactes.
Manquement à l’obligation de limiter la durée de conservation :
Les numéros relatifs aux clients d’autres opérateurs de téléphonie, que TIM détenait en sa qualité de fournisseur de réseau, étaient conservés plus longtemps que la loi ne l’autorisait.
Manquement à l’obligation de sécurité :
Des violations de données ont eu lieu suite à des problèmes de traitement de données dans les systèmes. Cela a mené à l’attribution incorrecte des lignes téléphoniques aux titulaires et à l’association incorrecte entre les titulaires et les coordonnées utilisées par la société.
Décision :
La GDPD sanctionne la société d’une amende en raison de plusieurs manquements aux RGPD. Elle lui ordonne de se conformer au RGPD en suivant 20 mesures correctives. Il est notamment interdit à la société d’utiliser les données de ses clients à des fins marketing alors qu’ils n’ont pas consenti ou qu’ils ont exprimé leur refus. Les clients devront pouvoir bénéficier des rabais sans avoir à consentir à l’utilisation de leurs données à des fins marketing. La société devra recueillir un consentement valide et devra informer correctement les personnes. Elle devra également mettre en œuvre une procédure pour l’exercice des droits des personnes et assurer la sécurité des données.
Sanction :
La GDPD inflige à TIM une amende de 27.8M€.
Ce qu’il faut retenir :
Il est nécessaire d’obtenir et de conserver la preuve du consentement des personnes pour les contacter à des fins de prospection, mais encore faut-il que le consentement soit obtenu de manière unique pour chaque finalité spécifique et sans soumettre l’obtention d’un avantage au consentement de la personne aux traitements de ses données à des fins marketing.
Pour en savoir plus :
https://edpb.europa.eu/news/national-news/2020/marketing-italian-sa-fines-tim-eur-278-million_fr
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9256486
# 20/12/2020 – ICO – Sanction de la société britannique Digital Growth Experts Limited pour son manquement aux règles de protection des données en matière de recueil de consentement >> Amende de plus de 65K€
Les faits : Après avoir envoyé des SMS de marketing faisant la promotion d’un produit désinfectant pour les mains affirmant son efficacité contre les coronavirus, la société Digital Growth Experts Limited (DGEL) a été condamnée à une amende de 60 000 £ (environ 66K euros), par le bureau de régulation en matière de données personnelles et communications électroniques (nommé ICO). Environ 16 190 SMS ont été reçus entre le 29 février et le 30 avril 2020, en pleine pandémie de coronavirus, et envoyés à des personnes qui n’avaient pas consenti à les recevoir. Grâce à toutes les plaintes envoyées au Service de signalement des spams du Système mondial de communications mobiles (GSMA’s Spam Reporting Service), l’ICO a pu intégrer ces plaintes dans son évaluation mensuelle des menaces. Cette évaluation mensuelle permet à l’Office d’identifier les entreprises et les organisations qui ne respectent pas le Règlement sur la protection de la vie privée et les communications électroniques de 2003 (PECR).
En plus de l’amende, la société DGEL a également reçu un avis d’exécution lui ordonnant de se conformer à ce règlement dans les 30 jours suivant la réception de cet avis. Il lui a été demandé de fournir des preuves démontrant que le consentement avait été donné par les personnes qui ont reçu les messages de marketing, mais la société n’a pas été en mesure de fournir des éléments suffisants.
Compétence : L’ICO a pu prononcer ces mesures parce que la loi sur la protection des données de 2018 votée par le Parlement britannique, le Règlement général sur la protection des données (RGPD) et le PECR lui confèrent des responsabilités et le pouvoir d’infliger des amendes pouvant aller jusqu’à 500 000 £ (un peu plus de 550K euros) au responsable de traitement.
Ce qu’il faut retenir : Le chef des enquêtes de l’ICO rappelle que les lois sur le démarchage sont claires et qu’il restera vigilant face aux “comportements négligents qui mettent en danger les droits à l’information des personnes”. En tout état de cause, ces mesures démontrent une fois de plus que les autorités européennes ne sont plus dans une philosophie de pédagogie, mais bien de condamnation en cas de non-respect de la vie privée et qu’il est impératif d’obtenir et de conserver les preuves des consentements des personnes.
Pour en savoir plus : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/09/ico-fines-company-flouting-the-law-in-order-to-profiteer-from-the-coronavirus-pandemic/
# 18/12/2020 – CNIL – Sanction d’Amazon Europe Core (société de droit luxembourgeois – filiale du Groupe Amazon ayant comme activité l’exploitation des sites web européens Amazon) pour 2 manquements relatifs au dépôt de cookies et à l’obligation d’information des utilisateurs >> Amende de 35M€
Les faits :
La société AMAZON EUROPE CORE exploite, pour les besoins de ses activités notamment en France, le site web www.amazon.fr.
Entre décembre 2019 et mai 2020, la CNIL a mené 4 opérations de contrôles, 3 en ligne portant sur le site Amazon.fr et 1 dans les locaux de la société AMAZON ONLINE France SAS, établissement français du groupe AMAZON. L’objectif de ces investigations était de vérifier le respect par la société des dispositions de la loi Informatique et Libertés relatives aux cookies déposés sur les terminaux des utilisateurs résidant en France lors de leur visite sur le site web www.amazon.fr.
Ces vérifications ont permis de constater que lorsqu’un internaute se rendait sur ce site, des cookies, dont plusieurs poursuivaient un objectif publicitaire, étaient automatiquement déposés sur son ordinateur, sans aucune action de sa part et sans aucune information adéquate.
Compétence de la CNIL :
1/ Matérielle : la CNIL est matériellement compétente en matière de dépôt de cookies par les sociétés sur les ordinateurs des utilisateurs résidant en France, qui plus est via un site en .fr. Elle peut ainsi contrôler et sanctionner ces dépôts. Par ailleurs, le mécanisme de “guichet unique” prévu par le RGPD et qui reconnaît la compétence de l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise (établie dans plusieurs Etats membres de l’UE) n’a pas été appliqué à cette procédure car les opérations liées à l’utilisation des cookies relèvent de la directive “ePrivacy” intégrée article 82 de la LIL et donnant compétence à la CNIL. Or l’éventuelle application du système de guichet unique à un traitement encadré par la directive ePrivacy fait encore l’objet de discussions pour l’élaboration du projet de règlement ePrivacy, ce qui confirme que le guichet unique prévu par le RGPD n’est pas applicable aux matières régies par la directive ePrivacy (lecture et d’écriture sur un terminal).
2/ Territoriale : la CNIL est territorialement compétente dans la mesure où c’est dans le cadre des activités de la société AMAZON FRANCE (établissement sur le territoire français de la société AMAZON EUROPE CORE) que le recours aux cookies a eu lieu.
Dépôt de cookies sur les terminaux des utilisateurs sans recueil de leur consentement + information délivrée jugée incomplète ou inexistante
Plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur les équipements des utilisateurs lorsqu’ils se rendaient sur l’une des pages du site amazon.fr. Ces cookies étaient déposés sans la moindre action de la part des internautes avec un bandeau d’information dont la rédaction a été considérée comme insuffisante pour recueillir le consentement et incomplète pour informer les utilisateurs de toutes les caractéristiques et conséquences du dépôt de ces cookies.
# Sur la finalité publicitaire des cookies déposés : Dans la mesure où les cookies publicitaires n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne, ils ne peuvent pas être déposés ou lus sur le terminal de la personne tant qu’elle n’a pas fourni son consentement.
# Sur le bandeau de consentement : « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».
Le bandeau d’information utilisé par la société ne contenait aucune information précise s’agissant des moyens mis à disposition des utilisateurs pour exprimer leur choix quant à l’inscription de cookies ni ne faisait état des moyens dont dispose l’internaute pour refuser l’inscription de cookies. Les traceurs étaient déposés avant toute action de l’internaute. Le bandeau a par ailleurs été considéré comme une décrivant de manière trop générale et approximative les finalités de l’ensemble des cookies déposés. Qui ne mettait pas l’utilisateur en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement.
# Sur le système de recueil de consentement : Le paramétrage du navigateur peut, dans certains cas, constituer un mécanisme valable de recueil du consentement, encore faut-il que l’utilisateur soit préalablement informé qu’il dispose de cette possibilité et donc que les cookies ne soient pas déposés avant qu’il ait pu le savoir.
# Sur l’information délivrée :
– A l’utilisateur se rendant sur le site www.amazon.fr par le biais de la page d’accueil : Les liens Cookies présents en pied de page ne constituent pas une modalité d’information satisfaisante dans la mesure où les cookies sont déjà déposés avant toute action de l’utilisateur, privant ainsi l’information de son caractère préalable.
– A l’utilisateur se rendant sur le site www.amazon.fr via une annonce publicitaire publiée sur un site tiers : Il ne peut être raisonnablement attendu de l’utilisateur auquel est présentée une publicité qu’il ait le réflexe de cliquer sur une icône de taille réduite avant de cliquer sur la publicité elle-même. Cette icône ne permet pas aux personnes regardant la publicité de savoir qu’une information relative aux cookies est disponible à condition de cliquer dessus. De plus, la page vers laquelle l’icône renvoie permet seulement à l’utilisateur de cocher une case afin que ne soient plus affichées de la part d’Amazon de publicités basées sur ses centres d’intérêts. La page ne contient pas d’informations sur la finalité des cookies installés et sur les moyens dont l’utilisateur dispose pour s’y opposer. Seul un lien vers la page Cookies du site est présent. Aucune autre information n’est délivrée quant au droit dont dispose l’utilisateur de refuser ces cookies.
Décision : La CNIL confirme les manquements aux dispositions de la LIL. En effet, en inscrivant des cookies sur les terminaux des utilisateurs situés en France avant toute action de leur part et sans leur fournir les informations nécessaires, la société les a privés de la possibilité de consentir à ce dépôt de cookies.
Par ailleurs, malgré les modifications effectuées par la société sur le site www.amazon.fr après la réception du rapport de sanction et le fait que plus aucun cookie ne soit déposé avant que l’utilisateur n’ait donné son consentement, la CNIL a considéré que le nouveau bandeau d’information déployé : “Choisir vos préférences en matière de cookies. Nous utilisons des cookies et des outils similaires pour faciliter vos achats, fournir nos services, pour comprendre comment les clients utilisent nos services afin de pouvoir apporter des améliorations, et pour présenter des annonces. Des tiers approuvés ont également recours à ces outils dans le cadre de notre affichage d’annonces Ce bandeau contient en outre deux boutons Accepter les cookies et Personnaliser les cookies”, ne permettait toujours pas aux internautes de comprendre la finalité publicitaire des cookies et ne délivrait toujours pas une information claire et complète permettant aux utilisateurs de les refuser.
Sanction : Compte tenu de ce qui précède et même si la CNIL reconnaît les démarches de la société pour se mettre en conformité, la formation restreinte a prononcé une injonction assortie d’une astreinte journalière sur ce dernier point à en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu, soit 3 mois à compter de la notification de la décision, la société devra payer une pénalité financière de 100K€ par jour de retard.
Sur le montant de l’amende : La gravité des manquements constatés justifie une amende administrative de 35 millions d’euros (soit environ 0.4% de son chiffre d’affaires). Les facteurs suivants ont été pris en compte :
# la portée des cookies déposés : une vingtaine de sociétés spécialisées dans la publicité personnalisée procédait, lors de la visite d’un internaute sur le site, au dépôt de cookies dont le but était de suivre la navigation et d’afficher ultérieurement de la publicité correspondant au comportement de cet internaute ;
# l’ampleur des traitements mis en œuvre grâce au dépôt préalable de cookies ;
# le nombre de personnes concernées : environ 300 millions d’identifiants AMAZON (qui peuvent aider dans la collecte de données considérées sensibles) ont été attribués en France sur une période de 9 mois, un volume qui reflète la place centrale occupée par le site www.amazon.fr dans le quotidien des personnes résidant en France ;
# le CA mondial réalisé pour l’année 2019 par la société (d’environ 7,7 milliards€) : même si son activité principale consiste dans la vente de biens de consommation, la personnalisation des annonces permet d’augmenter considérablement la visibilité de ces biens et la probabilité qu’ils soient achetés. En déposant des cookies sur les terminaux des utilisateurs sans les informer clairement et sans leur consentement, la société a éliminé le risque que ces cookies soient refusés. Dès lors, elle a tiré de ces 2 manquements un avantage financier certain.
Publication de la décision : En raison de la gravité des manquements, ainsi que la place prépondérante occupée par la société en matière de commerce en ligne.
Ce qu’il faut retenir :
# Avant de procéder au dépôt de cookies qui ne sont pas considérés nécessaires à la fourniture d’un service en ligne et dont la finalité dépasse l’objectif de faciliter ou permettre la communication par voie électronique, sur un terminal, il convient de recueillir préalablement le consentement réel de l’utilisateur, avec une information préalable, claire et complète de l’internaute.
# Le mécanisme de recueil de consentement valable, se divise en 2 étapes :
– l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau, des finalités précises des cookies utilisés et de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
– les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience.
# La simple poursuite de la navigation comme modalité valable d’expression du consentement n’est plus d’actualité.
# L’argument selon lequel les utilisateurs récurrents qui cliquent sur une publicité ont déjà reçu antérieurement une information sur l’inscription de cookies (en visitant ou achetant un produit sur un site) n’exempte pas le responsable de traitement de ses obligations en matière de dépôt de cookies lors d’une toute première visite sur le site.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729
#14/12/2020 – Suède (SDPA) – une société de logement sanctionnée pour vidéosurveillance illégale au sein d’un immeuble >> 30K€
Les faits : Une plainte a été déposée auprès de l’autorité suédoise par un habitant d’un immeuble car une caméra de vidéosurveillance, filmant 24h/24 entre le 25 février 2020 et le 14 mai 2020, était placée en direction de sa porte d’entrée. La DPA a réalisé un contrôle duquel est ressorti que le champ de la caméra couvrait effectivement la porte d’entrée du plaignant et celle d’un autre résident qui a été victime de harcèlement.
Manquement à l’obligation de traitement proportionné à la finalité : La société utilisait cette vidéosurveillance au rez-de-chaussée afin de pallier les perturbations survenues dans la cage d’escalier de l’immeuble. Cependant, la DPA relève que les caméras sont dirigées vers les portes d’entrées des résidents et filment également leurs voisins. Les personnes sont filmées sur le chemin les menant à leur domicile, leur environnement domestique, il s’agit d’une intrusion particulièrement sensible en ce qui concerne leur vie privée.
Décision : La société aurait dû mettre en balance ses intérêts et le respect de la vie privée des personnes. Bien qu’elle ait un intérêt légitime, la vidéosurveillance est bien trop intrusive au regard de la vie privée des personnes. La DPA décide donc d’infliger une amende à la société qui a cessé cette vidéosurveillance en cours de procédure.
Sanction : La DPA sanctionne la société d’une amende de 30K€.
Ce qu’il faut retenir : Il est nécessaire de mettre en balance les intérêts respectifs entre le traitement de données qui va être effectué et l’impact sur la vie privée des personnes que ce traitement peut avoir. Le fait de filmer une personne dans son environnement domestique est trop intrusif au regard de la finalité qui est de pallier les perturbations dans les cages d’escalier.
Pour en savoir plus : https://www.imy.se/globalassets/dokument/beslut/2020-12-14-beslut-tillsyn-uppsalahem.pdf
#09/12/2020 – UODO (Pologne) – La société Smart Cities sanctionnée pour manque de coopération avec l’autorité Polonaise >> 3K€
Les faits :
L’UODO a reçu une plainte d’une personne concernant le traitement de ses données personnelles par Smarts Cities. L’UODO a donc demandé à la société Smart Cities, par une lettre en juin 2019, de commenter la plainte du plaignant notamment en indiquant la base légale du traitement, la finalité du traitement et si la société a conclu un accord avec une société tierce à qui elle aurait transmis les données et dans quel but. La société a répondu de manière incomplète à la première lettre de l’UODO, notamment concernant le contrat avec le tiers. Puis, elle n’a pas répondu aux deux autres lettres qui ont suivi, alors qu’elle avait accusé réception de la seconde de mai 2020 qui demandait des informations sur l’accord avec le tiers et n’a pas réceptionnée la troisième lettre d’août 2020, qui lui ordonnait de fournir immédiatement les informations manquantes.
Manquement au devoir de coopération :
Afin que l’UODO exerce ses missions, elle dispose d’un certain nombre de pouvoirs issus du RGPD, notamment celui d’ordonner au responsable de traitement et au sous-traitant de fournir toutes les informations nécessaires à l’exécution de ses missions et d’obtenir du responsable de traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’exécution de ses missions.
La société Smart Cities n’a pas répondu, ou que partiellement, aux courriers lui demandant expressément des informations. Elle a entravé et empêché l’exécution des missions de l’UODO, notamment sa mission d’information de l’état d’avancement de la procédure du plaignant.
Décision :
Le 9 Décembre 2020, l’UODO sanctionne la société d’une amende.
Sanction :
L’amende est d’environ 12000 PLN soit 3K€. La société n’a pas communiqué ses informations financières, l’UODO s’est donc basée sur la taille estiméede la société et ses activités (spécificités, étendue) pour évaluer le montant de l’amende.
Ce qu’il faut retenir :
Les responsables de traitement et les sous-traitants ont un devoir de coopération envers les autorités de contrôle. Un manquement à cette seule obligation peut entraîner une sanction.
Pour en savoir plus : https://www.uodo.gov.pl/pl/138/1867
# 08/12/2020 – CNIL – La société Nestor condamnée pour prospection commerciale illégale, l’intérêt légitime n’est pas une base légale de prospection B2C >> amende de 20K€
Les faits : La société NESTOR est une société de préparation et de livraison de repas à destination d’employés de bureaux. Les repas sont commandés sur le site web de la société ou via une application mobile. Environ 170 000 comptes clients ont été créés.
La CNIL a été saisie de 4 plaintes par des personnes non-clientes de la société car elles ont reçu des courriels de prospection (offres commerciales et menus proposés par la société) sans avoir donné leur consentement et qui pour certaines continuaient de les recevoir malgré leur opposition. Selon les plaignants, la société aurait reconstitué leur adresse électronique sur la base du format de l’adresse électronique de leur entreprise à partir des données diffusées sur le réseau social professionnel de la société. Environ 653 000 personnes ont reçu des messages de prospection sans y avoir consenti.
Dès mai 2019, la formation restreinte de la CNIL a réalisé un contrôle en ligne et ainsi vérifié les données renseignées par les personnes lors de leur inscription, les informations relatives à la protection des données à caractère personnel fournies aux personnes concernées ainsi que les mesures de sécurité mises en place par la société s’agissant des mots de passe associés aux comptes. Elle a ensuite réalisé un contrôle sur place. C’est dans ce cadre qu’elle a relevé plusieurs manquements au RGPD et au Code des postes et des communications électroniques (CPCE).
Manquement à l’obligation de recueillir le consentement :
La société constituait ses bases de prospects avec les données à caractère personnel accessibles en ligne sur la page d’un réseau social professionnel d’une société. Pour cela, elle travaille avec deux sociétés. L’une des sociétés établit des listes de prospection avec les noms et prénoms des prospects associés à la dénomination de l’entreprise où ces personnes travaillent, NESTOR récupère le fichier et l’envoie à l’autre entreprise qui l’enrichit en ajoutant l’adresse électronique professionnelle des personnes. Ensuite, avec ce fichier, NESTOR envoie des mails de prospection commerciale. Certaines personnes, à la suite de la réception des mails, créent un compte sur le site web ou l’application de la société. La société prétendait que la base légale du traitement était son intérêt légitime du fait qu’il s’agirait d’une prospection intervenant dans la cadre professionnel des personnes (adresse de courriel professionnelle, livraison dans les locaux professionnels, aux heures d’exercice de l’activité professionnelle du client, etc.). Cependant, la CNIL a considéré que NESTOR ne respecte pas l’article L34-5 du CPCE qui prévoit que le consentement est la base légale de la prospection commerciale. De plus, le seul fait de créer un compte sur le site web ou l’application de l’entreprise ne suffit pas à autoriser de la prospection commerciale, le consentement doit être recueilli préalablement et dans les formes.
Manquement à l’obligation d’informer les personnes concernées :
La CNIL relève que, sur le site web, l’information aux personnes est incomplète et elle n’est pas accessible aisément. Le formulaire d’inscription sur le site web de la société ne comporte pas toutes les informations nécessaires ou ne renvoie pas vers une page contenant l’intégralité des informations obligatoires. La politique de confidentialité est incomplète (durée de conservation des données personnelles des prospects, base légale de chaque traitement, explication de l’intérêt légitime) ou imprécise s’agissant des destinataires des données : la société doit a minima informer les personnes des catégories de destinataires.
Concernant l’application, aucune information sur la protection des données à caractère personnelle n’est mentionnée.
Manquement à l’obligation de respecter le droit d’accès des personnes concernées :
La société n’a pas fourni une copie des données et l’information relative à la source des données aux personnes ayant effectué une demande d’accès. De plus, la société a répondu 5 mois après à l’une des personnes concernées.
Manquement à l’obligation d’assurer la sécurité des données :
Concernant les mots de passes, la CNIL a pu constater qu’il était possible de créer un compte sur l’application avec un mot de passe à un seul caractère et sur le site web avec 6 caractères seulement.
Décision : La CNIL considère que la société a fait preuve d’une négligence grave en constituant sa base de prospects de cette manière, d’autant plus vu le nombre de personnes concernées. Outre les 1ers efforts effectués pour rectifier la situation, elle enjoint la société de se mettre en conformité dans un délai de 3 mois en rapportant la preuve de la suppression de la base de données illicite des prospects, démontrant sa conformité concernant le respect du droit des personnes.
Sanction : A ce titre, la CNIL prononce une amende de 20K€ à l’encontre de NESTOR avec une astreinte de 500€ par jour de retard. La CNIL a pris en compte la situation financière de la société en raison de la crise sanitaire pour prononcer le montant de l’amende.
Motif de la publication : La CNIL décide de publier la décision en raison de la pluralité des manquements, de leur persistance et de leur gravité. Elle ajoute que la pratique de la société concernant la prospection commerciale sans recueillir le consentement des personnes justifie la publication de la décision.
Ce qu’il faut retenir : La CNIL rappelle qu’une sanction peut être prononcée même s’il a été remédié aux manquements constatés. Elle affirme que la base légale de la prospection commerciale est le consentement lorsqu’elle est basée sur les coordonnées d’une personne physique. Elle explique également une nouvelle fois l’importance de la complexité des mots de passe pour assurer la sécurité des données et en particulier que s’agissant d’authentification qui repose uniquement sur un identifiant et un mot de passe, recommande (depuis 2017 déjà) que le mot de passe comporte au minimum 12 caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou alors comporte au moins 8 caractères – contenant 3 de ces 4 catégories de caractères – s’il est accompagné d’une mesure complémentaire (temporisation d’accès au compte après plusieurs échecs – suspension temporaire de l’accès dont la durée augmente à mesure des tentatives -, mécanisme contre les soumissions automatisées et intensives de tentatives – captcha -,blocage du compte après plusieurs tentatives d’authentification infructueuses.
Pour en savoir plus : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042848036
#07/12/2020 – France (CNIL) – Performeclic sanctionnée pour prospection illégale >> 7.3K€
Les faits :
La société Performeclic a pour activité l’envoi d’ e-mails de prospection commerciale.. Le 12 juin 2019, l’association SIGNAL SPAM a signalé à la CNIL les agissements de la société car les messages de la société ont faits l’objet entre le 1er janvier et le 11 juin 2019 de 163 000 signalements comme des SPAM auprès de l’association. Dès le 18 septembre 2019 la CNIL a procédé à 2 contrôles sur place, dans les locaux de la société, situés au domicile privé de son gérant, puis a sollicité une audition, lors desquels elle a relevé plusieurs manquements.
Sur la compétence de la CNIL :
Performeclic a vainement tenté d’argumenter sur le fait que la CNIL n’était pas compétente pour cette affaire sachant que les activités opérationnelles de la société étaient mises en œuvre depuis le Maroc et que, dans un futur proche, il comptait mettre un terme aux activités de la société en France pour les réaliser dans leur intégralité depuis le Maroc. Ceci étant, la société en cause étant établie en France immatriculée au RCS de Pontoise, disposant de locaux en France, éditant un site web rédigé en français et adressant ses messages de prospection au seul public français, le RGPD et la loi française sont applicables à ses traitements de données personnelles et la CNIL compétente.
Sur la qualité de responsable de traitement :
Performeclic doit être considérée comme responsable de traitement dans la mesure où elle détermine les moyens essentiels du traitement et ses finalités de prospection commerciale par courrier électronique:
– elle s’engage contractuellement vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des courriels publicitaires de la part de personnes tierces et est rémunérée pour ce faire par ses partenaires,
– elle est elle-même propriétaire de la base de données utilisée dans le cadre des campagnes de prospection (les annonceurs et agences web ne fournissant pas les données des prospects à contacter et n’ayant pas accès aux données utilisées),
– elle définit les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées.
Manquement à l’obligation de recueillir le consentement :
Selon le Code des postes et des communications électroniques, la prospection commerciale directe par un système automatisé de communication électroniques est interdite si la personne concernée n’a pas consenti. L’enquête a permis de déterminer que Performeclic détient une base de 20 millions d’adresses e-mail qu’elle aurait achetée auprès d’une autre société. La société n’a pas rapporté la preuve qu’elle a bien recueilli le consentement préalablement à ses envois de messages, de même pour la société qui lui a vendu les données.
Manquement à l’obligation de minimisation des données :
Des données telles que les code postal et numéro de téléphone étaient renseignées sur la fiche des prospect. Le code postal était effectivement utilisé pour cibler l’envoi des mails en fonction de la localisation des personnes, cependant, le numéro de téléphone n’était pas utilisé pour le traitement et n’aurait pas dû apparaître dans la base de données.
Manquement à l’obligation d’appliquer des durées de conservation des données :
La société gardait pendant plus de 3 ans les données de plus de 5 millions de prospects uniquement du fait qu’ils avaient ouvert le courrier de prospection. Le délai de conservation ne peut débuter au jour de l’ouverture du courrier par le prospect car cela ne reflète pas son intérêt pour les produits/services proposés. La société doit s’assurer d’un intérêt effectif car elle n’a pas acquis elle-même les données mais les a achetés auprès d’un tiers. Les prospects n’ont donc pas le même lien avec la société étant donné qu’ils ne sont pas clients.
Manquement à l’obligation d’information :
La mention d’information au bas des messages transmis n’était pas assez complète, elle ne comportait pas toutes les informations exigées par l’article 14 du RGPD et en particulier ne précise pas l’identité du responsable de traitement, la base juridique, les catégories de données personnelles concernées, la durée de conservation des données, l’ensemble des droits des personnes (en particulier le droit à la portabilité et le droit à la limitation du traitement), le droit d’introduire une réclamation auprès d’une autorité de contrôle et la source d’où proviennent les données, sachant que celles-ci proviennent d’une collecte indirecte. Par ailleurs, elle ne renvoyait pas vers des mentions plus complètes.
Manquement au respect des droits des personnes concernées :
Au bas de chaque mail un lien était présent pour s’opposer à l’envoi de mails. Lorsque la personne se désabonnait, elle n’était en pratique désabonnée que pour la campagne en cours mais pas pour les autres campagnes ultérieures. Pour être désinscrites de toutes les campagnes les personnes devraient répondre au mail ou remplir un formulaire en ligne, sans toutefois être informées de l’existence de ces 2 derniers moyens de désabonnement, ni jamais être invitée à les utiliser et à exercer leur droit d’opposition autrement qu’en cliquant sur le lien.
Manquement à l’obligation d’encadrer sa relation contractuelle avec le sous-traitant :
Performeclic avait délégué l’envoi des e-mails à une agence marketing avec laquelle un contrat avait été conclu mais ne comprenant pas toutes les clauses exigées par l’article 28 du RGPD, en particulier le fait que le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues et permettre la réalisation d’audits.
Décision :
La CNIL décide de sanctionner la société d’une amende et sachant qu’au jour de la délibération, Performeclic n’a pris aucune mesure pour se conformer au RGPD la CNIL décide également d’une injonction de se mettre en conformité pour tous les manquements précités dans un délai d’1 mois et demi.
Sanction :
La CNIL prononce une amende de 7.3K€ au regard du nombre particulièrement important de personnes concernées (20 millions d’adresses dans la base de données).
Le CA de l’entreprise étant de 182 672€ en 2019, cette amende en représente 4% ce qui correspond à l’amende la plus élevée possible.
Publication :
La décision est rendue publique en raison de la gravité de certains manquements.
Ce qu’il faut retenir :
Si l’envoi de mailing en masse est devenu courant dans le domaine de la prospection commerciale, il s’agit clairement d’une activité entrainant des obligations majeures pour le respect de la vie privée, avec un regard à porter particulièrement sur la licéité du traitement ( minimisation, preuve de l’obtention des consentements), l’information des personnes et le respect de leurs droits, ainsi que l’encadrement contractuel.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042774286?isSuggest=true
# 07/12/2020 – CNIL – Sanction de GOOGLE LLC et de GOOGLE IRELAND LIMITED (services technologiques – filiales de la société ALPHABET) pour trois manquements concernant les cookies, l’information des utilisateurs et le respect du mécanisme d’opposition >> Amendes respectives de 60 millions d’euros et de 40 millions d’euros
Les faits :
La société GOOGLE LLC (GLLC), établie en Californie, propose des services à destination des particuliers et des entreprises (moteur de recherche, boîte de courrier électronique, service de cartographie, plateforme de vidéos) et détient 100% de la filiale société GOOGLE FRANCE SARL, établie à Paris. La société GOOGLE IRELAND LIMITED (GIL), établie à Dublin, est présentée comme le siège du groupe GOOGLE pour ses activités dans l’espace économique européen et en Suisse.
Le 16 mars 2020, les services de la CNIL ont procédé à un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, plusieurs cookies (environ 7) étaient automatiquement déposés sur son terminal, sans aucune action de sa part.
Plusieurs questions ont été soulevées dans le cadre du procès-verbal dont celle relative à la détermination du responsable du traitement en matière de dépôt de cookies dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Google Search.
Sur la détermination du responsable de traitement
Malgré l’existence d’un contrat de sous-traitance conclu entre GIL et GLCC, la CNIL a considéré les deux sociétés comme responsables conjointes du traitement en matière de dépôt de cookies dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search. En effet, en pratique, elles déterminent les finalités et les moyens de ce traitement.
Pour les qualifier ainsi, la CNIL a pris en compte les facteurs suivants :
La société GIL :
– participe au développement et à la supervision des politiques internes qui guident les produits et leur conception, à la mise en place des paramètres, à la détermination des règles de confidentialité et à toutes les vérifications réalisées avant le lancement des produits, en application du principe privacy by design,
– applique des durées de conservation des cookies plus courtes par rapport à d’autres régions du monde,
– limite l’étendue des traitements liés à la personnalisation de la publicité en Europe par rapport au reste du monde en faisant le choix de ne pas utiliser certaines catégories de données pour effectuer de la publicité personnalisée ou de ne pas mettre en place de publicité personnalisée pour les enfants mineurs au sens du RGPD.
La société GOOGLE LCC :
– conçoit et construit la technologie des produits Google,
– participe aux différentes étapes et instances liées à la définition des modalités de mise en œuvre des cookies déposés sur Google Search,
– dispose d’un délégué à la protection des données et de DPO adjoints qui sont basés en Californie en qualité d’employés de la société GOOGLE LCC,
– agit théoriquement en qualité de sous-traitant de la société GIL dans le traitement des données des utilisateurs européens recueillies via les cookies,
– agit en pratique en qualité de responsable de traitement dans la mesure où son implication réelle dans le traitement va au-delà de celle d’un sous-traitant,
– malgré, la prise d’effet du contrat de sous-traitance, continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause,
– détermine les moyens du traitement en concevant et construisant la technologie des cookies déposés sur les terminaux des utilisateurs européens.
Sur le défaut d’information des utilisateurs du moteur de recherche
# Finalité de 4 des 7 cookies déposés : Publicitaire
# Bandeau d’information utilisé : Lors de l’arrivée sur la page google.fr, le bandeau d’information suivant s’affichait en pied de page : “Rappel concernant les règles de confidentialité de Google”. En face de cette mention, figuraient 2 boutons intitulés “Me le rappeler plus tard” ou “consulter maintenant”. Les règles de confidentialité s’ouvraient dans des fenêtres surgissantes lorsque les personnes cliquaient sur le bouton “Consulter maintenant”.
# Information délivrée par 2 niveaux, selon la société GIL : Dans le parcours de navigation, 2 niveaux d’informations étaient disponibles :
– 1er niveau d’information : redirigeait les utilisateurs vers le reste des informations, notamment celles relatives aux cookies.
– 2nd niveau : informations spécifiques sur le traitement des cookies, à savoir leurs finalités et moyens mis à la disposition de l’utilisateur pour s’y opposer.
Appréciation par la CNIL
# Sur le bandeau d’information : Le simple renvoi aux règles de confidentialité n’était pas suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation.
# Sur l’information délivrée : Les règles de confidentialité qui s’ouvraient dans des fenêtres surgissantes lorsque les personnes cliquaient sur le bouton Consulter maintenant ne contenaient aucun développement dédié à l’usage des cookies et autres traceurs. Les personnes n’étaient pas informées à ce stade qu’elles pouvaient refuser les cookies sur leur équipement terminal. L’architecture informationnelle mise en place était telle que pour y parvenir l’utilisateur devait comprendre par lui-même qu’il lui fallait faire défiler le contenu de toute la fenêtre surgissante, sans cliquer sur l’un des 5 liens hypertextes figurant dans ce contenu, pour finalement cliquer sur le bouton Autres options figurant tout en bas de la fenêtre.
→ L’information fournie par les sociétés dans le cadre du bandeau et de la fenêtre surgissante ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur l’existence de dépôts de cookies sur leurs terminaux ni de la finalité de ceux-ci et des moyens mis à leur disposition quant à la possibilité de les refuser.
Après le début de la procédure de sanction, les sociétés ont procédé à des modifications sur la manière dont elles utilisaient les cookies en fournissant une nouvelle information aux utilisateurs dès lors qu’ils se rendent sur le site google.fr et, avant qu’ils accèdent au moteur de recherche : Une fenêtre surgissante intitulée Avant de continuer contenait la mention suivante : “Google utilise des cookies et d’autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. Certains de nos partenaires évaluent également la façon dont nos services sont utilisés. Cliquez sur “Plus d’informations” pour découvrir les options qui s’offrent à vous ou consultez la page g.co/privacytools à tout moment , les termes cookies, partenaires et g.co/privacytools étant des liens cliquables.”
En bas de cette fenêtre surgissante, figuraient deux boutons intitulés “Plus d’informations et J’accepte.”
Appréciation par la CNIL de ces modifications :
– les sociétés fournissent, grâce à ces mentions, une information préalable relative aux cookies dans la mesure où les utilisateurs, se rendant sur la page google.fr, sont désormais ouvertement et directement informés du fait que les sociétés recourent à des cookies.
– Cependant, la nouvelle information délivrée n’est toujours pas claire et complète dans la mesure où elle ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer,
– le bandeau demeure trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés,
– l’utilisateur n’est pas en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement.
Sur le dépôt de cookies sans recueil préalable de consentement de l’utilisateur
Puisque 4 des 7 cookies déposés sur les terminaux des utilisateurs sans aucune action de leur part avaient une finalité publicitaire, la formation restreinte a considéré que les sociétés avaient l’obligation de recueillir préalablement le consentement des utilisateurs avant de procéder au dépôt de ces cookies.
Sur la défaillance partielle du mécanisme d’opposition
La CNIL a jugé que le dispositif mis en place par les sociétés pour s’opposer aux cookies à finalité publicitaire était partiellement défaillant.
En effet, pour désactiver la personnalisation des annonces, les internautes devaient cliquer sur le bouton Consulter maintenant présent sur le bandeau d’information en pied de la page google.fr et ensuite utiliser les boutons glissants qui apparaissaient sous l’onglet Modifier les paramètres des annonces au sein de la fenêtre surgissante. Ensuite, une nouvelle fenêtre s’affichait leur demandant de confirmer leur choix et leur précisant que des annonces continueraient de s’afficher mais qu’elles ne seraient plus personnalisées.
Or, en poursuivant la navigation sur le site, au moins 1 des cookies à finalité publicitaire et n’appartenant pas à la catégorie des cookies dits opposition (lesquels demeurent stockés sur le terminal de l’utilisateur pour indiquer au serveur du domaine auquel ils sont liés que l’utilisateur a exprimé son refus à des dépôts futurs de cookies identiques) demeurait stocké sur l’équipement terminal, malgré ces manipulations.
Compte tenu de ce qui précède, la CNIL a considéré que les sociétés ne mettaient pas en place un mécanisme effectif permettant aux utilisateurs de refuser ou de ne plus lire les cookies nécessitant leur consentement.
Décision : par délibération du 7 décembre 2020, la CNIL confirme que les manquements aux dispositions de la loi Informatique et Libertés sont caractérisés. L’Autorité souligne toutefois que durant la procédure de sanction, les sociétés ont apporté des modifications à la page google.fr, qui ont conduit à l’arrêt du dépôt automatique des cookies à finalité publicitaire dès l’arrivée de l’internaute sur la page.
Toutefois, puisque l’état de l’information fournie aux utilisateurs par les sociétés au moment de la décision de la CNIL n’obéissait toujours pas aux dispositions applicables en matière de dépôts de cookies, la formation restreinte a prononcé une injonction assortie d’une astreinte journalière → En cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu, soit 3 mois à compter de la notification de la décision, la société devra payer une pénalité financière de 100K€ par jour de retard.
Sur le montant de l’amende : La gravité des manquements constatés a justifié les amendes administratives de 60 millions d’euros infligée à la société GOOGLE LCC (soit 0.05% de son chiffre d’affaires) et de 40 millions d’euros à la société GIL (soit 0.11% de son chiffre d’affaires). Les facteurs suivants ont été pris en compte :
– la portée considérable en France du moteur de recherche Google Search, à partir duquel sont déposés les cookies en cause : le moteur dispose d’une part de marché supérieure à 90% dominant ainsi le marché de la recherche en ligne,
– le nombre de personnes concernées par le traitement : le moteur Google Search comptabilisait au moins 47 millions d’utilisateurs en France (l’équivalent de 70% de la population française),
– la structuration du marché de la recherche en ligne : les utilisateurs étaient privés de la possibilité de choisir entre des modalités de recherche préservant davantage la confidentialité de leurs données et des modalités permettant une meilleure personnalisation du service, réduisant leur autonomie informationnelle,
– le rôle joué par les moteurs de recherche dans l’accès à l’information et la position dominante du moteur de recherche qui donne une valeur sans égale aux cookies déposés par les sociétés à partir de ce moteur (assurant ainsi aux sites tiers de toucher le maximum d’utilisateurs)
– les bénéfices du groupe GOOGLE : le groupe réalise l’essentiel de son chiffre dans 2 principaux segments du marché de la publicité en ligne (par affichage et contextuelle) dans lesquels les cookies jouent un rôle indéniable,
– le chiffre d’affaires des sociétés, soit 38 milliards d’euros en 2018 pour la société GIL et 160 milliards de dollars en 2019 pour la société GOOGLE LLC,
– le montant du bénéfice tiré par le groupe GOOGLE de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée sur des internautes français : puisque les sociétés n’ont pas fourni cette information, une approximation proportionnelle a été faite (la France contribuerait entre 580 et 640 millions d’euros (au taux de change actuel) au résultat net annuel de la société-mère, ALPHABET, du groupe.
Ce qu’il faut retenir :
# La coopération avec une Autorité de protection des données pour mettre fin à un manquement et en atténuer les éventuels effets négatifs n’est prise en compte comme circonstance atténuante permettant de diminuer l’amende initialement envisagée que lorsque le responsable de traitement :
– s’est préalablement acquitté de ses obligations,
– a satisfait de manière particulièrement diligente aux demandes de l’autorité de contrôle pendant la phase d’enquête et,
– a mis en œuvre toute mesure en son pouvoir permettant de réduire au maximum l’incidence du manquement sur les personnes concernées ;
# Ce n’est pas parce qu’un contrat entre 2 entités prévoit une qualification de sous-traitance que celle-ci est prise en compte par la CNIL qui vérifie en pratique qui détermine les moyens et finalités de traitement, pouvant aboutir comme c’est la cas ici à une qualification de co-responsabilité.
# Plusieurs étapes doivent être assurées avant de procéder au dépôt de cookies sur les interfaces des utilisateurs : information préalablement fournie de manière claire, complète et facilement accessible – recueil du consentement après s’être assuré du respect de cette information – mise en place d’un mécanisme d’opposition à 100% efficace.
Publication des décisions : La gravité des manquements, ainsi que la portée du traitement et le nombre de personnes concernées justifient la publicité de la décision (pour une durée de 2 ans).
Pour en savoir plus :
https://www.legifrance.gouv./cnil/id/CNILTEXT000042635706
# 04/12/2020 – Cour de Cassation – La chambre sociale semble avoir tranché entre protection de la vie privée et protection du secret professionnel
Les faits : La société Petit Bateau a procédé au licenciement d’une de ses salariées, pour faute grave, sur la base d’une photographie (obtenue via une autre de ses employées) montrant le compte Facebook personnel de la salariée licenciée sur lequel elle avait publié une photographie de la nouvelle collection printemps/été 2015, alors présentée exclusivement aux commerciaux de la société.
En publiant cette photo sur son réseau social, elle a commis une faute professionnelle, à savoir le manquement à une obligation contractuelle de confidentialité.
Après avoir fait procéder à un constat d’huissier sur l’identité du titulaire du compte, l’employeur a produit ladite photo afin de prouver l’existence d’un préjudice causé par cette divulgation auprès de potentiels professionnels concurrents.
Décision : Après avoir rejeté le pourvoi formé par la salariée, la chambre sociale de la Cour de cassation a jugé que cette production par l’employeur de la photo portait une atteinte justifiée à la vie privée de la salariée.
Fondement de la décision : Les articles 6 et 8 de la Convention Européenne des Droits de l’Homme (CEDH) précisent qu’une atteinte à la vie privée peut être justifiée si elle est notamment proportionnée à l’objectif visé, tel que faire valoir un droit à la preuve ou la défense d’un intérêt légitime. Puisque l’employeur a produit les éléments relevant de la vie privée de son ancienne employée dans le but de prouver un manquement à une obligation de confidentialité, cette atteinte à la vie privée de la salariée licenciée, constituée par la publication d’un de ses postes sur un réseau social, est considérée comme justifiée.
Ce qu’il faut retenir : Certes, la vie privée est protégée par de nombreuses sources nationales, européennes et internationales du droit (CEDH, Code civil, DUDH, etc.) et plus récemment par le Règlement Général sur la Protection des Données (RGPD). Ceci étant, tous droit et liberté rencontrent des limites et connaissent des exceptions qui sont également juridiquement aménagées.
Le secret et le devoir professionnel de confidentialité semblent être des exemples de ces exceptions, comme l’a démontré la Cour de Cassation dans cet arrêt.
En effet, face à la liberté d’expression et à la protection de la vie privée, c’est la protection d’une obligation contractuelle et la confidentialité qui ont primé.
Pour en savoir plus :
https://www.courdecassation.fr/jurisprudence_2/chambre_sociale_576/779_30_45529.html
#24/11/2020 – Suède (SDPA) – La municipalité suédoise de Gnosjö sanctionnée pour vidéosurveillance illégale dans un logement LSS >> 20K€
Les faits : Un logement LSS est un foyer pour les personnes souffrant de déficiences fonctionnelles. Le parent de l’un des résidents a porté plainte contre la municipalité car ce résident serait surveillé illégalement. L’autorité a procédé à un contrôle qui a permis de révéler que le résident était vidéosurveillé dans sa chambre de mars 2019 à avril 2020 car il avait mis plusieurs fois sa vie et sa santé en danger et il y avait un risque pour le personnel soignant.
Manquement à la licéité du traitement :
La vidéosurveillance a collecté des données de santé, qui sont des données sensibles au sens du RGPD, elle a notamment dévoilé l’état de santé du patient et sa maladie. De plus, le patient était filmé dans sa plus stricte intimité puisqu’il s’agissait de sa chambre. Le traitement ne reposait sur aucune base légale.
Manquement à l’obligation de mener une analyse d’impact :
Le responsable de traitement aurait dû mener une analyse d’impact préalablement afin d’évaluer les risques sur la vie privée du patient. Le traitement n’était pas raisonnable et proportionné par rapport à la finalité poursuivie. Des mesures alternatives auraient pu être prises.
Manquement à l’obligation d’information :
Le résident n’était pas informé clairement sur ce système de vidéosurveillance.
Décision : La SDPA sanctionne la municipalité d’une amende pour manquement aux obligations d’information, de licéité du traitement et de conduite d’une analyse d’impact préalablement au traitement.
Sanction : La SDPA inflige une amende de 20K€ à la municipalité. Elle a tenu compte du fait que le traitement portait sur des données sensibles dans la sphère privée et sur une personne en situation de dépendance. Elle a également tenu compte de la durée du traitement (environ 1an).
Ce qu’il faut retenir : La vidéosurveillance est un traitement très intrusif, d’autant plus lorsqu’elle se situe dans une sphère intime, une analyse d’impact doit être menée au préalable afin de mettre en balance la finalité poursuivie et le respect de la vie privée des personnes. Par ailleurs, des mesures alternatives moins intrusives doivent être privilégiées de façon proportionnée à l’objectif poursuivi.
Pour en savoir plus : https://www.imy.se/globalassets/dokument/beslut/beslut-tillsyn-gnosjo-2020-11-25.pdf
https://edpb.europa.eu/news/national-news/2020/gdpr-fine-unlawful-video-surveillance-lss-housing_fr
#24/11/2020 – Belgique (BDPA) – Des particuliers sanctionnés pour vidéosurveillance illégale >> 1.5K€
Les faits : Deux personnes ont porté plainte le 26 août 2019 car ils étaient filmés dans leur propriété privée et sur la voie publique, 24h/24, 7j/7, par 5 caméras de surveillance installées sur la propriété privée d’un couple de leurs voisins. Compte-tenu des angles de vue, 2 de ces caméras ont en fait mal été positionnées par la société en charge de l’installation. Ceci étant, les prévenus ont utilisé les images de vidéosurveillances et une photographie prise à l’aide d’un smartphone à des fins de preuves dans le cadre du règlement d’un litige lié au droit de l’environnement contre les plaignants.
Manquement à l’obligation de licéité du traitement : La mise en balance des intérêts permet de démontrer que bien que les deux prévenus aient un intérêt légitime à protéger leur propre propriété privée, le tournage de grandes parties de la voie publique et de la propriété privée des plaignants, n’ont pas été jugés nécessaires pour sauvegarder ces intérêts légitimes. Par conséquent, les données collectées n’étaient pas minimisées et le traitement ne reposait sur aucune base légale, de même que le transfert des images et la captation de photographies.
Décision : La BDPA a infligé une amende aux deux prévenus pour le mauvais placement des caméras et défaut de base légale. Elle rappelle que c’est la personne qui décide d’installer des caméras et de les utiliser qui est le responsable du placement correct de celles-ci et que si la loi prévoit la possibilité d’un transfert d’images à des services de police ou des autorités judiciaires, elle ne l’autorise pas vers un expert dans le cadre d’un litige.
Sanction : Les prévenus ont été sanctionnés d’une amende 1.5K€.
Ce qu’il faut retenir : Le RGPD ne s’applique pas qu’aux entreprises, il s’applique également à toute personne physique dès lors qu’elle traite des données personnelles, notamment l’image de personnes, en dehors du cadre strictement domestique. Une personne qui souhaite surveiller son habitation à l’aide de caméras doit s’assurer de ne filmer que sa propre propriété et si ce n’est pas possible, que la portion de voie publique reprise dans le champ de sa caméra se limite au strict minimum.
Pour en savoir plus : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-74-2020.pdf
https://edpb.europa.eu/news/national-news/2020/belgian-dpa-fine-unlawful-processing-video-images_fr
# 18/11/2020 – CNIL – Sanction de Carrefour Banque (filiale de la maison mère Carrefour S.A. et de BNP Paribas SA) sur la loyauté du traitement, l’information aux personnes et le consentement aux cookies >> Amende de 800K€
Les faits
La CNIL a réalisé un contrôle en ligne, le 5 juillet 2019, suivi d’un contrôle sur place (chez Carrefour S.A.), le 9 juillet 2019 pour vérifier la conformité des traitements opérés via le site web www.carrefour-banque.fr édité par Carrefour Banque et dans le cadre de la commercialisation de la carte Pass, une carte de paiement destinée aux clients du groupe Carrefour et qui peut être reliée au programme de fidélité du groupe (et donc à sa base de données SIEBEL), ainsi qu’un contrôle sur pièces sur la base des éléments demandés et transmis lors de ces opérations d’enquêtes.
En janvier 2020, un rapport détaillé sur les non-conformités relevées a été transmis à Carrefour
Manquement à l’obligation de traitement loyal
Le souscripteur en ligne d’une carte Pass qui souhaite également adhérer au programme de fidélité Carrefour, est informé que dans ce cas et avec son consentement, Carrefour Banque communiquera à Carrefour Fidélité ses nom, prénom et e-mail et s’engage à ne transmettre aucune autre information à Carrefour Fidélité.
Pourtant, la CNIL a constaté que Carrefour Banque transmet également à Carrefour France, son adresse postale ainsi que son ou ses numéros de téléphone et, si disponible, le nombre d’enfants déclarés par le souscripteur.
La CNIL considère donc que l’information fournie était à la fois imprécise et trompeuse, notamment du fait que la mention de Carrefour Fidélité, service rattaché à Carrefour France, ne permettait pas de savoir que les données étaient transférées à une entreprise tierce, à savoir Carrefour France.
Manquement à l’obligation d’information des personnes
Structuration du site – L’information était mise à disposition des utilisateurs du site carrefour-banque.fr par le biais de différents canaux et n’était donc pas aisément accessible.
Nommage des informations – La mention « protection des données bancaires » pour accéder à la politique de confidentialité est trop imprécise puisqu’elle ne fait pas références aux données personnelles traitées d’une manière générale.
Moment de l’information au moment de la collecte – les souscripteurs dans le cadre du parcours de souscription en ligne de la carte Pass sur le site carrefour-banque.fr ne disposaient pas d’une information complète sur le traitement de leurs données sur la page de présentation du parcours de souscription et n’étaient pas, non plus, invités à prendre connaissance d’une information plus complète, par exemple via un lien renvoyant vers des mentions d’information complémentaires. Si les informations de 1er niveau étaient bien accessibles, il manquait visiblement le lien vers les informations complètes, d’autant plus que le mal nommé onglet « Protection des données bancaires » ne figurait pas en pied de page du parcours de souscription en ligne.
Complétude de l’information
Il a été constaté que la politique de confidentialité était incomplète s’agissant des durées de conservation des données, en raison de formulations trop vagues ne permettant pas d’identifier des durées définies ou une absence totale de durée mentionnée (en particulier s’agissant des données de comportement, d’habitudes et de préférences de consommation en ligne collectées via les cookies déposés sur le terminal des utilisateurs depuis le site web).
Sur les Cookies : manque d’information et absence de consentement préalable
31 cookies non exemptés de consentement étaient déposés sur le terminal de l’utilisateur dès la connexion à la page d’accueil du site et avant toute action de sa part. Les finalités de certains cookies étaient incomplètes, en particulier ceux de Google Analytics.
Décision
La CNIL décide d’une amende compte-tenu de la nature, la gravité et la durée de la violation (d’autant que la société a fourni à ses clients une information contraire à la réalité des traitements mis en œuvre) et du nombre de personnes concernées(notamment s’agissant des internautes visés par les cookies et des souscripteurs de la carte Pass).
Elle relève, malgré tout, les efforts de Carrefour Banque pour mener des actions de mises en conformité totale en cours de procédure et sa parfaite coopération.
Sur le montant de l’amende, Carrefour Banque ayant réalisé un produit net bancaire de 308M€, elle encourt une sanction financière d’un montant maximum de 20M€. Le montant de l’amende est fixé à 800K€ (0,25% de ce produit net bancaire).
Publication
La CNIL décide de publier cette décision (pour une durée de 2 ans), compte-tenu de la gravité des manquements sanctionnés et du nombre de personnes concernées, en particulier en vue d’informer l’ensemble des clients et des prospects potentiels de la société.
Ce qu’il faut retenir : Cette décision met particulièrement en valeur le poids des mots et de l’architecture du site dans la conformité d’un site web s’agissant des informations communiquées aux internautes sur les traitements de données opérés :
# La personne concernée ne doit pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder.
# Les lignes directrices les plus récentes poussent les entreprises à disposer sur leur site web d’une déclaration ou un avis sur la protection de la vie privée sur son site par le biais d’un lien direct clairement visible sur chaque page de ce site internet sous un terme communément utilisé : « Confidentialité », « Politique de confidentialité » ou « Avis de protection de la vie privée ».
# Le parti-pris de prévoir une architecture, des liens, des mises en page ou des choix de couleurs qui rendent les informations moins visibles et donc plus difficiles à trouver constituent un manquement à l’accessibilité des informations.
# De la même manière, l’emplacement des informations est majeur puisque les informations doivent être communiquées aux personnes au moment où les données sont collectées : un lien vers la politique de confidentialité doit être fourni au point de collecte des données à caractère personnel, à défaut les informations (complètes) doivent être consultables depuis ce point de collecte
# Sur les durées de conservation, on ne peut pas se contenter de formulations telles que « les délais de prescription légale applicables » ou « la conservation de vos données varie selon les réglementations et lois applicables ».
A noter que, le même jour, la CNIL a rendu une décision avec une amende de 2.252K€ à l’encontre de Carrefour France.
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657
# 18/11/2020 – CNIL – Sanction édifiante de Carrefour France (grande distribution – filiale du Groupe Carrefour) pour plusieurs manquements concernant l’information des personnes, les cookies, les durées de conservation, le respect des droits et des transmissions de données >> Amende de 2.250.000
Les faits :
CARREFOUR FRANCE édite notamment le site web www.carrefour.fr permettant à ses clients de créer et d’accéder à un espace personnel et de passer commande.
Entre juin 2018 et avril 2019, la CNIL a reçu 15 plaintes de particuliers concernant les sociétés du groupe CARREFOUR (7 concernant de la prospection commerciale alors que les personnes concernées s’y étaient préalablement opposées ; 4 concernant des demandes d’effacement sans effet, 3 concernant des demandes d’accès non respectées et 1 concernant 1 lien de désabonnement dans un e-mail de prospection commerciale.
La CNIL a effectué 5 contrôles en ligne et sur place entre mai et juillet 2019 puis 1 contrôle sur pièces.
Durées de conservation : Trop longues et dépassées
# Bases clients : Vue l’interconnexion entre les différentes bases de données de la société et la nécessité opérationnelle de fixer une durée de conservation identique pour l’ensemble de ses données, une durée de conservation de 3 ans pour les clients inactifs est jugée proportionnée à la finalité poursuivie, alors que la durée de 4 ans appliquée est jugée excessive, d’autant plus dans le secteur de la grande distribution om les clients retournent de façon régulière dans les mêmes magasins.
# Copies de cartes nationales d’identité communiquées par les personnes concernées dans le cadre de l’exercice d’un droit : De telles données ne doivent être conservées que pendant la durée relative au traitement de la demande d’exercice de droits en question et donc supprimées dès qu’il a été répondu à la demande / que l’identité a été confirmée.
Exercice des droits par les personnes concernées : demandes de justificatifs et délais de réponse non conformes
Sauf dans les cas d’opposition au traitement des données à des fins de prospection commerciale, la société demandait un justificatif d’identité de manière systématique lors de l’exercice d’un droit et ne réservait pas cette demande d’un justificatif d’identité aux seuls cas où existait un doute raisonnable sur l’identité de la personne.
Les délais de réponse aux demandes d’exercice de droits étaient variables avec des retards de traitement récurrents et pouvaient aller jusque 9 mois, sans qu’aucune information ne soit communiquée dans l’attente aux personnes concernées. Ces retards étaient visiblement dus à la forte augmentation des demandes après l’entrée en vigueur du RGPD et le défaut d’anticipation de Carrefour est reproché par la CNIL, notamment dans la mesure où il a obligé les clients sans réponse à relancer Carrefour à plusieurs reprises.
Information des personnes jugée non aisément accessible
Concernant les informations communiquées sur le site carrefour.fr, aux personnes adhérant en ligne au programme fidélité ou aux personnes adhérant au programme fidélité à l’aide d’un bulletin papier, la CNIL a considéré, de façon générale, que sur chacun des supports d’information, les mentions !
– n’étaient pas hiérarchisées ou ordonnées (longue énumération)
– n’étaient pas rédigées en des termes clairs, précis et simples (formulations ambigües, générales, évasives ou souvent inutilement compliquées)
– n’étaient pas aisément compréhensibles en raison de leur mise en page, ce qui rendait la lecture des mentions d’information particulièrement fastidieuse, même pour une personne éclairée.
Information des personnes jugée incomplète
# Responsable de traitement non correctement identifié sur le site carrefour.fr (Carrefour Hypermarchés avec des responsables conjoints alors qu’en pratique, c’est Carrefour France qui détermine seule la politique marketing commune à tous les formats des magasins en France et doit être considérée comme responsable de traitement.
# Base juridique des traitements : Pas indiquée dès lors que les différentes bases légales n’ont pas été précisées spécifiquement pour chaque traitement.
# Information relative aux pays où peuvent être transférées les données : Jugée incomplète, sans précision des garanties entourant le transfert ou du moyen d’obtenir copie de ces garanties
# Durée de conservation : Non indiquée pour certaines des données (données de navigation ou relatives aux achats effectués)
Manquements relatifs à l’exercice des droits
# Droit d’accès et appréciation du caractère direct ou indirect de la collecte : Prise en compte partielle de l’exercice d’un droit : pas de réponse à la personne qui interrogeait sur l’origine de la collecte de ses données, hors Carrefour France ayant repris les données du site Ooshop (ensuite intégré avec carrefour.fr), cela ne permet pas de considérer que la collecte a été réalisée directement par Carrefour France, de sorte qu’au premier contact avec cette personne et à la suite de sa demande, Carrefour France aurait dû l’informer de l’origine des données dans le cadre d’une collecte indirecte.
# Droit à l’effacement : Non efficacement des adresses e-mail à la suite de demandes car Carrefour France utilisait comme clé d’entrée de sa base de données l’adresse électronique des personnes, ce choix purement interne de typologie clé d’entrée n’exonérant pas Carrefour France de ses obligations en matière d’exercice du droit à l’effacement. Absence de prise en compte de certaines demandes de suppression totale de données personnelles, sans aucune information aux personnes concernées pour les informer d’un éventuel motif légitime ne lui permettant pas de supprimer l’ensemble des données.
# Droit d’opposition à la prospection par voie électronique : Un lien de désabonnement dans un e-mail de prospection commerciale adressé à 350 000 personnes renvoyait l’utilisateur à une page de connexion à un compte client. Or 350 personnes destinataires ne disposant pas de compte, elles ne pouvaient pas s’opposer à la prospection commerciale.
Sécurité des données à caractère personnel
Dans le cadre de ces contrôles, la CNIL a pu constater l’existence d’une vulnérabilité sur le site web carrefour.fr, consistant en la possibilité pour toute personne disposant d’une adresse url d’accéder à une facture client sans aucune nécessité de s’authentifier où se connecter à l’espace client. Informé de cette situation, 2 mesures ont été décidées par Carrefour : l’ajout d’une chaîne de caractères aléatoire et un mécanisme d’authentification préalable obligatoire. Si la 1ère a été mise en place très rapidement, la 2nde mesure n’avait toujours pas été déployée presque 8 mois après la découverte de la faille et l’accès à une facture demeurait possible.
Notification des violations de données à caractère personnel
Carrefour a eu connaissance d’une attaque informatique subie le 1er juillet 2019, utilisant le service d’authentification de l’application mobile du groupe, sous la forme de 800 000 tentatives de connexion à partir de 10 000 adresses IP ayant abouti à 4 000 authentifications réussies et à 275 accès effectifs aux comptes de clients. Cette violation n’a pas été notifiée à la CNIL qui le reproche à Carrefour, la violation étant susceptible d’engendrer un risque pour les droits et libertés des personnes vue la gravité de la violation découlant :
– de l’origine à l’évidence malveillante de cette attaque,
– du grand nombre de personnes concernées
– de la combinaison de plusieurs données personnelles auxquelles l’attaque a permis d’accéder et qui permettent l’identification et le contact direct des personnes concernées (l’identité des personnes, numéro de téléphone, adresse électronique, adresse physique).
– du risque sérieux de courriels malveillants et trompeurs (hameçonnage) sachant que les attaquants ayant identifié un couple adresse électronique/mot de passe valide essaient de le réutiliser sur d’autres sites web, de nombreuses personnes utilisant une combinaison d’adresse électronique et de mot de passe identique sur un très grand nombre de sites web.
S’agissant des cookies
En arrivant sur le site web carrefour.fr plusieurs cookies non nécessaires étaient déposés sur le terminal de l’utilisateur dès la connexion à la page d’accueil du site et avant toute action de sa part, à savoir 39 cookies dont 3 appartenaient à la solution Google Analytics, sans aucun consentement préalable des utilisateurs.
La Cnil relève que ce manquement a concerné un grand nombre de personnes, à savoir tous les visiteurs du site carrefour.fr.
Décision : La CNIL confirme les nombreux manquements constatés lors de ses contrôles et souligne, malgré tout, la parfaite coopération de la société et le fait qu’elle a corrigé l’ensemble des défauts relevés au cours de la procédure ainsi que les efforts importants fournis par Carrefour pour se mettre en conformité. Ces efforts ont été pris en compte pour réduire le montant de l’amende à 2.250.000€, considérant également que certains manquements étaient ponctuels. La CNIL a cependant retenu le caractère aggravant du nombre de personnes concernées, certains défauts ayant concerné plusieurs millions de personnes.
Sur le montant de l’amende : La formation restreinte considère que les filiales détenues par CARREFOUR FRANCE et bénéficiant des traitements doivent être considérées comme concernées, que l’organisation juridique du groupe, et notamment de la société CARREFOUR FRANCE et de ses filiales, rendrait de facto sans effet toute amende qui serait prononcée sur le seul CA de la société CARREFOUR FRANCE.
Elle prend en compte pour l’assiette de l’amende un CA de 14,9 milliards € en 2019 et le fait que l’activité de CARREFOUR FRANCE est caractérisée par un chiffre d’affaires particulièrement élevé au regard des résultats nets dégagés par l’activité (volumes extrêmement importants et marges faibles). L’amende de 2 250 000 euros ne représente finalement que 0,02% du CA considéré.
Ce qu’il faut retenir :
# Le référentiel pour les fichiers clients-prospects recommande une durée de conservation de 3 ans à compter du dernier contact avec la société, durée non contraignante mais pouvant servir de base d’appréciation et qu’il faut apprécier en fonction du secteur d’activité de l’entreprise et de la typologie de sa clientèle.
# Dans le cadre de l’exercice des droits, les copies de pièces d’identité ne doivent être demandées aux personnes concernées que s’il existe un doute raisonnable et doivent être supprimées immédiatement après vérification de l’identité.
# S’il n’est pas possible de répondre favorablement à une demande d’exercice des droits, il faut néanmoins répondre à la personne, l’en informer et le justifier.
# Une fusion de société ou de base de données ne permet pas de considérer qu’il y a eu collecte directe par le repreneur.
# La présentation de l’information en plusieurs niveaux augmente le risque que l’information soit plus difficile à trouver : l’information de 1er niveau doit présenter toutes les informations essentielles (détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées).
Une politique de confidentialité est utile lorsqu’elle est complète et facilement accessible.
En cas de renvoi pour le 2nd niveau d’information à un site web il faut, a minima, préciser la page ou l’adresse URL à laquelle ces informations sont disponibles (pas seulement renvoyer à la page d’accueil).
# Le responsable de traitement a l’obligation de fournir un moyen simple et effectif de se désabonner dans les courriels de prospection
# Le consentement de la personne soit être obtenu avant le dépôt de tout cookie non nécessaire sur un site web.
A noter que, le même jour, la CNIL a rendu une décision avec une amende de 800K€ à l’encontre de Carrefour Banque.
Publication des décisions : La gravité de certains manquements justifie, par elle-même, la publicité de la décision (pour une durée de 2 ans) et ce d’autant plus qu’un grand nombre de personnes a été concerné par les manquements (plus de 28 millions).
Pour en savoir plus :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042563756
Carrefour communique sur cette sanction :
# 04 novembre 2020 – Les médias sociaux de plus en plus sous le contrôle du gouvernement turc – La nouvelle loi sur les médias sociaux, votée et adoptée en Turquie
Les faits : La loi sur les médias sociaux adoptée par le gouvernement turc en juillet 2020 est entrée en vigueur le 1er octobre. Cette loi donne au gouvernement turc de nouveaux pouvoirs pour réglementer le contenu des médias sociaux et prévoit des sanctions en cas de violation des obligations.
1- Premièrement, la nouvelle réglementation définit le terme “fournisseur de réseau social” comme “les personnes physiques ou morales qui offrent aux utilisateurs la possibilité de créer, de visualiser ou de partager du contenu textuel, visuel, audio ou des données de localisation, etc. pour l’interaction sociale”.
2- Ensuite, elle oblige ces fournisseurs de réseaux sociaux, tout comme Facebook, Twitter et autres, à :
- Nommer un représentant local qui doit être présent en Turquie pour répondre aux plaintes des utilisateurs, informer le fournisseur de réseau social des demandes des autorités officielles et du gouvernement turc et veiller à ce que ces demandes soient respectées. Dans le cas contraire, les fournisseurs de réseaux sociaux sont soumis à des amendes administratives pouvant atteindre 30 millions de livres turques.
- Mettre en place des procédures de retrait des contenus : les fournisseurs de réseaux sociaux sont tenus de répondre aux demandes de blocage ou de retrait de tout contenu offensant hébergé sur leurs plateformes dans un délai de 48 heures. Ils sont soumis à une amende administrative de 5 millions de livres turcs (l’équivalent d’environ 540.000 €) s’ils ne s’y conforment pas.
- Stocker les données des utilisateurs en Turquie : en effet, les données des utilisateurs turcs de médias sociaux doivent être hébergées en Turquie et cela, que le fournisseur de réseau social soit ou ne soit pas situé dans le pays. Cette disposition peut être interprétée comme une obligation de relocaliser les serveurs contenant les données des citoyens turcs qui vivent en Turquie (pas les citoyens et les ressortissants turcs vivant à l’étranger). Aucune spécification explicite des sanctions en cas de violation de cette obligation n’a été donnée à notre connaissance.
- Faire des rapports aux autorités officielles en Turquie sur ces mesures tous les 6 mois
Ce qu’il faut retenir :
L’Autorité des technologies de communication et d’information (ICTA) a délimité la définition de fournisseur de réseau social en énonçant des exemptions. Ainsi, semblent être exonérés de ces obligations, les sites de commerce électronique, les journaux en ligne, les sites web personnels fournissant un contenu lié à l’interaction sociale en tant que service périphérique et les émissions sur Internet qui incluent l’interaction sociale. En outre, seuls les fournisseurs de réseaux sociaux dont le trafic quotidien est supérieur à un million sont concernés par l’obligation de stocker les données des utilisateurs en Turquie. En ce qui concerne la période de conservation des données, aucune nouvelle précision n’a été donnée. Aucune nouvelle restriction n’a non plus été imposée au transfert transfrontalier des données d’utilisateurs.
Pour en savoir plus :
#30/10/2020 – UK (ICO) – La société Marriott International Inc sanctionnée à la suite d’une violation de données >> 20M€
Les faits :
En 2014, un hacker s’est introduit dans le système informatique de Starwood Hotels and Resorts Worldwide Inc. via une faille de sécurité informatique. Il a installé un virus lui permettant d’accéder aux systèmes et appareils et donc aux données personnelles des clients. Il a également installé des outils lui permettant de collecter les informations de connexion des utilisateurs au sein du réseau. Le hacker a exporté la base de données contenant les réservations des clients. 339 millions de comptes clients dans le monde, dont 30 millions de comptes européens, sont concernés par cette violation. Les données personnelles concernées sont notamment le nom, l’adresse mail, le numéro de téléphone, le numéro de passeport non crypté, les informations d’arrivée et de départ, le statut VIP des clients ainsi que le numéro de d’adhésion au programme de fidélité. Lors du rachat de Starwood par Marriott en 2016, la vulnérabilité n’a pas été décelée. La violation n’a été détectée qu’en septembre 2018 et a été signalée rapidement à l’ICO (qui a débuté une enquête approfondie en tant qu’autorité chef de file) et aux personnes concernées. Étant donné que la violation s’est produite avant que le Royaume-Uni ne quitte l’UE, l’ICO a enquêté au nom de toutes les autorités de l’UE en tant qu’autorité de surveillance principale en vertu du RGPD. La sanction et l’action ont été approuvées par les autres autorités de protection des données de l’UE dans le cadre du processus de coopération prévu par le RGPD.
Manquement à l’obligation de sécurité :
La violation a mis environ 4 ans à être détectée. La sécurité n’a pas été correctement assurée alors que la société avait les moyens financiers de le faire. L’autorité britannique estime que Marriott est responsable de la violation des données, pour ne pas avoir pris les diligences requises pour sécuriser le système de Starwood. Le groupe aurait dû évaluer la fiabilité du système lors du rachat de l’entreprise. Mariott a donc manqué à son obligation de sécurité de l’article 32 du RGPD.
Décision :
L’ICO, ayant enquêté au nom des autorités européennes en vertu du guichet unique prévu par le RGPD, a décidé d’infliger une amende à Marriott International Inc.
Sanction :
L’amende infligée est de 20M€ (18.4M£), l’ICO a tenu compte de la situation de crise sanitaire pour infliger cette amende. A noter qu’au cours de la procédure, l’ICO avait annoncé son intention d’infliger une amende de plus de 99 millions de livres (environ 110 millions d’euros) à Marriott, mais reconnaît dans sa décision que Marriott a agi rapidement pour contacter les clients et l’ICO. Elle a également agi rapidement pour atténuer les risques de dommages subis par les clients et a depuis mis en place un certain nombre de mesures pour améliorer la sécurité de ses systèmes
Ce qu’il faut retenir :
Au cours de cette affaire, les autorités européennes de protection des données ont coopéré de manière exemplaire en vertu du système de guichet unique. Par ailleurs, lorsqu’une société a les moyens financiers de mettre en place des mesures de sécurité mais qu’elle ne le fait pas, elle s’expose à une sanction d’autant plus lourde pour manquement à l’obligation de sécurité. Aussi, le rachat d’une entreprise nécessite de faire le point sur les traitements de données opérés par celle-ci et ses mesures sécuritaires et organisationnelles. A défaut, un problème provenant de l’ancien propriétaire peut être reproché à l’acquéreur.
Pour en savoir plus :
Voir notre news du film d’actu au 09/07/2019 &
#16/10/2020 – Royaume-Uni (ICO) – La société British Airways sanctionnée pour violation de données >> 22M€
Les faits :
En 2018, la société a été victime d’une cyberattaque qui n’a été détectée que 2 mois après grâce aux signalements de tiers. Le hacker a accédé aux données de 429 612 clients et employés. Les données personnelles concernées étaient notamment le nom, le prénom, l’adresse, le numéro de carte de paiement et le numéro CVV de 244 000 clients, le login le mot de passe des comptes d’employés et des administrateurs et des comptes British Airways Executive Club.
Manquement à l’obligation de sécurité :
L’ICO reproche à British Airways d’avoir traité un nombre important de données sans que des mesures de sécurité adéquates aient été mises en place et confirme qu’elle aurait dû identifier les faiblesses de sa sécurité et les résoudre avec les mesures de sécurité disponibles à l’époque, ce qui aurait empêché la cyberattaque de 2018.
La société aurait par exemple pu prendre ces mesures de sécurité :
# Limiter les accès aux applications, données eu outils en fonction du rôle des utilisateurs
# Effectuer des tests poussés en simulant des attaques
# Protéger les comptes des employés et des tiers grâce à une authentification multifactorielle
La société n’a pas pris ces mesures, qui n’auraient pourtant pas entrainé de coûts excessifs, ainsi, elle a manqué à son obligation de sécurité imposée par le RGPD.
Décision :
L’ICO a infligé une amende à la société British Airways pour manquement à son obligation de sécurité.
Sanction :
La sanction est d’un montant de 20M£ (environ 22M€). C’est la plus lourde jamais décidée en matière de sécurité à ce jour.
Ce qu’il faut retenir :
Le fait de prendre les mesures de sécurité adéquates permet non seulement de répondre à son obligation de sécurité et à éviter les sanctions mais également de maintenir une bonne réputation pour la société.
Pour en savoir plus :
Voir notre news du fil d’actu au 08/07/2019 &
# 13/10/2020 – France – Conseil d’Etat – Transfert de données issues du Health Data Hub vers les États-Unis – Premiers effets de l’invalidation du Privacy Shield par la CJUE le 16/07/2020
Les faits : Le Health Data Hub, prévu par la Loi n°2019-774 du 24 juillet 2019 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038821260/), est une plateforme de données de santé destinée à centraliser l’ensemble des données de santé des personnes soignées en France pour favoriser la recherche médicale et qui a été en partie mise en service de façon anticipée dans le cadre de la crise sanitaire liée au virus Covid 19. C’est la filiale irlandaise de la société américaine Microsoft qui est chargée de l’hébergement (aux Pays-Bas) de cette plateforme. Plusieurs associations et syndicats ont demandé en référé devant le Conseil d’Etat une suspension de la plateforme Health Data Hub compte-tenu du risque de transfert des données (sensibles) de santé vers les USA. La CNIL a été invitée à donner son avis sur cette question.
Ce qu’il faut retenir : Si la CNIL confirme que le choix d’un hébergeur soumis au droit américain ne parait pas compatible avec la réglementation européenne, elle demande à ce que soient vérifiées les dispositions contractuelles, notamment les engagements de Microsoft à ne pas transférer les données hors UE et à envisager de changer d’opérateur ou à obtenir des garanties spécifiques. En effet, le risque de transmission de données de santé sur demande des services de renseignement américains à Microsoft ne peut être exclu, ce qui reste problématique même si les données sont pseudonymisées. Le Gouvernement a d’ores et déjà confirmé sa volonté de modifier l’hébergement du Health data Hub pour le placer sur des plateformes françaises ou européennes. Entre-temps, le Conseil d’Etat a demandé à la Cnil de vérifier que les projets de recherches (pour lesquels une autorisation est nécessaire) via le Health Data Hub présentent un intérêt pour la gestion de la crise sanitaire justifiant le risque lié à l’utilisation actuelle de cette plateforme.
Pour en savoir plus : Lire la décision en référé
# 12/10/2020 – CJUE – Interdiction de la collecte massive des données de connexion et de localisation par les Etats à des fins judiciaires et de renseignement – Recadrage de la CJUE
Faits : La CJUE a été saisie de questions préjudicielles par les juridictions françaises et belges sur la légalité des pratiques de collecte massive des données de connexion et de localisation à des fins judiciaires et de renseignement dans trois affaires, dont 2 portées notamment par la Quadrature du Net.
En effet, sur le fondement de la sauvegarde de la sécurité nationale, les Etats membres de l’Union Européenne imposaient aux fournisseurs de services de communications électroniques une obligation généralisée et indifférenciée de collecte et de conservation des données de localisation ou de connexion pour que les forces de l’ordre, services de renseignement et magistrats puissent y accéder dans le cadre de procédures.
Questions soulevées : La Cour a dû ainsi se prononcer sur 3 principales demandes initiales :
1/ Une réglementation nationale qui imposerait aux fournisseurs et opérateurs de services de communications électroniques une obligation de conservation, généralisée et indifférenciée, des données de trafic et de localisation traitées par eux dans le cadre de leurs services, est-elle considérée comme une ingérence justifiée par le droit à la sûreté, le droit pénal et les exigences de la sécurité nationale ?
2/ Les données conservées par ces opérateurs et permettant l’identification des personnes concernées peuvent-elles être communiquées aux autorités judiciaires en vue de faire respecter les règles relatives à la responsabilité civile ou pénale et de contribuer au déroulement des procédures judiciaires ?
3/ La régularité des procédures de recueil de ces données de connexion et de localisation est-elle subordonnée à des exigences d’information des personnes concernées, à des garanties et à des contrôles effectifs, notamment en matière de protection des données et des libertés individuelles de circulation et de connexion ou la seule garantie de l’effectivité du droit au recours en cas d’abus suffit-elle ?
Décision : Après avoir analysé certains textes de droit interne, la CJUE a rendu, le 06 octobre 2020, sa décision en prononçant l’illégalité de ces pratiques. Elle s’oppose ainsi à toute réglementation qui imposerait à un fournisseur la collecte ou même la conservation de façon généralisée et indifférenciée de données de connexion et de localisation dans le but de contribuer à la lutte contre la criminalité et de prévenir les menaces à la sécurité nationale. Malgré ce recadrage, la Cour souligne que la conservation de cette catégorie de données demeure possible à certaines conditions : prévoir des contrôles juridictionnels effectifs, assurer aux personnes concernées des garanties effectives contre les risques d’abus, limiter cette collecte à des cas précis de personnes (autrement dit, face à des réels soupçons) et à des cas précis d’atteintes (en cas d’urgence et/ou de menace grave, réelle, actuelle ou prévisible pour la sécurité nationale), limiter temporellement et géographiquement ces pratiques.
Ce qu’il faut retenir : La question que se posent les services de renseignement français, c’est celle de l’impact désastreux que cette décision pourra avoir sur leurs futures enquêtes (et éventuellement sur celles en cours), dans la mesure où elles s’appuient souvent sur ce type de données. Toutefois, si les juges européens ont été contraints de se prononcer, c’est parce que ces pratiques posent des problématiques touchant au respect des principes de protection des données personnelles et plus largement, des libertés individuelles de circulation et de connexion. Il s’agit finalement d’une nouvelle question de proportionnalité : une collecte généralisée sera jugée liberticide alors qu’elle sera justifiée lorsqu’elle est limitée et ciblée.
Pour en savoir plus : http://curia.europa.eu/juris/document/document.jsf?text=&docid=232084&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=9031758
#02/10/2020 – Allemagne (BWDPA) – H&M sanctionné pour profilage illégal de ses salariés >> 35.3M€
Les faits :
La société H&M exerçait une surveillance accrue de centaines de ses salariés en vue de définir un profil détaillé des employés et de prendre des mesures et des décisions concernant leur emploi, en plus d’une analyse minutieuse du rendement individuel au travail de chacun. En effet, depuis au moins 2014, la société enregistrait des informations très poussées concernant la vie privée de ses salariés. Elle collectait ces informations à l’occasion d’entretiens «Welcome Back Talks», menés par des supérieurs au retour de vacances, au retour d’arrêt maladie du salarié ou même après une très courte absence. Les supérieurs collectaient ainsi des informations sur les activités des salariés pendant leurs vacances, sur les symptômes, maladies, ou encore sur les diagnostics les concernant. Des données sur leur salutation familiale et sur leurs croyances religieuses étaient également collectées. Toutes ces informations étaient enregistrées dans un réseau de manière permanente. Environ 50 personnes, supérieurs hiérarchiques, avaient accès à ces données. Ces données ont été rendues publiques au sein de l’entreprise, en raison d’un problème de configuration, pendant plusieurs heures, en octobre 2019. La BWDPA en a donc été informée par des articles de presse. Elle a ordonné le « gel » et la remise du contenu du disque dur du réseau afin de l’évaluer.
Manquement au principe de licéité du traitement :
Des données ont été collectées dans le cadre de la relation de travail sans que le traitement ne repose sur aucune base légale. Il s’agit même parfois de collectes de données sensibles comme les croyances religieuses ou des données de santé des salariés. Les données ont notamment servi à faire du profilage.
Manquement au principe de sécurité des données :
Les données ont été dévoilées pendant plusieurs heures démontrant ainsi l’absence de la sécurité de la base.
Décision :
L’autorité allemande condamne H&M a une amende. Suite à sa condamnation la société a largement coopéré. Elle a également présenté ses excuses aux employés et les a dédommagés à l’aide d’une compensation financière.
Sanction :
L’autorité allemande prononce une amende de 35.3M€.
Ce qu’il faut retenir :
Si les entreprises se concentrent le plus souvent sur la conformité des traitements des données de leurs clients, il ne faut pas laisser de côté ceux concernant les données personnelles des RH. Il s’agit à date de l’une des plus fortes amendes décidées par une autorité européenne et les efforts, par ailleurs, de la direction d’H&M pour s’excuser et indemniser les salariés affectés démontrent bien la nécessité à la fois de réparer leur préjudice mais également de restaurer la confiance dans l’entreprise en tant qu’employeur.
Pour en savoir plus :
# 29/09/2020 – Belgique – APD – Garantie du droit d’accès à leurs données personnelles aux personnes concernées >> Condamnation
Faits : La plaignante, ancien médecin chef de service et de radiologie au sein de l’hôpital de la défenderesse, a fait l’objet d’un licenciement après avoir été entendue dans le cadre de la préparation d’un rapport rédigé par un expert externe qui avait pour but de prendre les témoignages des différents membres du personnel du service d’imagerie médicale, dont la plaignante, sur les causes des dysfonctionnements présents au sein de ce service.
Après avoir été révoquée pour faute grave, la plaignante a adressé au Directeur Général de la défenderesse une demande d’accès à ses données à caractère personnel, ainsi qu’une demande d’accès à une copie de son témoignage dans ledit rapport. La question qui est alors posée est celle de la licéité des traitements de données opérés dans le cadre de ce rapport.
Cette demande d’accès lui a été refusée par la défenderesse, sous prétexte qu’elle ne justifiait ni de l’existence d’un traitement de données personnelles ni d’une activité qui relèverait du champ d’application du RGPD.
Contestant cette décision, la plaignante a, après avoir saisi le Tribunal pour les causes de son licenciement, déposé une plainte auprès de la Chambre Contentieuse de l’Autorité de protection des données Belge (APD).
Compétence : L’APD est compétente en ce qu’elle est gardienne du respect des principes de protection des données présents dans le RGPD.
Malgré l’accès au rapport obtenu ultérieurement par la demanderesse, la Chambre Contentieuse est restée compétente pour contrôler en toute indépendance le respect du RGPD et examiner la légalité des motifs de refus à cet accès. La concomitance d’une procédure judiciaire et la décision rendue (qu’elle fasse droit ou non à la même plaignante) n’est pas de nature à entacher la compétence de l’autorité de protection des données.
Décision : L’APD a décidé qu’en refusant de communiquer à la plaignante copie de son témoignage et en manquant à son obligation d’information concernant la collecte et le traitement de données dans le cadre du rapport réalisé, la défenderesse a privé la plaignante de son droit d’accès. Elle a également porté atteinte à son autonomie informationnelle en l’empêchant de faire valoir ces données dans le cadre de la procédure judiciaire parallèle relative à son licenciement. La défenderesse a donc été condamnée à une réprimande, assortie d’un ordre de se conformer à la réglementation en matière d’exercice du droit d’accès et de traitements de données relatifs aux prestataires de soins indépendants.
Ce qu’il faut retenir : Il est clairement affirmé dans cette décision que :
1- un responsable de traitement est reconnu en tant que tel à partir du moment où il détermine les finalités et moyens du traitement des données, et cela même si l’auteur qui collecte les données est un tiers tel que l’expert mandaté ;
2- la notion de données à caractère personnel englobe tout type d’informations, que leur exploitation soit privée, publique, professionnelle, objective ou subjective dès lors qu’elles permettent d’identifier une personne, comme un témoignage dans un rapport d’expertise professionnelle ;
3- lorsqu’un document contient des données personnelles traitées selon un procédé automatisé, la personne concernée peut invoquer son droit d’accès à ces données ;
4- en aucun cas les droits et libertés d’autrui (confidentialité, secret des affaires, propriété intellectuelle) ne peuvent justifier une absence de communication d’information à la personne concernée par un traitement de ses données personnelles ;
5- eu égard à la date d’entrée en vigueur du RGPD (prévu depuis 2016 et entré en vigueur en 2018), les responsables de traitement ont eu assez de temps pour se conformer aux obligations du RGPD et font à présent l’objet de contrôles stricts de la part des Autorités de protection.
Pour en savoir plus : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-41-2020.pdf
# 15/09/2020 – CJUE – Principe de neutralité du web – Violation de l’obligation générale de traitement égal et non discriminatoire du trafic – Arrêt historique
Les Faits : La Cour de Justice de l’Union Européenne (CJUE), par un arrêt du 15 septembre 2020, a consacré une nouvelle fois le principe de neutralité du net, dans une affaire opposant le fournisseur d’accès hongrois Telenor au président de l’autorité hongroise nationale des communications et des médias.
En l’espèce, le fournisseur proposait des offres d’accès préférentiel à ses utilisateurs via leur terminaux (mobile, ordinateur, tablette). Ceux-ci avaient un accès quasi-illimité à certaines applications telles que Facebook, Twitter ou Spotify, car aucun décompte n’était effectué des données de trafic utilisées pour l’usage de ces applications. En revanche, d’autres applications faisaient en conséquence l’objet de mesures de blocage ou de ralentissement lié à l’épuisement du forfait des utilisateurs.
Ces offres opéraient donc une différence de traitement entre les applications d’un utilisateur dans l’usage de son forfait de trafic : décompté pour certaines applications et non pour d’autres.
Décision : La CJUE a constaté une violation de l’obligation générale de traitement égal et non discriminatoire du trafic, autrement dit, la violation du principe de neutralité. La neutralité du web est le principe fondateur qui garantit la libre circulation des contenus sur le web et l’égalité de traitement de tous les flux d’information, quel que soit leur destinataire ou émetteur. Il garantit le libre accès des contenus aux choix des utilisateurs. Un fournisseur d’accès ne peut se substituer aux utilisateurs et opérer par ses offres une sélection de services aussi générale et donc attentatoire à la liberté des internautes, sur le fondement d’un profit commercial.
Ce qu’il faut retenir : Respecter le principe de neutralité n’équivaut pas à refuser toute pratique de gestion du trafic. En effet, les opérateurs économiques peuvent envisager des mesures raisonnables de gestion du trafic en se fondant sur des différences objectives telles que les exigences techniques en matière de qualité de service et en ne visant que certaines catégories spécifiques de trafic. Il faut en revanche que ces atteintes soient justifiées, temporaires et ciblées. Ici, lesdites offres groupées violaient le principe de neutralité du web en ce qu’elles étaient fondées sur des considérations d’ordre commercial et non pas sur des différences objectives.
Pour en savoir plus : http://curia.europa.eu/juris/documents.jsf?num=C-807/18
#08/09/2020 – CNIL – Des communes françaises mises en demeure par la CNIL pour violation du cadre légal en matière de prise de décision (verbalisation) automatisée.
Faits : A la suite de contrôles sur place, la CNIL a adressé des mises en demeure à 4 communes françaises pour violation du cadre légal en matière de verbalisation automatique par reconnaissance des plaques d’immatriculation.
En effet, les 4 entités (dont les noms n’ont pas été rendus publics) ont eu recours à des « dispositifs de verbalisation automatisée ». Ces dispositifs se servent des photographies prises par les caméras implantées dans les véhicules de police municipale pour faire une « lecture automatisée des plaques d’immatriculation » (LAPI). L’objectif serait de permettre la collecte automatique des données et de constater des infractions afin de les sanctionner.
Toutefois, d’après les arguments de la CNIL qui ont fondé ces mises en demeure, les recours à ces dispositifs ne sont autorisés que pour les contrôles portant sur le constat d’infractions liées au non-paiement ou au dépassement du temps de stationnement autorisé. Autrement dit, si l’assistance par ordinateur à la verbalisation est légale, l’arrêté du 14 avril 2009 relatif aux traitements automatisés pour le constat et la poursuite d’infractions pénales, ne permet pas la collecte et l’usage de photographies pour constater certains types d’infractions telles que le stationnement gênant ou dangereux : une intervention humaine est requise.
Ce qu’il faut retenir : Rappelons dans un 1er temps que les plaques d’immatriculation constituent des données personnelles : il y a la plaque associée à une carte grise, une identité, mais également le type de véhicule et potentiellement les revenus du détenteur de la carte grise etc. (voir déjà à ce sujet notre news du 12/11/2019 – France – CNIL – Au tour du Ministère de l’intérieur d’être dans le collimateur de la CNIL ! >> Mise en demeure). La photographie rapprochée d’un véhicule pour obtenir un visuel de sa plaque par une autorité publique doit être prévue légalement pour détenir un fondement légal. Les procès-verbaux établis sur un constat automatisé ayant un objet autre que les infractions prévues par arrêté sont viciés car la collecte de la photographie est dépourvue de base légale. Tout se joue une nouvelle fois sur la détermination de la finalité du traitement…
Pour en savoir plus :
# 07/09/2020 – Avis du CEPD – plateforme TikTok – Enquête européenne coordonnée des autorités de régulation
Les Faits : La plateforme chinoise, TikTok, fait l’objet d’enquêtes dirigées par les autorités régulatrices en Europe, notamment les autorités française, danoise et néerlandaise depuis mai dernier. En juin, le Comité Européen sur la Protection des Données (CEPD) a annoncé mettre en place une équipe pour coordonner de potentielles actions et obtenir une vision macro des pratiques de TikTok sur le territoire européen. Dans le viseur, les modalités d’information aux personnes, les modalités de réponse aux demandes d’exercice de droit (plainte pour non-suppression d’une vidéo), la gestion des flux d’informations hors de l’Union Européenne et l’absence de mesure suffisante pour la protection de mineurs, notamment leur aptitude à consentir.
Déjà interdite en Inde et sous le coup d’une menace d’interdiction américaine après avoir été condamnée à 5,7 millions pour collecte illégale de données de mineurs aux USA, TikTok a affirmé coopérer avec les autorités de contrôle européennes.
Pour rappel, Donald Trump accuse la société chinoise de transmettre illégalement des informations aux autorités chinoises et propose un rachat de Tik Tok par une société américaine telle que Microsoft. Cette pratique est strictement réfutée par ByteDance, détentrice de TikTok, qui affirme notamment que les données sont hébergées hors de Chine. En effet, l’attache européenne de la multinationale chinoise est à Dublin, où est implanté son centre régional. Dans l’objectif de déterminer l’autorité irlandaise comme « chef de file », la stratégie de ByteDance semble être de conforter sa position européenne en implantant un centre informatique également en Irlande : pour cela, elle devra prouver que son établissement en Irlande remplit les conditions d’un « établissement principal » au sens du RGPD.
Ce qu’il faut retenir : Lorsque plusieurs enquêtes, dans différents états européens, visent la même société, elles peuvent être coordonnées et la compétence d’une autorité « chef de file » sera déterminée par les procédures prévues par le RGPD. L’importance accordée à la protection des données de ses utilisateurs ou clients par une société est de nature à affecter son image de marque. En effet, la protection des données a une vocation universelle. Quelque que soit la règlementation qui trouvera à s’appliquer, adopter un comportement non conforme avec une forme d’éthique de traitement des données pour une entreprise, c’est aujourd’hui s’exposer à l’opprobre public mais surtout à des sanctions de nature différente dans des états distincts. Affaire à suivre du fait qu’elle peut provoquer de nombreux échanges comparatifs entre la régulation des données américaines et celle européenne.
Pour en savoir plus :
https://www.cnews.fr/vie-numerique/2020-08-12/tiktok-dans-le-viseur-de-la-cnil-987933
# 04/09/2020 – Twitter et Facebook (pour WhatsApp) – Concertation des autorités de contrôle européennes – Violation de confidentialité, défaut de notification et manque de transparence sur des transferts de données – Projet de sanction historique – Autorité de contrôle irlandaise chef de file
Les Faits : Twitter a révélé publiquement en août 2019 l’usage, à des fins publicitaires, de certaines informations d’interaction de ses utilisateurs (ex. quels sont les comptes suivis ou commentés par l’utilisateur – son intérêt porté à certains sujets, la fréquence de ses interactions, leur nature – commentaire positif ou négatif, avis émis etc.). Cet usage, constituant en lui-même une violation de confidentialité des données utilisateurs, n’a pas été notifié à une autorité en particulier. En octobre de la même année, la société de Jack Dorsey, propriétaire de Twitter, s’excusait à nouveau d’un usage dit accidentel d’adresses emails et de numéros de téléphone (initialement utilisés pour s’authentifier) à des fins également publicitaires.
Rappelons que la publicité ciblée payée par les annonceurs représente 86% du chiffre d’affaires de Twitter qui a basé son modèle économique sur ce mécanisme. En l’absence d’information précise des utilisateurs mais surtout de recueil de leurs consentement Twitter est soupçonné d’avoir volontairement adopté ce comportement constitutif d’une violation de confidentialité, en infraction avec les articles 33 et 34 du RGPD. Ces article prévoient, d’une part, une obligation pour le responsable de traitement de notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente, notamment lorsque les données sont utilisées à d’autres fins que celles annoncées et prévues. D’autre part, une obligation de réaliser une analyse d’impact dès lors qu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits des personnes physiques, tel que le ciblage publicitaire.
Les Faits : De son côté, un des systèmes de messagerie instantanée des plus célèbres, WhatsApp, n’échappe pas non plus au regard attentif de l’autorité irlandaise. La plateforme est accusée d’avoir enfreint les articles 12 à 14 du RGPD, sur la transparence des données partagées avec sa maison-mère, le groupe Facebook. En effet, aucune information n’expliciterait aux utilisateurs la nature des flux des données les concernant vers la société mère, ni les finalités de ces transferts.
- Que manque-t-il alors pour que ces 2 décisions soient définitivement prises ?
Compétence : L’autorité de contrôle irlandaise (le DCP), est compétente en raison du traitement de données intervenant sur le territoire européen et est de surcroit chef de file en raison de la présence des sièges sociaux européens des 2 sociétés en cause sur son territoire. Cependant, l’article 60 qui fonde la compétence d’une autorité chef de file dans les conditions précitées, organise également la recherche d’un consensus entre les 27 autorités de régulation. Ainsi elles coopèrent toutes pour mener des actions coordonnées mais peuvent contester dans les quatre semaines avec une objection motivée le projet de décision élaboré par l’autorité chef de file. Si les sanctions, dont le montant envisagé a toute les chances d’être historique, les projets sont au stade de la recherche de consensus actuellement.
Ce qu’il faut retenir : Le RGPD donne les outils permettant d’exercer une pression sur les entreprises pour qu’elles assurent l’effectivité des droits des personnes concernées. Il impose notamment une obligation de notification en cas de violation de données personnelles, une analyse d’impact en cas de risque élevé et une transparence au niveau de l’information sur les données partagées. Le Règlement encadre également les modalités à suivre en cas de volonté de sanction de traitements préjudiciables à l’échelle européenne. C’est ici la capacité de compromis et d’entente entre les autorités de régulation européennes qui est attendue dans ces 2 dossiers, tout autant que leur capacité à résister aux diverses pressions s’exerçant sur leur pouvoir de décision.
Pour en savoir plus :
#03/09/2020 – CNIL – La CNIL clôture la mise en demeure à l’encontre du Ministère des Solidarités et de la Santé
Les faits : Le 20 juillet 2020 la CNIL a mis en demeure le Ministère des Solidarités et de la Santé en raison de son application « StopCovid France ». Le Ministère a été mis en demeure d’intervenir sur :
# La conservation de l’historique de contacts de l’utilisateur sur le serveur central.
# L’information des personnes concernées : les informations manquaient de précisions notamment concernant la technologie reCaptcha de Google.
# L’encadrement contractuel avec son sous-traitant qui n’était pas suffisamment complet.
# L’incomplétude de l’analyse d’impact pour certains traitements.
Le Ministère a démontré que les manquements avaient cessé grâce à une mise à jour de l’application :
– Le pré-filtrage de l’historique des contacts de l’utilisateur se fait dorénavant au niveau du téléphone. L’historique ne peut donc plus remonter au serveur central.
– Le système de reCaptcha n’est plus utilisé par le Ministère et les mentions d’information ont été complétées.
– Le contrat de sous-traitance et l’analyse d’impact ont été complétés.
Décision : La CNIL a clôturé la mise en demeure à l’encontre du Ministère des Solidarités et de la Santé.
Pour en savoir plus :
Voir notre news du 20/07/2020
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042307632/
# 03/09/2020 – CNIL – Rappels à l’ordre du rectorat normand et d’une députée concernant l’utilisation illicite de données du fichier national OCEAN pour une opération de publipostage
Les faits : Madame la députée de la Manche a transmis des courriers de félicitations aux heureux bacheliers de sa circonscription, diplômés en 2019 (ce qu’elle avait déjà fait en 2018…). Elle a utilisé pour ce faire les coordonnées (noms prénoms, adresses postales) listées dans le fichier OCEAN qui lui ont été communiquées le 18 juillet 2019 par le rectorat de Normandie, à la demande de ses équipes, via un fichier Excel non chiffré et attaché à un e-mail, qui incluait également les dates de naissance, noms des établissements de scolarisation, baccalauréats obtenus et mentions éventuellement reçues concernant l’ensemble des bacheliers et non uniquement ceux de la circonscription concernée (certaines de ces informations n’ayant même pas été demandées par l’élue). Ceci a été vérifié par la CNIL dans le cadre de son enquête à la suite d’une plainte reçue le 5 août 2019. Seules les données des lycéens ayant consenti à la transmission de leurs données à une collectivité territoriale lors de leur inscription à l’examen auraient été transmises.
Demande, communication et exploitation illicites des données : Le fichier national OCEAN, créé par un arrêté du 22 avril 2013, a été constitué pour permettre la gestion des examens et concours scolaires, et ne prévoit en aucun cas la communication des données de ce fichier à des parlementaires ou leur utilisation par ces derniers, en leur nom et pour leur compte, quel qu’en soit l’objectif.
Les services du rectorat ont décidé seuls de procéder à l’extraction des données personnelles, sans instruction du ministère de l’Education nationale, responsable du traitement de données à caractère personnel OCEAN et sans que ce ministère ait été informé de cette transmission. Ils ont piloté la transmission du fichier, décidé de la nature des données personnelles à extraire et des modalités de communication de ces données. En ce sens, ils sont responsables de traitement.
Les décisions : La CNIL a donc ici prononcé 2 rappels à l’ordre, à l’encontre d’une part du rectorat de l’académie de Normandie (reprochant sa négligence dans l’analyse du bien-fondé de la demande de transmission de données, l’absence de contrôle a priori et a posteriori et dans les modalités de transmission) et d’autre part de Madame la députée de la Manche (reprochant une demande non fondée de transmission de données et un détournement des finalités du fichier).
Ce qu’il faut retenir : En dehors du caractère clairement illicite des traitements reprochés, la CNIL appuie sur les éléments aggravants à savoir une transmission de données non sécurisée, ne permettant pas de limiter les risques d’interception par un tiers avec un risque d’atteinte à l’intégrité des données. La CNIL rappelle la précaution élémentaire de sécurité qui est le chiffrement des données personnelles avant leur enregistrement sur un support physique ou leur transmission par e-mail en assurant la confidentialité du mot de passe de déchiffrement qui doit être transmis par un canal différent de celui par lequel les données personnelles sont communiquées (par exemple par téléphone si les données sont envoyées par e-mail).
Publication des décisions : La CNIL a choisi de rendre publique ses décisions car elle concernait un grand nombre de lycéens (11846) dont certains étaient mineurs (données sensibles) et en raison des fonctions publiques de la députée, sa qualité d’élue suscitant des attentes en termes de légalité et de rigueur.
Pour en savoir plus :
# 27/08/2020 – CNIL – Mises en demeure (non publiées) concernant des contrôles horaires des employés par le biais de badgeuses photo sur le lieu de travail
Les faits : A la suite de 6 plaintes d’agents publics et d’employés du secteur privé, reçues par la CNIL en 2018, celle-ci a mené 4 contrôles en 2019.
Ces plaintes concernaient la mise en place de certains dispositifs de contrôle (badgeuses) sur les lieux de travail, mis en place par leurs employeurs.
La CNIL a pu constater que le principe de ces dispositifs de contrôle était de prendre une photographie systématique de l’employé à chaque fois que celui-ci pointait.
Manquement au principe de minimisation : La CNIL a pu constater que les employés été photographiés de manière obligatoire et systématique entre 2 et 4 fois par jour, Ce qui a été considéré comme excessif les données collectées devront être limitée à ce qui est nécessaire au regard de la finalité, ici le contrôle des horaires de travail des employés. Un contrôle managérial plus poussé ou des outils standards de gestion d’horaires sans prise de photographies, et donc moins intrusifs, pourraient être suffisants et devraient être privilégiés, pour contrôler les horaires de travail et prévenir la fraude, avec par exemple l’enregistrement du jour et de l’heure de pointage de l’employé. L’utilisation de badgeuse avec photo pour le contrôle des horaires des employés pourrait être considérée comme respectant le principe de minimisation uniquement dans le cadre de circonstances particulières et abondamment justifiées. En l’occurrence, visiblement, en pratique les photographies concernées n’étaient quasiment pas consultées et n’avaient servi de base à aucun contentieux.
Les décisions : La CNIL a donc ici mis en demeure tant les organismes publics que privés de rendre leur dispositif de contrôle horaire conforme au RGPD sous 3 mois. À défaut la formation restreinte de la CNIL pourrait être saisi et prononcer une sanction pécuniaire.
Ce qu’il faut retenir : Les photographies de personnes physiques constituent des données personnelles (dès lors qu’elles permettent d’identifier la personne) et la prise de photographies constitue alors un traitement de données soumis au RGPD. D’une manière générale, les technologies intrusives telles que la géolocalisation ou les systèmes biométriques sont souvent considérés comme démesuré par rapport à des finalités de contrôle RH dans la mesure où il existe d’autres systèmes qui peuvent remplir la fonction attendue même s’ils sont un peu moins efficaces. On ne peut que penser aux situations rencontrées par certains organismes qui avaient constaté que certains de leurs employés demandaient à leurs collègues de badger pour eux. Dans ces circonstances, et en faisant la preuve formelle de la nécessité de la prise de photographies en raison d’un nombre de fraudes important de ce type, on peut imaginer que la CNIL pourrait néanmoins valider ce type de processus de badgeuses photo. À noter également qu’un dispositif de vidéoprotection à l’entrée des bureaux qui aurait pour finalité d’assurer la sécurité des biens et des personnes pourrait être un moyen indirect pour décourager ce type de pratique d’employés (même si les images qui en résultent ne pourraient sans doute pas être utilisées légalement dans le cadre d’une finalité de contrôle horaires, non prévue et sans doute disproportionnée également, sans juste motif…).
#18/08/2020 – Espagne (AEPD) – Une entreprise espagnole sanctionnée pour non-respect du droit d’opposition de la personne concernée >> 1.2K€
Les faits :
Une personne a porté plainte concernant un appel en date du 23 octobre 2019 de la part de la société en cause lui proposant un bon pour un hôtel alors qu’elle était incluse dans un système d’exclusion de publicité. La société aurait récupéré le numéro de téléphone du plaignant via l’un de ses amis alors qu’il n’avait jamais autorisé l’entreprise à le contacter à des fins promotionnelles. Le 30 mars 2020, l’AEPD a ouvert une procédure à l’encontre de l’entreprise espagnole et a effectué un contrôle sur pièces.
Manquement à l’obligation de respecter le droit des personnes :
En s’incluant dans un système d’exclusion de publicité la personne a clairement exercé son droit d’opposition au traitement de ses données personnelles à des fins publicitaires. En appelant la personne pour proposer un bon pour un hôtel, la société n’a pas respecté les droits de la personne.
Décision :
L’AEPD condamne la société a une amende.
Sanction :
Le montant de l’amende s’élève à 1.2K€.
Ce qu’il faut retenir :
Lorsqu’une personne s’inscrit sur une liste noire pour ne pas être contactée à des fins promotionnelles, publicitaires, elle exerce son droit d’opposition au traitement de ses données personnelles dans ce but. Les entreprises doivent donc naturellement respecter ce droit.
Pour en savoir plus :
https://www.aepd.es/es/documento/ps-00031-2020.pdf
#18/08/2020 – Espagne (AEPD) – Vodafone España sanctionné pour traitement de données illégal >> 75K€
Les faits :
Un plaignant a déposé une plainte auprès de l’AEPD le 29 décembre 2019 à l’encontre de Vodafone España car après avoir demandé la suppression de ses données en 2015, il a continué à recevoir des sms publicitaires sur son numéro de téléphone. Le responsable de traitement assure avoir bien supprimé les données personnelles du plaignant suite à sa demande en 2015, elles ne sont plus dans le système informatique. Son numéro de téléphone a été utilisé car il s’agissait d’une suite de numéro simple à retenir et rapide à écrire, un nombre « Dummy ». Il a été utilisé comme numéro factice par les employés. Le 25 juin 2020 l’AEPD engage une procédure de sanction à l’encontre de la société.
Manquement à l’obligation de licéité du traitement :
L’autorité retient que le traitement ne reposait sur aucune base légale puisque le plaignant avait exercé son droit à la suppression de ses données. Son numéro de téléphone n’aurait pas dû être utilisé par la société même si l’intention n’était pas de contacter la personne et seulement d’effectuer des tests, pensant qu’il s’agissait d’un numéro factice.
Décision :
L’AEPD sanctionne la société d’une amende.
Sanction :
Le montant de la sanction s’élève à 75K€, l’autorité a tenu compte de la négligence de la société, du caractère continue du traitement et de 3 infractions antérieures commises par la société.
Ce qu’il faut retenir :
Il est important d’effectuer des vérifications avant d’utiliser un numéro de téléphone à des fins de tests, ce numéro peut appartenir à une personne qui pourra porter plainte et cela peut entrainer des sanctions de la part de l’autorité.
Pour en savoir plus :
https://www.aepd.es/es/documento/ps-00168-2020.pdf
#28/07/2020 –CNIL – 1ère décision de la CNIL en tant qu’autorité chef de file & condamnation de la société SPARTOO (e-commerce de chaussures) >> 250K€
Les faits : La société française Spartoo exerce son activité de vente en ligne de chaussures via son site web marchand https://www.spartoo.com/, accessible aux clients et prospects de l’enseigne, notamment depuis 13 pays de l’Union Européenne et le Royaume-Uni.
A noter que malgré le Brexit, les traitements de données concernant le Royaume-Uni ont été pris en considération d’une part parce qu’il faisait partie de l’Union Européenne au moment des faits et d’autre part car le droit Européen continue de s’y appliquer pendant une phase transitoire (jusque fin 2020).
La société Spartoo a fait l’objet d’un contrôle (sur place) par la CNIL le 31 mai 2018 (au moment même de l’entrée en vigueur du RGPD), portant en particulier sur les traitements de données personnelles liées aux clients et prospects et sur l’enregistrement des conversations téléphoniques entre les clients et salariés du service client.
A cette occasion, la CNIL a constaté plusieurs manquements aux obligations réglementaires, notifiés par huissier de justice, le 23 septembre 2019 (avec un rapport détaillant les manquements au RGPD relevés) et a engagé une procédure de sanction à l’encontre du e-commerçant au cours de laquelle Spartoo a pu présenter ses observations en octobre et novembre 2019, par écrit puis au cours d’une audience.
Coopération de la CNIL avec les autres autorités européennes : Cette 1ère décision nous apporte des indications sur le fonctionnement en pratique de la coopération entre les différentes autorités européennes, lorsque l’une d’elle est constituée autorité de contrôle chef de file.
En l’espèce, la CNIL a informé le 27 juillet 2018 l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité chef de file concernant le traitement transfrontalier effectué par la société française a ouvert la procédure pour la déclaration des autorités concernées sur ce cas.
Avant d’émettre une décision définitive, la CNIL a transmis un projet de décision aux autorités de contrôle européennes concernées, le 16 février 2020.
Les 13 et 17 mars suivants, les autorités de contrôle italienne, portugaise et de Basse-Saxe ont formulé des objections à l’égard du projet de décision qui ont été jugées pertinentes et motivées de sorte que la CNIL a décidé de modifier son projet pour en tenir compte.
Ces objections des autorités tierces ne proposant pas de prendre en compte une circonstance de fait nouvelle, d’ajouter un manquement ou d’aggraver la mesure correctrice proposée, la CNIL a choisi de ne pas les communiquer (notamment à la société SPARTOO).
Le nouveau projet de décision après révision a été soumis aux autorités de contrôle concernées le 25 juin 2020 avant d’être édité de manière définitive le 28/07/2020.
Manquement au principe de minimisation :
# Finalité de formation et évaluation des salariés
> Enregistrement des appels téléphoniques reçus par les salariés du service client.
La CNIL a considéré que la permanence de l’enregistrement intégral des appels est excessive et non justifiée sachant que la personne chargée de la formation des salariés n’écoutait en général qu’un enregistrement par semaine et par salarié. Le seul fait que les clients aient la possibilité de refuser l’enregistrement de leurs appels (ce qui n’est pas le cas des salariés) ne permet pas d’affirmer que le volume d’enregistrement n’est pas démesuré par rapport aux besoins réels de l’entreprise.
Spartoo aurait donc dû s’assurer que le nombre d’enregistrements était bien proportionné par rapport à leur utilité réelle.
> Enregistrement et conservation des coordonnées bancaires des clients, communiquées pour passer les commandes par téléphone
Ces traitements ne sont pas nécessaires pour la finalité poursuivie (formation et évaluation des salariés) et la société aurait dû mettre en place des mesures permettant d’éviter l’enregistrement des coordonnées bancaires des clients lors des appels téléphoniques même si un tel outil implique des coûts financiers et humains lourds pour l’entreprise.
Le seul fait de supprimer chaque jour les enregistrements des appels en lien avec les commandes passées par téléphone avec un paiement par carte bancaire, n’est pas suffisant. En effet, la collecte des données bancaires sert uniquement à effectuer le paiement et ce type de données n’a pas à être enregistrées par la société, même pendant une seule journée, une fois le paiement validé.
A noter que les enregistrements contenant les données bancaires des clients étaient par ailleurs conservés en clair dans la base de données pendant 15 jours. La CNIL rappelle que les coordonnées bancaires sont des données qui doivent faire l’objet d’une protection renforcée de la part des responsables de traitement, compte tenu de leur nature et des risques de fraude associés (une utilisation par des tiers non autorisés, via des paiements frauduleux, peut conduire à un préjudice pour les personnes concernées).
# Finalité de lutte contre la fraude
La CNIL confirme ici que la copie de la carte d’identité peut constituer un justificatif pertinent dans le cadre de la lutte contre la fraude (même s’il ne s’agit pas d’un élément demandé par l’entreprise mais envoyé spontanément par le client).
En revanche, la collecte en Italie de la copie de la « carte de santé » des clients (demandée par erreur par le service commerciale pendant une période de 3 semaines) qui contient plus d’informations que la carte d’identité et alors même qu’une copie de la carte d’identité est également demandée, est excessive, inadéquate et non pertinente. D’une manière générale, il n’est pas nécessaire de collecter plusieurs justificatifs d’identité.
Absence de mise en place de durées de conservation des données :
# Calcul de la durée
Lors du contrôle Spartoo a confirmé qu’aucune durée de conservation des données des clients et des prospects n’était mise en place et que ces données n’étaient ni archivées, ni effacées et restaient en base active.
Le contrôle a ainsi permis de constater la présence en base active de données concernant plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans et de près de 26 millions de prospects sans activité depuis plus de 3 ans.
La société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans.
Cependant, le fait de conserver des données de prospects pendant plus de 2 ans alors que Spartoo elle-même convient ne plus contacter ces personnes à des fins de prospection au-delà de 2 ans n’est pas justifié ou proportionné.
# Critère de départ de la durée
Concernant les données des prospects, la société a mis en place une durée de conservation à compter de leur dernière activité (notamment l’ouverture d’une newsletter).
Or la CNIL précise que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – et pourrait justifier la conservation de ses données, considérant que le message peut être ouvert involontairement. Il faut prendre en compte un acte positif comme un clic sur un lien hypertexte contenu dans le message.
# Moyens de suppression ou d’anonymisation des données
Après le délai de conservation des données Spartoo supprime la plupart des données personnelles mais conserve les adresses électroniques et les mots de passe de ses anciens clients sous une forme hachée au moyen d’un algorithme SHA-256.
La CNIL précise que l’algorithme SHA-256 est une fonction de hachage considérée par l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la CNIL comme garantissant un niveau de sécurité suffisant des données (l’intégrité des données personnelles) sous une forme pseudonymisée mais qui ne permet pas d’anonymiser des données et donc de justifier leur conservation.
La conservation de ces données de manière illimitée, pour permettre que d’anciens clients puissent se reconnecter à leur compte avec leurs mêmes anciens identifiants, n’est pas conforme au RGPD. Les données doivent être totalement supprimées de toute base active ou d’archive (ou anonymisée).
Obligation d’information des personnes concernées remplie de façon incomplète :
# S’agissant des clients : La CNIL reproche ensuite à Spartoo un défaut d’information dans sa politique de confidentialité, à 2 niveaux : aucune information sur le fait que les données sont transférées à Madagascar (s’agissant des appels téléphoniques) ; l’indication de bases légales erronées : en effet, Spartoo basait l’ensemble de ces traitements sur le consentement des utilisateurs alors que d’autres bases légales étaient plus adaptées (contrat ou intérêt légitime). Soutenir que le consentement serait la base légale la plus protectrice des intérêts des personnes n’est pas un argument entendable pour la CNIL.
# S’agissant des salariés : Si Spartoo a bien informé les salariés de l’existence des enregistrements des appels, la CNIL confirme qu’elle ne peut se contenter de le faire que via une note de service ancienne (2016) dont ne prendrait pas nécessairement connaissance les nouveaux employés. Par ailleurs, elle note que l’information communiquée est incomplète puisque les salariés ne sont pas informés de la finalité poursuivie par le traitement, de sa base légale, des destinataires des données, de la durée de conservation des données et de leurs droits.
Sécurité des données non assurée :
# Au moment de la création d’un compte par un utilisateur : Sur le site internet de Spartoo, les mots de passe composés de six chiffres, contenant un seul type de caractère, étaient acceptés.
En cours de procédure, Spartoo a modifié son système en mettant en place une mesure de blocage du compte après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute et a imposé des mots de passe de 8 caractères minimum, toujours sans mesure de complexité complémentaire.
Cela étant, la CNIL maintient son reproche à Spartoo tenant à la faiblesse de son système en termes de sécurité, d’autant qu’il s’agit de critères élémentaires et connus de sécurité, ce qui est confirmé par les recommandations de l’ANSSI pour éviter les attaques par force brute.
# Dans le cadre de la lutte contre la fraude : La CNIL reproche à Spartoo de pousser ses clients à communiquer leurs informations bancaires via des e-mails non cryptés, de conserver les copies de cartes bancaires sans troncature des numéros, en clair pendant 6 mois, ce qui ne permet pas de garantir la sécurité des données bancaires des clients.
Sanction : Amende de 250K€ et injonction de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard
Publication de la décision : Compte-tenu du nombre de manquements et de leur gravité, notamment en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires ; du nombre de personnes concernées (conservation au-delà des durées nécessaires de données de plus de 3 millions d’anciens clients et de plus de 25 millions de prospects) ; du fait que plusieurs des manquements portent sur des obligations qui existaient déjà avant l’entrée en application du RGPD.
Ce qu’il faut retenir : Cette décision est une mine d’indications pratiques (pour certaines déjà connues) sur la façon de traiter légalement les données personnelles et notamment :
-La partie des appels téléphoniques au cours de laquelle le client communique ses données bancaires pour le paiement d’une commande ne doit jamais être enregistrée.
–Les données bancaires doivent faire l’objet d’une protection renforcée compte-tenu du potentiel préjudice qui résulterait d’une perte de confidentialité.
-La carte d’identité peut constituer un justificatif pertinent dans le cadre de la lutte contre la fraude bancaire.
-La conservation de données de prospects pendant de 2 ans peut-être justifiée par le fait que l’entreprise les contacte à des fins de prospection pendant cette période.
-La seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société et n’est donc pas un critère acceptable pour fixer le début de la durée de conservation (il faut par exemple un clic sur un lien hypertexte par la personne concernée).
-L’utilisation de la fonction de hachage via l’algorithme SHA-256 est une bonne pratique en matière de sécurité (pseudonymisation des données) mais ne permet pas l’anonymisation.
-Le consentement ne peut pas être retenu comme base légale pour n’importe quel traitement, au prétexte qu’il serait plus protecteur.
-Il faut pouvoir justifier que les salariés ont été informés individuellement (et de manière complète) des traitements qui concernent leurs données.
-La longueur et la complexité d’un mot de passe sont des critères élémentaires pour apprécier sa force : pour assurer un niveau de sécurité suffisant avec des mots de passe suffisamment robustes, si l’authentification ne repose que sur un identifiant et un mot de passe, ce dernier doit comporter au minimum 12 caractères (contenant au moins 1 lettre majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial) ou au moins 8 caractères (contenant 3 de ces 4 catégories de caractères) et être accompagné d’1 mesure complémentaire (ex. temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ), blocage du compte après plusieurs tentatives d’authentification infructueuses)
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1
#23/07/2020 – Finlande (FDPA) – La société Acc Consulting Varsinais-Suomi (Independent Consulting Oy) sanctionnée pour marketing électronique direct illégal >> 7K€
Les faits :
11 plaintes ont été reçues par la FDPA sur la période allant du 24 avril au 15 septembre 2019, pas des personnes ayant reçu des messages marketing d’une société alors qu’ils n’avaient pas donné leur consentement. Entre le 15 et le 19 août 2019, l’autorité a demandé au responsable de traitement de l’éclairer concernant les plaintes. Le responsable de traitement s’est justifié en expliquant qu’il envoyait les messages aux personnes travaillant dans une société qui fait partie de son segment de clientèle. Il précise que les numéros de téléphones sur lesquels les personnes ont été contactées sont les coordonnées professionnelles des personnes.
Manquement à l’obligation de recueil préalable du consentement :
La FDPA relève que pour envoyer des messages à une personne sur son numéro de téléphone, même professionnel, il faut vérifier que la fonction de la personne a un lien significatif avec le marketing d’un produit. Le responsable de traitement aurait donc dû recueillir le consentement des personnes avant de leur adresser ces messages marketing puisque leur fonction n’était pas significativement liée avec l’objet de la prospection.
Manquement à l’obligation de respecter les droits des personnes :
Pour exercer leurs droits, les personnes pouvaient envoyer un sms. Cependant, après l’envoi du message dans le but d’indiquer leur refus d’être contactées, elles recevaient toujours les messages marketing. Le responsable de traitement n’a par ailleurs pas répondu aux demandes d’exercice des droits dans le délai légal d’un mois et n’a pas mis en œuvre les demandes. Le responsable de traitement aurait dû mettre en place un système afin de traiter les demandes d’exercice de droit et de pouvoir prouver qu’il a bien traité ces demandes.
Décision :
L’autorité finlandaise sanctionne la société d’une amende. Elle lui ordonne d’avoir un système permettant la mise en œuvre des droits des personnes et de revoir son système de marketing direct.
Sanction :
L’autorité inflige une amende de 7K€ en tenant compte
-de facteurs aggravants comme le caractère intentionnel de l’acte, le nombre d’infractions similaires sur une courte période, le désintérêt du responsable du traitement à coopérer avec l’autorité de contrôle et le fait qu’il n’a pas démontré avoir mis en œuvre des mesures correctives en cours de procédure
-de la circonstance atténuante qu’il n’a pas été établi que les personnes concernées auraient subi un préjudice financier ou matériel.
Ce qu’il faut retenir :
Des moyens doivent être mise en œuvre afin de répondre dans le délai légal d’1 mois maximum aux demandes d’exercice de droit des personnes. Par ailleurs, lorsqu’une entreprise effectue du marketing électronique direct envers des professionnels, elle doit cibler son marketing aux personnes ayant une fonction en lien avec l’objet de la prospection. A défaut, un consentement des personnes est obligatoire
Pour en savoir plus :
https://finlex.fi/fi/viranomaiset/tsv/2020/20200632
#20/07/2020 – France – CNIL – Contrôle post avis des 24 avril et 25 mai 2020 – Conformité et constats de certaines irrégularités de l’application « StopCovid France » au RGPD >> Mise en demeure publique.
Depuis le 2 juin 2020, le Ministère des Solidarités et de la Santé propose une application de suivi de contacts qui permet aux utilisateurs de se déclarer positifs au virus SARS-CoV-2 et de connaître la proximité d’autres utilisateurs diagnostiqués, cela pour les inviter à se rapprocher de services de santé pour être pris en charge dans les meilleurs délais. Trois contrôles de la part de la Commission Nationale Informatique et Libertés (CNIL) sont intervenus sur le mois de juin et ont permis de confirmer une conformité globale des traitements de données orchestrés par l’application aux exigences règlementaires du RGPD.
Néanmoins quelques irrégularités pour lesquelles le Ministère a été mis en demeure d’intervenir ont été constatées et corrigées dans la dernière version de l’application, notamment :
-La conservation de l’historique de contacts de l’utilisateur sur le serveur central. Désormais, seul l’historique de contacts de proximité est conservé et un filtre sur le mobile intervient pour ne conserver que les contacts ayant eu une proximité de moins d’un mètre avec l’utilisateur et ce, pendant plus de 15min.
-Une information aux utilisateurs manquant de certaines précisions, notamment sur la destination des données ainsi collectées, la possibilité de lecture des informations présentes sur les terminaux avec l’usage du recaptcha google et le droit de s’opposer à ces lectures.
-Un encadrement des relations contractuelles avec le sous-traitant INRIA à étoffer s’agissant des obligations du sous-traitant.
-L’incomplétude de l’Analyse d’impact réalisée par le Ministère pour les traitements réalisés à des fins de sécurité.
Ce qu’il faut retenir : Seule la dernière version de l’application est conforme aux exigences règlementaires, il convient donc pour les utilisateurs de de télécharger la mise à jour. La décision est publique compte tenu des 2 millions d’utilisateurs concernés et de la sensibilité des données traitées (données de santé). Il reste au Ministère des Solidarités et de la Santé à évaluer le degré de contribution de l’application « StopCovid France » à la stratégie sanitaire globale. Aucune sanction n’est prononcée à ce jour, la portée publique de la mise en demeure est à visée pédagogique pour alerter les utilisateurs.
Pour en savoir plus : https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles
# 16/07/2020 – CJUE – Décision d’invalidation de l’accord d’adéquation de la Commission Européenne entre le RGPD et le Privacy Shield
Depuis le 1er août 2016, le Privacy Shield était le texte de référence pour pouvoir procéder à des transferts de données d’un Etat membre de l’Union Européenne vers les Etats-Unis : simple formalité, l’entreprise de destination aux USA devaient être inscrite sur un registre américain et respecter certaines conditions de traitement de données, faisant office de garantie de protection de la vie privée pour les personnes concernées et donc pour l’entreprise européenne émettrice.
La Commission Européenne avait en effet rendu une décision d’adéquation (n°2016/1250) entre le RGPD et le Privacy Shield, permettant cela.
Dans sa décision du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) coupe court à cette possibilité et contraint de procéder avec les Etats-Unis comme avec un Etat « tiers », entendu au sens du RGPD comme un Etat n’assurant pas le même niveau de protection des données personnelles que l’Union Européenne.
Deux axes majeurs sous-tendent cette décision :
- Une atteinte au principe de proportionnalité du RGPD – au motif de préserver la sécurité nationale, la législation américaine ne prévoit aucune limitation à l’accès par ses forces de l’ordre aux données personnelles.
- Une atteinte à l’existence d’un droit à un recours effectif – la législation américaine prévoit l’intervention d’un médiateur qui ne présente pas les garanties d’indépendance requises par la Charte des Droits Fondamentaux de l’Union Européenne (CDFUE) et le RGPD. Le médiateur ne peut pas prendre de décision contraignante à l’encontre des autorités américaines, les personnes concernées n’ayant, par ailleurs, aucun droit opposable aux autorités américaines s’agissant du traitement de leurs données.
Ce qu’il faut retenir : Le Comité Européen pour la Protection des Données (CEPD) travaille actuellement sur les conséquences de cette décision d’inadéquation. A ce stade, les transferts de données intervenants entre l’Union Européenne et les Etats-Unis doivent être aménagés pour assurer une protection équivalente à celle du RGPD, malgré les dispositions de la loi américaine. Il est donc nécessaire pour les entreprises européennes de retravailler l’ensemble des documents contractuels avec leurs partenaires américains (partenaires commerciaux, hébergeurs, etc.) ainsi que l’organisation du transfert des données, car la simple adhésion au Privacy Shield n’est plus une garantie.
Pour en savoir plus : https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf
#14/07/2020 – Belgique (DPA) – Google Belgium SA sanctionnée pour non-respect du droit à l’oubli d’un citoyen belge et manquement à son obligation d’information >> 600K€
Les faits :
Google a refusé la demande d’une personne concernant l’effacement de liens contenant des informations péjoratives le concernant. Il s’agissait d’une personne ayant un rôle dans la vie publique, les liens concernaient sa relation présumée avec un parti politique ainsi qu’une plainte pour harcèlement déclarée infondée en 2010. Elle a rempli un formulaire en ligne de demande de suppression d’informations personnelles. Suite à ce refus, le plaignant a porté plainte le 12 août 2019 auprès de la DPA contre Google Belgium SA, il demande le déréférencement mondial. L’autorité effectue un contrôle sur pièce et un contrôle en ligne.
Concernant le déréférencement :
L’autorité belge a estimé que certains liens concernant une relation présumée avec un parti politique étaient nécessaires pour l’intérêt public et ne devaient pas être supprimés compte-tenu du rôle de la personne dans la vie publique. En revanche, les autres liens contenaient des informations obsolètes, non fondées et pouvant nuire gravement à sa réputation. La DPA belge considère que ces liens auraient donc dû être supprimés par Google.
Ceci étant, pour demander un déréférencement mondial le plaignant doit démontrer qu’il subirait des préjudices dans des pays tiers et une autorité nationale n’a pas le pouvoir de demander le déréférencement au niveau mondial, mais uniquement au niveau européen si le préjudice est démontré sur son territoire mais également dans les autres Etats membres. L’autorité belge a décidé qu’un déréférencement au niveau européen est adéquat ici en raison des préjudices que pourrait subir le plaignant du fait de son poste de dirigeant d’une grande entreprise.
Manquement à l’obligation de clarté :
Google, en refusant le déréférencement, a simplement mentionné « après examen de l’équilibre entre les intérêts et les droits associés au contenu en question, y compris les facteurs tels que votre rôle dans la vie publique, Google a décidé de ne pas le bloquer ». Cela ne permettait pas au plaignant de comprendre et de connaître le motif de refus de Google.
Décision :
La DPA enjoint à Google de cesser les référencements des sites internet dans tout l’Espace Economique Européen dans toutes leurs versions linguistiques mais uniquement pour les utilisateurs les consultant depuis l’Espace Economique Européen dans un délai de 7 jours à compter de la notification de la décision. L’autorité sanctionne Google d’une amende. Cette décision ne constitue pas la première sanction par voie d’amende administrative vis-à-vis de Google pour un manquement dans le contexte d’un déréférencement : l’autorité, a imposé à Google le 11 mars 2020 une amende d’environ 7 millions d’euros pour plusieurs manquements à ses obligations de déréférencement.
Sanction :
Le montant de l’amende est de 600K€ (500K€ pour le maintien du référencement alors que Google pouvait avoir des doutes sérieux sur le fait de devoir maintenir les liens en cause) et 100K€ pour son manque de transparence. L’autorité a tenu compte du fait malgré plusieurs précédent sur cette même thématique en France, en Espagne ou en Suède, le modus operandi du groupe ne lui permet toujours pas de remplir totalement ses obligations nées du droit à l’oubli.
Ce qu’il faut retenir :
Une autorité de protection des données européenne ne peut obliger à un déréférencement mondial. Le déréférencement peut être uniquement pour les personnes consultant les sites au sein de l’Espace Economique Européen. Par ailleurs, l’entité qui déréférence les liens doit motiver sa décision de ne pas accepter un déréférencement.
Pour en savoir plus :
https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-37-2020.pdf
#03/06/2020 – Pologne (UODO) – Un responsable de traitement exploitant une crèche et une école privées sanctionné pour manque de coopération >> 1K€
Les faits :
Le responsable de traitement a subi une violation de données concernant environ 200 personnes : il avait perdu l’accès aux données stockées dans la crèche et l’école. Ces données étaient les noms et prénoms des enfants, de leurs parents, la date de naissance des enfants, des numéros de comptes bancaires, adresses postales, numéros d’identification PESEL, adresses e-mail, les numéros de carte d’identité et numéros de téléphone. Il a donc notifié cette violation en juin 2019 à l’UODO et aux personnes concernées. Cependant, il n’a pas fourni les informations nécessaires à l’UODO pour évaluer la violation de données qui l’a interrogé à ce sujet à compter de juillet 2019.
Manquement à l’obligation de coopération :
L’UODO a demandé des informations complémentaires à 3 reprises sans obtenir de réponse : les deux premiers courriers n’ont pas été réceptionnés à temps par l’entreprise ont été retournés. Le 3ème, bien reçu, n’a entraîné aucune réponse du responsable de traitement. Celui-ci n’a donc pas coopéré avec l’autorité, il l’a notamment empêchée de vérifier si la notification aux personnes avait été faite conformément au RGPD.
Décision :
L’UODO sanctionne le responsable de traitement à une amende pour manquement à son devoir de coopération avec l’autorité de contrôle, d’autant que son silence est incompréhensible puisqu’il avait lui-même notifié la violation.
Sanction :
Le montant de la sanction infligée est d’environ 1K€ (5 000 PLN). L’UODO a pris en compte la gravité de l’infraction, sa durée et le caractère intentionnel. Par ailleurs, les données concernaient des enfants et méritent une protection particulière.
Ce qu’il faut retenir :
Coopérer avec l’autorité de contrôle est une obligation, le seul non-respect de celle-ci peut entrainer des sanctions.
Pour en savoir plus :
https://uodo.gov.pl/pl/138/1601
#30/06/2020 – Pologne (UODO) Une école polonaise réprimandée pour traitement de données illégal >> Réprimande
Les faits :
Une école a mené une enquête sur ses élèves du primaire au secondaire afin de déterminer ceux qui avaient besoin d’un soutien psychologique. Pour cela, le directeur a collecté des données telles que la situation des élèves (dont certains étaient bien sûr mineurs) notamment sur les plans familial, financier et social via un formulaire papier. L’autorité a ouvert une procédure à l’encontre de l’école et a effectué un contrôle en juillet 2019. Visiblement les données n’étaient stockées que via ce formulaire, elles n’étaient pas numérisées ni copiées et des mesures ont été prises pour éviter la possibilité d’une divulgation de ces données à des tiers non autorisés.
Manquement au principe de licéité du traitement :
Le traitement des données ne reposait sur aucune base légale. Cependant, les écoles ont des obligations légales qui peuvent être floues pour les établissements puisqu’ils doivent traiter les données dans la mesure du nécessaire à l’exécution des tâches et obligations découlant de la réglementation. Les taches et obligations ne sont pas précisées dans la réglementation.
Décision :
Aux vues des circonstances, l’autorité a décidé de ne pas infliger d’amende à l’école. Elle la réprimande simplement. Le caractère involontaire de l’infraction est une circonstance atténuante pour l’autorité de contrôle. De plus, le directeur a immédiatement pris les mesures nécessaires, il a détruit les formulaires et a arrêté de faire mener ces enquêtes par certains enseignants, analysé l’incident et sensibilisé le personnel au respect de la vie privée. Par ailleurs, les élèves ne semblent pas avoir subi de préjudice du fait de l’incident.
Ce qu’il faut retenir :
L’école n’a pas été sanctionnée car son intention première était de répondre à une obligation légale. L’autorité a été indulgente également en raison de la coopération immédiate du responsable de traitement. Le manque de coopération avec l’autorité peut mener à des sanctions mais la coopération peut être retenue comme une circonstance atténuante et faire baisser le montant de la sanction.
Pour en savoir plus :
https://uodo.gov.pl/decyzje/DKN.5112.7.2020%20%09
#26/06/2020 – Belgique (DPA) – Une association sanctionnée pour envoi de messages marketing illégaux >> 1K€
Les faits :
L’association effectuait une collecte de fonds, pour cela elle a contacté les anciens donateurs, via des messages de marketing direct. Une plainte a été déposée par l’un d’entre eux car il avait demandé l’effacement de ses données personnelles et avait demandé de ne pas être contacté.
Manquement à l’obligation de respect du droit des personnes :
L’association, en n’effaçant pas les données de l’ancien donateur comme il l’avait demandé et en le contactant, n’a pas respecté le droit d’effacement et le droit d’opposition de la personne.
Manquement à l’obligation de licéité du traitement :
L’association a invoqué son intérêt légitime comme base légale pour ce traitement. L’autorité belge retient au contraire que l’ancien donateur ayant exercé son droit d’opposition, le traitement ne peut plus reposer sur aucune base légale. Le traitement n’était donc pas licite. En effet, il ne remplissait pas les conditions cumulatives (la 3ème en l’occurrence) imposées par la jurisprudence de la CJUE pour invoquer l’intérêt légitime selon lesquelles le responsable de traitement doit démontrer que les intérêts poursuivis par le traitement peuvent être reconnus comme légitimes, que traitement envisagé est nécessaire pour la finalité envisagée ainsi que la mise en balance de ces intérêts par rapport aux droits et libertés fondamentaux des personnes concernées (critères de finalité, de nécessité et test de mise en balance).
Décision :
L’autorité belge sanctionne l’association à une amende pour manquement à l’obligation de licéité du traitement et de respect du droit des personnes concernées.
Sanction :
L’autorité de contrôle inflige une amende de 1K€ pour ces manquements.
Ce qu’il faut retenir :
Lorsqu’une personne exerce son droit d’opposition, il n’est pas possible pour un responsable de traitement de se prévaloir de son intérêt légitime pour continuer de traiter ses données. Par ailleurs, lorsque la personne demande l’effacement de ses données, cet effacement doit être effectif de sorte que les données ne doivent plus être accessibles ni pouvoir être traitées.
Pour en savoir plus :
#24/06/2020 –France – Cour de Cassation : Polair et autre c/ L’agent judiciaire de l’Etat – La demande de divulgation des comptes d’une société unipersonnelle jugée proportionnelle aux exigences du RGPD
La Cour de Cassation intervient en faveur d’une injonction émise par un juge de la surveillance du registre du commerce et des sociétés, au président et associé unique d’une société unipersonnelle, de communiquer les comptes annuels sur trois années consécutives.
En effet, si la Cour rappelle bien que « les données portant sur le patrimoine d’une personne physique relèvent de sa vie privée », la demande de communication des comptes d’une société par actions simplifiée unipersonnelles ne révèle que, de manière indirecte, certains des éléments du patrimoine de la personne physique, associée unique, dont le patrimoine est distinct de celui de la société par action simplifiée. Par ailleurs, la communication de ces éléments est nécessaire à évaluer la valeur des actions de la société, en conséquence, la Cour statue qu’il y a proportion entre l’objectif poursuivi de détection et de prévention des difficultés des entreprises par le juge du commerce et l’atteinte à la vie privée résultant de la communication publique des comptes de la société unipersonnelle.
Un contrôle de proportionnalité est effectué par la Cour de cassation entre les intérêts en cause, notamment le risque d’atteinte aux droits et libertés de la personne concernée au regard du RGPD. Néanmoins, le RGPD prévoit la possibilité de dérogations nationales à ses exigences. Dans le cadre d’une société unipersonnelle, la communication des comptes sur application du code du commerce, considérés comme des éléments distincts du patrimoine de la personne physique, ne permet pas de qualifier l’atteinte de publication de données sans consentement de la personne concernée. L’actionnaire unique doit déférer à une astreinte de 3000€ au Trésor Public, d’après la seconde injonction du même juge pour ne pas avoir communiqué les comptes lors de la première injonction.
Ce qu’il faut retenir : La communication des comptes d’une société unipersonnelle, bien que révélant des éléments du patrimoine de son associé unique, bel et bien considérés comme des données personnelles, ne peut être contrariée par l’application du principe de consentement au traitement de ses données personnelles par l’associé unique, en raison de l’intérêt en balance de prévention des difficultés des entreprises poursuivi par le juge. Tout est donc une question d’équilibre entre les enjeux concernés et l’atteinte à la vie privée.
Pour en savoir plus : https://www.courdecassation.fr/jurisprudence_2/arrets_publies_2986/chambre_commerciale_financiere_economique_3172/2020_9593/06.juin_9778/258_24_45047.html
#19/06/2020 – Conseil d’Etat – L’interdiction générale de la pratique des « Cookies Walls » édictée par la CNIL invalidée par le Conseil d’Etat
Les Faits : En 2019, forte d’une année d’application des dispositions du RGPD, la CNIL a édicté des lignes directrices relatives aux « cookies » et traceurs de connexion déposés par les éditeurs de sites web afin de procéder à un ciblage publicitaire des utilisateurs de smartphone, tablette et ordinateur. En France, les lignes directrices édictées par une autorité de régulation comme la CNIL sont qualifiées de « droit souple » : elles ne disposent pas d’une force juridiquement contraignante mais sont respectées en pratique par les professionnels. En conséquence, plusieurs associations ont saisi le Conseil d’Etat pour obtenir l’annulation de ces lignes directrices « Cookies et autres traceurs » et plus particulièrement de deux points :
- L’interdiction généralisée de la pratique des « cookies walls », ou encore murs de cookies, qui consiste à ouvrir une fenêtre de demande d’acceptation des cookies tellement volumineuse qu’elle couvre la page internet que l’internaute cherche à consulter, il ne peut voir la page en question que s’il accepte le dépôt de l’ensemble des cookies proposés, dans le cas contraire il ne peut accéder à la page.
- L’obligation de délivrer une information spécifique sur la finalité de chaque traitement pour lequel un consentement est recueilli auprès de l’internaute.
Décision : Sur le premier point, le Conseil d’Etat a invalidé l’interdiction générale et absolue édictée par la CNIL dans ses lignes directrices de la pratique des « cookies walls ». Le Conseil d’Etat se prononce pas sur le fond, du fait que la CNIL tire cette interdiction du principe de liberté de consentement reconnu aux personnes (et donc aux internautes) par le RGPD, en l’opposant par exemple avec la liberté d’entreprendre et donc de créer un site internet accessible uniquement avec une acceptation des cookies. En revanche, c’est sur la compétence de la CNIL pour édicter cette interdiction que s’est prononcé le Conseil d’Etat. En effet, il affirme que la CNIL a outrepassé ses compétences légales en énonçant une interdiction aussi étendue et formelle par l’usage d’un acte de droit souple. Cela peut s’interpréter comme le fait que la CNIL doit faire respecter les disposition du RGPD, non les étendre car elle n’en a pas le pouvoir.
Sur le second point, le Conseil d’Etat confirme la position définie dans les lignes directrices s’agissant de l’obligation d’information sur chaque finalité poursuivie par le dépôt de cookie, fondée sur un consentement qui doit être donné de manière indépendante et spécifique. En conséquence, une information spécifique à chaque finalité est bien nécessaire quelle que soit la pratique de l’éditeur du site : une demande de consentement globale à l’ensemble des cookies, ou une demande cookie par cookie. Tirée de la loi Informatique et Libertés du 6 janvier 1978, cette exigence de la CNIL est confortée par le Conseil d’Etat dès lors qu’ici les lignes directrices suggèrent mais n’imposent pas de pratiques spécifiques pour la respecter.
Ce qu’il faut retenir : En pratique, un éditeur peut générer une demande de consentement globale au dépôt de traceurs sur le terminal de l’internaute. Le Conseil d’Etat n’explicite pas que la liberté de consentement de l’internaute est entachée par cette pratique. En revanche, l’obligation confirmée de préciser chaque finalité de traitement poursuivie par le dépôt des traceurs, pour que ce consentement soit indépendant et spécifique, pourra participer à la réduction de cette pratique. En effet, l’objectif reste que l’internaute puisse refuser d’être tracé selon la finalité du cookie, donc puisse refuser cookie par cookie. La demande de consentement globale pourrait devenir tellement dense (avec la définition d’un grand nombre de cookies déposés par les diverses entités y ayant intérêt et l’indication de la finalité de chacun des cookies définie avec précision) que cela devrait poussera l’éditeur d’un site à procéder à une véritable sélection des traceurs pour éviter que les internautes ne fuient son site web au profit d’un autre, accessible plus facilement et donnant sans doute moins l’impression d’une (tentative d’) intrusion dans sa vie privée. Enfin, il est notable que la CNIL, garante des droits des personnes concernées, maintient son attention sur la création et la gestion des sites web et va poursuivre ses contrôles notamment en ligne.
#19/06/2020 – France – Conseil d’Etat, assemblée restreinte – Validation de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google LLC
Le principe d’information des personnes concernées, une des exigences phares du RGPD, s’était vu offrir une application remarquée lors d’une décision du 21 janvier 2020 de la Commission Nationale Informatique et Libertés (CNIL) à l’encontre de Google LLC : une sanction de 50 millions d’euros pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Décision à retrouver dans notre news du 21 janvier 2019 ; « Condamnation de la société Google LLC, 1ère amende française au titre du RGPD >> 50 Millions € ».
A la suite d’une plainte déposée par des associations (La Quadrature du Net et None of your business), la CNIL a mené une investigation immersive à partir de la création d’un compte google via un système d’exploitation Android. Cela avait mené à deux constats ;
- Les informations essentielles étaient diluées sur plusieurs pages et difficilement accessibles au créateur du compte et, par ailleurs imprécises, puisque le traitement intrusif du fait de sa collecte sur les solutions Gmail, Google Maps ou Youtube était massif.
- Ensuite le recueil du consentement pour le traitement de personnalisation de la publicité n’était pas valable puisqu’il consistait en une case pré-cochée, ne laissant pas un véritable choix à l’utilisateur d’accepter ou de refuser d’être ciblé.
La sanction prononcée, la plus importante en Europe à ce jour au titre de l’application du RGPD a été contestée devant le Conseil d’Etat par Google LLC principalement au motif que l’autorité de régulation française (CNIL) serait incompétente pour intervenir sur ce dossier et donc pour trancher les débats. En effet, Google LLC faisait valoir que la CNIL, autorité française, n’était pas compétente au regard du mécanisme « d’autorité chef de file » puisqu’il avait désigné sa filiale irlandaise comme responsable de traitement, l’autorité de contrôle irlandaise aurait donc dû être la seule autorité de contrôle à pouvoir se saisir de la plainte des associations.
Décision : Le Conseil d’Etat en assemblée restreinte est venu confirmer la bonne application des exigences du RGPD par la CNIL, tant d’un point de vue de sa compétence pour intervenir, que du fait que l’information et l’obtention du consentement des personnes concernées n’étaient pas effectués suivant les principes édictés par le RGPD. Par conséquent la sanction énoncée est confirmée.
Ce qu’il faut retenir : Le RGPD concerne tout le monde, les multinationales, géantes du digital comme les petites structures. Il prévoit un système de « guichet unique » ou encore « d’autorité chef de file » qui consiste à désigner une autorité de contrôle nationale comme compétente, s’agissant des traitements transfrontaliers intervenant sur le territoire de l’Union Européenne, dès lors que le responsable de ces traitements, entendu comme toute entité décisionnaire des finalités et des moyens d’un traitement remis en cause, est établi sur son territoire étatique. La désignation d’une autorité chef de file rend les autres autorités de contrôle incompétentes pour intervenir.
Le Conseil d’Etat français a donc précisé les conditions dans lesquelles peut être invoquée la notion de « guichet unique ». Dès lors que n’est pas rapportée la preuve d’un véritable pouvoir décisionnaire d’une filiale ou autre organe de la société visée, établi sur le territoire de l’Union Européenne, pour la mise en œuvre des traitements transfrontaliers, le Conseil d’Etat considère que le responsable de traitement est établi à l’extérieur de l’Union Européenne : le mécanisme du « guichet unique » n’est pas applicable. En conséquence, chaque autorité de contrôle peut se saisir des débats à partir du moment ou les traitements transfrontaliers interviennent sur le territoire de l’état membre sur lequel elle a compétence pour contrôler la bonne application du RGPD. Il ne suffit pas de décréter qu’une entité est responsable de traitement pour que ce soit le cas, encore faut-il qu’elle ait un véritable pouvoir décisionnaire sur les opérations de traitement.
Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil
#16/06/2020 – Belgique (APD) – Un responsable de traitement sanctionné pour défaut de réponse à une demande d’opposition et de suppression >> 1K€
Les faits : Une personne a demandé à plusieurs reprises d’exercer son droit d’opposition concernant le traitement de ses données à des fins de prospection, ne souhaitant plus recevoir des e-mails relayant différentes prestations et animations-spectacles proposées par la défenderesse et demandant à ce que ses données soient supprimées. Sans réponse du responsable de traitement à sa demande, elle a décidé de porter plainte le 17 septembre 2019. L’autorité belge a dans un premier temps, dès le 15 octobre 2019, ordonné au responsable de traitement de répondre à cette demande d’opposition sous 7 jours, mais il ne l’a pas fait.
Manquement à l’obligation du respect du droit des personnes concernées :
Le responsable de traitement n’a pas répondu à la demande du plaignant même après qu’une décision ait été prise lui ordonnant de le faire.
Manquement à l’obligation de coopérer avec l’autorité de contrôle :
Le responsable de traitement a refusé de répondre et a montré un désintérêt total et manifeste du respect de la réglementation et de la vie privée des personnes, avec un premier et seul e-mail transmis à l’autorité au cours de la procédure, précisant « On est sérieux là ? De quoi parle-t-on svp ? De mails ? Et puis on s’étonne que le monde va mal ».
Décision :
L’APD condamne le responsable de traitement à une amende pour avoir violé le droit d’opposition de la personne concernée, considéré comme un manquement grave, l’un des objectifs de la nouvelle réglementation européenne étant justement de renforcer les droits des personnes ainsi son obligation de coopérer avec la BDPA. Le comportement de la société défenderesse a été considéré comme aggravant.
Sanction :
L’autorité inflige une amende de 1K€ au responsable de traitement qui peut paraître faible compte-tenu de l’attitude du responsable de traitement. Ceci étant, nous n’avons pas d’information au sein de la décision sur la situation économique de celle-ci.
Ce qu’il faut retenir :
La coopération avec l’autorité de contrôle est une obligation en tant que telle qui peut donner lieu, à elle seule, à une amende.
Pour en savoir plus :
#15/06/2020 – Suède (SDPA) – Une association coopérative d’habitation sanctionnée pour vidéosurveillance illégale >> 2K€
Les faits :
Des plaintes ont été reçues par la SDPA concernant des caméras de vidéosurveillance et l’enregistrement audio dans l’entrée d’un bâtiment et dans la cage d’escalier. L’association avait installé 4 caméras dans la cage d’escalier en avril et juillet 2018, dans l’entrée principale avec l’une d’entre elle dirigée vers le local de stockage de l’association. Elle les avait installées pour pallier des situations de vandalisme. Les caméras fonctionnaient 7 jours sur 7, 24h/24. Les personnes ne pouvaient donc pas se rendre à leur domicile sans être filmées.
Manquement au principe de licéité du traitement :
Les caméras situées dans les cages d’escaliers permettaient à l’association d’analyser les habitudes des habitants, les visites qu’ils recevaient ainsi que leur cercle social. Pour utiliser ce type de surveillance, et surtout dans ce cadre aussi intrusif, il est nécessaire de justifier le traitement par des raisons très impérieuses. Les problèmes de vandalisme ne sauraient justifier une telle surveillance. Par ailleurs, le fait d’écouter en permanence les habitants par un système d’enregistrement audio n’est pas autorisé. Le traitement ne reposait donc sur aucune base légale et est donc illicite.
Manquement au principe de minimisation des données :
L’enregistrement audio 24h/24, 7j/7 n’est pas autorisé et n’est pas nécessaire. Il faut minimiser les données collectées au strict nécessaire et ici l’enregistrement des caméras aurait suffi à mettre en évidence d’éventuels faits de vandalisme.
Manquement à l’obligation d’information des personnes :
Une pancarte avec un pictogramme était affichée à la porte d’entrée de la résidence et des bâtiments concernés amis les habitants n’étaient pas correctement informés car ils ne savaient pas vers qui se tourner pour exercer leurs droits par exemple.
Décision :
L’association est condamnée à une amende pour ses manquements aux obligations de licéité du traitement, d’information et au principe de minimisation des données.
Sanction :
La sanction infligée est une amende de 2K€. L’autorité a pris en compte la durée de l’infraction et sa gravité.
Ce qu’il faut retenir :
Lorsqu’un responsable de traitement met en place un système de vidéosurveillance, il doit préalablement mettre en balance les intérêts en présence, c’est-à-dire son intérêt et la vie privée des personnes potentiellement impactées par ce traitement. Par ailleurs, seules les données essentielles à la finalité du traitement doivent être collectées et l’ensemble des informations nécessaires doit être communiqué aux personnes concernées.
Pour en savoir plus :
https://www.imy.se/globalassets/dokument/beslut/2020-06-16-kamerabevakning-hos-brf.pdf
# 12/06/2020 – International / Québec – Projet de Loi n°64 – Réforme de la Loi sur la protection des renseignements personnels dans le secteur privé
Le projet de Loi présenté au Québec ambitionne de rendre plus strict le cadre de la gestion des données personnelles en réformant la législation actuelle.
Certains points du projet de loi sont dans la droite ligne de ce qui a été implémenté par le RGPD reconnu comme le système le plus avancé en la matière actuellement.
Par exemple, la destruction ou l’anonymisation des données dès lors que la finalité pour laquelle elles avaient été collectées a été remplie, le droit à la portabilité, l’obligation de nommer un responsable de la protection des renseignements personnels (le RPRP, notre DPO européen), la nécessité de documenter ses traitements pour pouvoir démontrer sa conformité, les obligations d’informer les personnes concernées, de notifier les violations de confidentialité des données, les principes de privacy by design & by default avec la conduite au début d’un projet d’une analyse des facteurs relatifs à la vie privée, l’obligation de vérifier que le pays destinataire des données avant tout transfert à l’étranger assure le même niveau de protection (une liste des Etats avec un niveau de protection adéquat devrait être éditée par le gouvernement).
L’âge de la « majorité » pour donner son consentement au traitement de ses données personnelles serait établi à 14 ans.
De la même manière, les sanctions pouvant être décidées par la CAI (Commission d’accès à l’information) sont renforcées avec des amendes administratives qui peuvent monter jusque 10 millions de CAD (environ 6,4 millions d’euros) ou 2% du CA mondial de l’exercice précédent, pour les organisations, la somme la plus élevée étant retenue. Des sanctions pénales sont également prévues avec 25 millions de CAD (environ 16 millions d’euros) ou 4% du CA mondial de l’exercice précédent, la somme la plus élevée étant là encore retenue.
#09/06/2020 – Espagne (AEPD) – Iberdrola sanctionnée pour manque de coopération >> 4K€
Les faits :
Une plainte a été déposée le 4 octobre 2019 à l’encontre de la société Iberdrola à laquelle l’AEPD a donc demandé des informations. Cependant, la société n’a pas répondu à la demande d’informations dans le délai d’un mois qui lui était accordé. L’AEPD a donc ouvert une procédure le 4 décembre 2019. Une seconde demande a été envoyé à la société, elle devait répondre dans un délai de 10 jours.
Manquement à l’obligation de coopération :
La société n’a pas répondu aux demandes d’informations de l’autorité de contrôle. Il s’agit d’un manquement clair à son devoir de coopération.
Décision :
L’AEPD inflige une amende à la société pour manquement à son devoir de coopération.
Sanction :
L’amende est de 4K€, l’AEPD a tenu compte de la négligence ou l’intentionnalité de l’infraction.
Ce qu’il faut retenir :
Le seul manque de coopération avec l’autorité de contrôle peut entraîner une sanction.
Pour en savoir plus :
https://www.aepd.es/es/documento/ps-00444-2019.pdf
# 29/05/2020 – Découverte d’un piratage sur le site web de Bureau Vallée
Le site web marchand de l’enseigne spécialisée dans les fournitures de bureau vient de faire l’objet d’un piratage sur la partie dédiée au paiement en ligne.
Visiblement le pirate reproduisait la page du prestataire de paiement ce qui lui permettait de dupliquer les informations des cartes bancaires saisies au moment du paiement.
Bureau Vallée a informé la CNIL, ainsi que ses clients en précisant « tout client ayant passé commande sur [son] site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires ».
Bureau Vallée a également renforcé son système de sécurité et modifié tous les mots de passe de ses administrateurs.
Ce qu’il faut retenir : Une recrudescence des attaques informatiques a été constatée durant la crise Covid-19 nécessitant une attention redoublée des entreprises pour la sécurité de leurs systèmes d’information.
#26/05/2020 – Finlande (FDPA) – La société Taksi Helsinki Oy sanctionnée pour vidéosurveillance illégale >> 72K€
Les faits : La société Taksi Helsinki Oy est une société de taxis, qui avait installé un système de vidéosurveillance à l’intérieur de ses voitures, l’a remplacé durant l’été 2019 par un système qui enregistre également le son. Les personnes concernées par ces traitements de données sont ainsi à la fois les chauffeurs et les clients. Par ailleurs, la société utilisait son programme de fidélité à des fins de profilage en collectant des données de localisation. L’autorité de protection des données finlandaise a ouvert une enquête sur la société en novembre 2019, cette enquête a permis de relever plusieurs manquements au RGPD.
Manquement à l’obligation de mener une analyse d’impact préalablement au traitement :
Concernant le système de vidéosurveillance, une analyse d’impact aurait déjà dû être menée afin de mettre en balance les finalités poursuivies et les risques pour la vie privée des personnes concernées. Le responsable de traitement n’a pas effectué cette analyse préalable. Le système d’enregistrement du son étant encore plus intrusif que le précédent, une analyse d’impact aurait également dû être menée.
Manquement à l’obligation de minimisation des données :
La société de taxis ne traitait que certains audios de certains taxis. Cependant, la société affirme qu’il s’agissait d’une erreur et qu’elle ne traite aucun audio. La société a donc manqué à son obligation de minimiser les données, les audios n’étaient pas nécessaires au traitement puisqu’ils n’étaient pas supposés être traités.
Manquement à l’obligation d’information :
L’information dans le taxi n’était pas suffisante. Elle n’indiquait rien sur l’enregistrement audio ni sur le profilage effectué via le programme de fidélité et ne précisait pas aux clients où ils pouvaient obtenir des informations à ce sujet.
Décision :
L’autorité sanctionne la société d’une amende et lui impose de mener une étude d’impact pour ses traitements de données vidéo, de cesser immédiatement les enregistrements audios et de rectifier ses procédures internes sur les rôles de traitements de données et sa documentation de conformité.
Sanction :
L’autorité inflige une amende de 72K€ à la société, elle a tenu compte de la nature, la gravité et la durée des manquements, du nombre de personnes concernées et du montant des dommages causés.
Ce qu’il faut retenir :
Avant tout traitement de données il est nécessaire de s’interroger sur le risque potentiel pour la vie privée des personnes concernées et le cas échéant, de mener une analyse d’impact préalablement au traitement. Aucune donnée non utile et nécessaire ne doit être collecté et les informations suffisantes et complètes sur les traitements doivent être communiquées aux personnes.
Pour en savoir plus :
# 20/05/2020 – France – Surveillance d’examens en ligne, il y a des données personnelles là-dessous !
Le contexte de la crise sanitaire oblige certains établissements à envisager l’organisation d’examens à distance.
Même si cela peut ne pas sembler évident, des données personnelles concernant en particulier les étudiants sont concernés et ainsi l’application du RGPD et de la LIL sont nécessaires. En effet, de nombreux outils numériques sont susceptibles d’être utilisés, du plus simple telle que la télésurveillance (surveillance à distance des personnes) au plus complexe avec des algorithmes de détection de fraude par exemple.
La CNIL a donc choisi de publier des recommandations destinées aux établissements.
Rappelons par exemple, comme plusieurs jurisprudences récentes l’ont affirmé, que la base légale du consentement dans le cadre d’un rapport hiérarchique peut facilement être retoquée. Ici, dès lors qu’en pratique l’étudiant n’a pas réellement le choix de refuser sans être pénalisé, son consentement ne serait pas libre.
Dans tous les cas, il s’agit ici de mettre en place (probablement en un temps record) toute la documentation et les mesures techniques et organisationnelles requis pour tout traitement de données personnelles et en prenant garde si les personnes concernées sont mineures.
La mise en place des examens en ligne promet de donner du fil à retordre aux établissements pour rester dans la légalité.
Pour en savoir plus : https://www.cnil.fr/fr/surveillance-des-examens-en-ligne-les-rappels-et-conseils-de-la-cnil
# 19/05/2020 – UK – Violation de données personnelles chez EasyJet – Notification générale et tardive à sa clientèle
Victime d’une cyber-attaque, c’est presque l’équivalent de 6 mois de réservations clients, entre octobre 2019 et mars 2020, dont EasyJet et EasyJet Holidays ont perdu la confidentialité.
Parmi les informations concernées se trouvent en plus des noms, prénoms, date et prix des réservations, 2200 dossiers de carte bancaire : données sensibles en raison de l’exploitation qui peut en être faite.
A ce titre et compte tenu des 9 millions de personnes concernées ainsi que de la durée de la violation, EasyJet n’a pas manqué d’en informer par mail sa clientèle en insistant sur les mesures de vigilance à déployer, tout comme elle l’avait fait précédemment au mois de mai pour un petit groupe de personnes concernées. Cependant, il est dommage de constater qu’il manque à cette information quand précisément et comment la violation est intervenue, bien qu’il soit précisé que l’atteinte a cessé.
Une notification de cette violation a été effectuée, environ 4 mois après la prise de conscience de la violation, auprès du centre National de Cybersécurité et du bureau du commissaire à l’information du Royaume-Unis (ICO) qui étudient le dossier afin de déterminer si une faille de sécurité est imputable à la compagnie aérienne.
D’un point de vue client, un recours collectif a été déposé devant la High Court de Londres sur le fondement du RGPD, pour défaut d’information dans un délai imparti et atteinte à la vie privée, pouvant aboutir à un dédomagement à hauteur de 18 milliards de livres, soit 2000 livres par client.
Pour information, un package de données suffisament précis pour permettre une usurpation d’identité, notamment parce qu’il contient des cartes de crédits européennes, anglaises ou asiatiques vaudrait environ 860$. D’après le dernier rapport de Verizon, la mauvaise configuration des dépôts et des espaces de stockage dans le cloud est un facteur commun et croissant aux dernières violations constatées, à côté des logiciels malveillants, l’usage d’identifiants volés et le phishing.
Ce qu’il faut retenir : Une violation de données personnelles doit être processée : anticipée, pour réagir correctement et dans les temps soit 72h à partir du constat de la violation. Une personne en interne doit être désignée pour procéder aux formalités nécessaires d’évaluation du risque, voir prendre conseil auprès de spécialistes si besoin afin d’éviter des situations préjudiciables tant pour la société que les particuliers. Réagir à temps, c’est réagir utilement.
Pour en savoir plus : https://www.zdnet.fr/actualites/easyjet-action-collective-pour-un-montant-de-plus-de-20-milliards-d-euros-pour-vol-de-donnees-contre-la-compagnie-aerienne-39904221.html
# 18/05/2020 – France – Conseil d’Etat – A Paris, suspension du contrôle des règles de sécurité sanitaire par drones ! >> 6K€
Faits : Le 18 mars dernier, au vu du contexte sanitaire inédit, la préfecture de police comptait des effectifs de plus au sein de son équipe : des drones travaillant quotidiennement afin d’effectuer une mission de police administrative pour vérifier le respect des mesures de confinement. Les 4 drones sont équipés d’un zoom optique x3 et d’un haut-parleur, ne sont pas utilisés simultanément et ne filment pas de manière continue (2 à 3h max par jour). La finalité de cette utilisation était d’informer l’état-major de la préfecture de police pour qu’il puisse à son tour déployer une unité d’intervention pour procéder à la dispersion des personnes ou l’évacuation de lieux fermés au public. En outre, ces drones :
– N’avaient pas pour finalité de constater les infractions ou d’identifier leurs auteurs ;
– Ne filmaient pas en activant leurs zooms ;
– N’étaient pas équipés de carte mémoire de sorte qu’ils ne procédaient à aucun enregistrement de film ou enregistrement d’image.
C’est alors que le 2 mai dernier, l’association La Quadrature du Net et la Ligue des droits de l’Homme saisissent le juge des référés du Tribunal Administratif de Paris afin de faire cesser l’utilisation de ce dispositif. Le 05 mai dernier, le juge des référés rejette leur demande. Le TA considère que si les drones étaient capables d’identifier les individus, il n’était pas établi que ces derniers auraient été utilisés par les services de la préfecture de police dans des conditions permettant d’identifier les individus au sol et ce depuis le début du confinement et que « même si la préfecture de police a, par ce dispositif, procédé à la collecte, à l’enregistrement provisoire et à la transmission d’images, elle ne peut être regardée comme ayant procédé à un traitement de données à caractère personnel, au sens des dispositions précitées du règlement (UE) 2016/679, de la directive (UE) 2016/680 et de la loi du 6 janvier 1978. Il n’apparaît pas, dès lors, qu’elle aurait porté une atteinte illégale aux libertés fondamentales que sont le droit à la vie privée et le droit à la protection des données personnelles, faute notamment que les traitements en cause aient été autorisés et organisés par un texte de droit interne ».
Le 6 mai dernier, La Quadrature du Net et la Ligue des droits de l’Homme saisissent cette fois-ci le Conseil d’Etat.
Sur la nature des données : Considérant que les drones, équipés d’un zoom et volant « à une distance inférieure à celle fixée par la note du 14 mai 2020 » peuvent collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter que ces informations puissent conduire – « au bénéfice d’un autre usage que celui actuellement pratiqué » – à rendre les personnes concernées identifiables. Les données collectées sont donc des données à caractère personnel.
Sur le traitement de données à caractère personnel : Un dispositif consistant en le fait de collecter des données, grâce à la captation d’images par drone, à les transmettre dans certains cas au centre de commandement de la préfecture de police pour les visionner en temps réel et les utiliser pour diligenter des missions de police administrative constitue donc un traitement au sens de cette directive. Dans le cas d’espèce, la préfecture de police aurait dû obtenir une autorisation par arrêté du ou des ministres compétents ou par décret, selon les cas, pris après avis motivé et publié de la CNIL (article 31 de la loi du 06 janvier 1978). L’utilisation de ces dispositifs sans autorisation règlementaire est constitutive d’atteinte grave et manifestement illégale au droit au respect de la vie privée.
Décision : Le Conseil d’Etat enjoint et met à la charge de l’Etat de cesser ces mesures de surveillance par drone afin de vérifier le respect, sur Paris, des règles de sécurité sanitaire applicables à la période de déconfinement tant qu’il n’aura pas été remédié à l’atteinte caractérisée et de verser la somme de 3K€ à chacune des requérantes.
Ce qu’il faut retenir : Pour pouvoir poursuivre l’utilisation de ce dispositif, l’Etat devra donc soit bénéficier d’un texte règlementaire pris après avis de la CNIL – prévoyant les modalités d’utilisation devant obligatoirement être respectées, et les garanties afférentes – soit doter les drones de dispositifs techniques de nature à rendre impossible l’identification des personnes filmées.
Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-18-mai-2020-surveillance-par-drones
# 12/05/2020 – COVID-19 – Mesures de sécurité renforcées autour du télétravail
Face à la crise épidémique qui n’a épargné personne, le monde du travail a dû trouver une solution immédiate : le télétravail.
Il convient de garder à l’esprit que ce dispositif doit être strictement encadré d’un point de vue sécurité des données et systèmes d’information concernés.
C’est dans cette juste logique que la CNIL a publié des recommandations :
– établir une charte de sécurité incluant le règlement intérieur.
– veiller à équiper les terminaux des employés de pare-feu, anti-virus, outil de blocage de l’accès aux sites malveillants, VPN, avec des systèmes d’authentification élevés.
– mettre à disposition tout dispositif/outil nécessaire au travail à distance et garantissant un niveau de sécurité et de confidentialité des données optimal.
Si l’employeur dispose de services accessibles depuis internet, il se doit d’être particulièrement vigilant s’agissant de la confidentialité et de l’authentification des serveurs (certificats SSL ou TPS, etc.)
Des moyens qui ne seront pas mis en place vainement : il s’agit pour la plupart de mesures de sécurité standard qui étaient déjà recommandées avant le confinement et le dispositif de télétravail tend à se généraliser et devrait persister pour les mois ou années à venir, dans la mesure du possible, avec un véritable chamboulement de la vie au travail !
Pour en savoir plus : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail
# 07/05/2020 – COVID-19 – La CNIL partage ses recommandations sur la collecte des données des employés par leurs employeurs
Que ce soit dans le contexte de la gestion de la crise, avec la mise en place des systèmes de télétravail ou dans celui de la reprise pour les employés de leur activité dans les locaux de leur entreprise, nombre d’employeurs de posent la question de la possible collecte de données compte-tenu de leur obligation d’assurer la sécurité de leur personnel. Possibilité de collecter des données de santé pour évaluer le risque pour chaque individu et le risque de contagion en cas de symptômes, environnement familial, prise de température, etc. la CNIL pose quelques règles et rappel pour limiter les atteintes à la vie privée.
Pour en savoir plus : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les
# Avril 2020 – Démarchage commercial par le biais de données personnelles accessibles publiquement en ligne – possible ou pas possible ?
La CNIL a procédé à la vérification de la conformité au RGPD de la pratique effectuée par diverses sociétés consistant notamment à récupérer des données d’utilisateurs publiquement accessibles en ligne (tel le numéro de téléphone figurant dans une annonce ou encore via les annuaires en ligne), Pour ce faire, lesdites sociétés sont équipées d’outils leur permettant de collecter automatiquement ce type de donnée dans l’espace public d’internet.
Derrière cette pratique se cachent deux types de sociétés :
1/ Les sociétés dites spécialisées dans la « pige immobilière » : qui constituent leurs propres bases de données en collectant ces informations directement en ligne afin de les revendre à d’autres sociétés ;
2/ Les sociétés qui collectent ces données pour leur compte afin d’effectuer du démarchage commercial (même lorsque les utilisateurs s’étaient opposés au démarchage commercial).
Pourtant, une donnée personnelle, bien qu’accessible publiquement, ne peut faire l’objet d’un traitement, a minima sans en informer au préalable la personne concernée et avec son consentement lorsque la finalité est le démarchage commercial !
La CNIL a donc mené plusieurs contrôles en 2019 et a pu déceler plusieurs manquements parmi lesquels l’absence d’information préalable des personnes concernées, le non-respect du droit d’opposition et le défaut de consentement des personnes concernées avant tout démarchage. Elle en a donc profité pour faire une piqûre de rappel aux responsables de traitement ainsi qu’à leurs sous-traitants des bonnes pratiques à adopter afin de respecter les droits des personnes. :
1/ Recueillir un consentement libre, spécifique, éclairé et univoque ; dans ce cas précis, les personnes qui communiquent leurs données à une société A doivent être informées de leur diffusion à une société B à des fins de démarchage ;
2/ Respecter le droit d’opposition des personnes ; les utilisateurs s’étant opposés au démarchage, et donc inscrits sur une liste anti-prospection, ne doivent pas faire l’objet d’un démarchage par un quelconque moyen (identique ou différent : sans automate d’appel par exemple).
D’ailleurs, au premier contact de la société B, celle-ci doit informer la personne de l’origine (indirecte) de la collecte des données.
La CNIL en profite aussi pour faire un bref rappel des bons réflexes à avoir en cas d’utilisation d’un logiciel d’aspiration de données (« web scraping ») :
1/ Vérifier la nature et l’origine des données (en fonction des CGU des sites consultés qui parfois interdisent un tel procédé) ;
2/ Procéder à la minimisation de la collecte (pas d’informations sensibles collectées telles : les données sur la santé, orientation sexuelle, religion, etc.) ;
3/ Informer les personnes concernées (qui se doit d’être sous forme concise, compréhensible et aisément accessible) ;
4/ Encadrer la relation contractuelle avec les sous-traitants (en fixant les points essentiels édictés par le RGPD : objet et durée du traitement, nature et finalité, catégories de données et personnes concernées, droits et obligations du responsable de traitement, etc.) ;
5/ Si nécessaire, réaliser une analyse d’impact.
# 04/05/2020 – Lignes directrices du Comité européen de la protection des données (EDPD) : Les « cookies walls » ou le scrolling sont incompatibles avec le RGPD
Le 4 mai 2020 ont été publiées de nouvelles lignes directrices sur la gestion des cookies par l’EDPD, qui précise que si l’internaute est contraint d’accepter les cookies pour consulter un site web, le consentement ne peut être libre, spécifique, éclairé et univoque. En effet, il se retrouve dans une position dans laquelle il a la pression soit d’abandonner une partie de sa vie privée, soit de ne pouvoir accéder au service. Pour mémoire, il ne doit pas y avoir de conséquence disproportionnée pour l’internaute en cas de refus de collecte de ses données.
La pratique du scrolling (défilement de la page web) ne peut pas non plus être interprétée comme un consentement.
Ces lignes directrices confirment la position déjà adoptée par les Pays-Bas il y a plusieurs semaines, à la suite de nombreuses plaintes reçues.
Ce qu’il faut retenir : Non, il n’est pas légal de …
– … soumettre l’accès à un site à l’acceptation de cookies par l’internaute, …
– … prévoir que la seule poursuite de la navigation sur le site emporte l’adhésion de l’internaute à la collecte de cookies, …
– … simplement donner à l’internaute des informations sur la façon de refuser les cookies, en fonction du navigateur qu’il utilise…
Et il est probablement illicite d’obliger un internaute à refuser individuellement un nombre élevé de cookies, il faut prévoir une possibilité de tout refuser (ou tout accepter) d’un bloc.
La préparation d’une charte cookies nécessite de connaître les conditions de consentement valable avec notamment des informations précises à communiquer aux internautes.
# 01/05/2020 – COVID-19 – Des traitements de données à caractère personnel entourant la distribution de masques
Faits : Au vu du contexte sanitaire inédit, les collectivités territoriales procèdent à la distribution massive de masques auprès des habitants.
A cette occasion, les communes utilisent les fichiers existants ou en créent de nouveaux, dont les finalités peuvent être diverses :
– Informer les habitants sur la procédure à suivre pour pouvoir récupérer les masques ;
– Organiser la prise de rendez-vous ou établir un fichier nécessaire à l’envoi postal de ces derniers ;
– Contrôler les opérations de distribution des masques, en s’assurant notamment du respect des conditions définies par la collectivité, et in fine, en assurer le suivi.
L’information aux administrés
A l’occasion de ses recommandations dont la fiche a été mise à jour le 1er mai dernier, la CNIL a pu rappeler que s’agissant de l’information aux habitants, aucun « fichier de population » n’est créé et mis à disposition des communes afin de leur permettre d’accéder de façon exhaustive aux informations des personnes concernées et de pouvoir leur communiquer toute information concernant la vie de la municipalité. En revanche, elles peuvent tout à fait utiliser certains fichiers existants et coupler ce recours à la fourniture d’une information générale par voie de presse, télé, radio, etc. permettant, de ce fait, d’informer de façon claire l’ensemble des foyers sur les procédures à suivre pour se procurer lesdits masques.
A cet égard, les fichiers qui peuvent être utilisés par les communes sont les suivants :
– Fichier de la taxe d’habitation
– Fichier de communication municipale (destiné à informer les habitants des événements de la vie municipale et des services offerts, à les consulter sur des projets, à réaliser des enquêtes, à accueillir les nouveaux arrivants, etc.)
– Registres communaux d’information et d’alerte des populations (données relatives aux personnes âgées et handicapées afin de déterminer s’il convient d’adapter les modalités d’obtention des masques (ex. livraison à domicile)
– Liste électorale
– Fichiers de tiers, en particulier les fichiers de partenaires institutionnels qui interviennent dans les secteurs sanitaire, social et médico-social, afin qu’ils relaient l’information auprès des usagers.
Dans ce cas précis, sauf consentement des personnes concernées (ou texte particulier) aucune donnée (identité, adresse, composition du foyer) ne peut être transmise directement aux communes par ces partenaires.
Le contrôle, l’organisation et le suivi de la distribution des masques
S’agissant de l’inscription dans un fichier dédié permettant une transmission par voie postale, la CNIL a admis que les communes pouvaient procéder à une extraction de certaines données issues du rôle de la taxe d’habitation sous certaines précautions.
En revanche, les personnes n’étant pas redevables de la taxe d’habitation ont la possibilité de s’inscrire dans un fichier de diffusion/ de prise de rendez-vous en ligne ou par téléphone, tout en respectant les principes édictés par le RGPD (minimisation des données, finalités, sécurité, durée limitée et encadrée, droits des personnes à respecter).
Ne sont strictement nécessaires à l’organisation et préparation de remise des masques que les données suivantes : identité des personnes qui les récupèrent ou les reçoivent directement, point de distribution le cas échéant (ou adresse du domicile), nombre de masques délivrés, certaines informations relatives au respect des conditions posées par la collectivité (ex : âge minimal, exercer telle profession, etc.).
Le contrôle de la qualité des demandeurs et du nombre de masques pouvant être délivrés
Eu égard à la pénurie initiale de masques, et afin d’éviter des scénarios similaires, les collectivités peuvent décider d’assujettir la distribution de masques à plusieurs critères (résider au sein de la commune, avoir un âge minimal, exercer une profession spécifique, etc.) ou encore de limiter leur distribution selon des critères définis à l’avance et objectifs.
Le suivi de la distribution
En dernier lieu, et afin de mener sa mission à bien, les communes pourront tenir un fichier de suivi des opérations de distribution réalisées afin d’anticiper les demandes abusives, et ce, conformément aux principes du RGPD (droits des personnes, données strictement nécessaires, etc.).
Pour en savoir plus : https://www.cnil.fr/fr/covid-19-les-traitements-de-donnees-associes-aux-operations-de-distribution-de-masques
# 30/04/2020 – COVID-19 – Accord de la CNIL sur l’utilisation du fichier de taxe d’habitation pour la distribution de masques par les communes
Lors d’une assemblée plénière du 30/04/2020, la CNIL a jugé légal le recours au fichier de la taxe d’habitation afin que les collectivités territoriales puissent distribuer les masques, pour pouvoir assurer une distribution correcte auprès des administrés. Pour ce faire, les collectivités devront procéder à une extraction des fichiers et, conformément aux principes du RGPD, le détruire à l’issue de ces opérations et en informer les personnes concernées.
L’utilisation de ces fichiers ne devra se faire que dans le strict respect des finalités pour lesquelles elle était prévue. Les données également devront être assujetties au principe de minimisation ; en l’occurrence, en plus des données d’identité des redevables, des adresses et de la composition familiale du foyer (afin de déterminer le nombre de masques à distribuer), la date de naissance et la nature de l’occupation du domicile pourront être utilisées, si la délivrance des masques est conditionnée au fait d’avoir un certain âge ou de résider à titre principal dans la commune.
Par voie de conséquence, l’utilisation desdites données par un prestataire de services devra tout autant être encadrée par contrat (sécurité des données, destruction à l’issue de leur utilisation dans les finalités prévues, etc.).
Enfin, les personnes concernées devront être informées du traitement opéré par la collectivité qui devra également relayer toute sous-traitance envisagée auprès de la direction générale des Finances publiques.
Pour en savoir plus voir la fiche de la CNIL https://www.cnil.fr/fr/la-cnil-considere-possible-utilisation-fichier-taxe-dhabitation-pour-distribution-des-masques)
#28/04/2020 – Suède (SDPA) – Le National Government Service Center (NGSC) sanctionné pour retard de notification d’une violation de données en qualité de sous-traitant >> 18.7K€
Les faits : L’autorité suédoise a ouvert une enquête sur le centre de services du gouvernement national (NGSC) après avoir reçu plusieurs plaintes au sujet d’une violation de données personnelles. Un Environ 282 000 personnes étaient concernées par la violation de données qui portait sur le numéro de sécurité sociale, nom, sexe, adresse, informations économiques et financières. Des personnes non autorisées pouvaient accéder aux données suite à une erreur dans le système informatique de gestion des salaires.
Manquement à l’obligation de notifier la violation de données :
NGSC, ici sous-traitant, a découvert la violation le 28 mars 2019 mais a tardé à la notifier au responsable de traitement. La violation de données n’a été notifiée qu’au bout de 3 mois à l’autorité et 5 mois après les faits aux personnes concernées. Le fait que le sous-traitant n’ait pas notifié la violation a entrainé un retard dans la notification de l’autorité compétente. Par ailleurs, la documentation de la violation était incomplète.
Décision : La SDPA décide de condamner le NGSC à une amende et lui ordonne d’introduire des routines internes pour la documentation des violations de données personnelles et de vérifier que ces routines sont respectées.
Sanction : La SDPA inflige une amende de 18.7K€ au sous-traitant car il aurait dû notifier la violation dans un délai raisonnable et la documenter.
Ce qu’il faut retenir : Lorsqu’un sous-traitant découvre une violation de données, il est tenu d’en informer dans un délai raisonnable le responsable de traitement afin que ce dernier puisse notifier la violation à l’autorité compétente et prendre des mesures supplémentaires pour atténuer les risques.
Pour en savoir plus :
https://www.imy.se/globalassets/dokument/beslut/beslut-tillsyn-ssc-20200428.pdf
# 23/04/2020 – USA – Sanction historique confirmée contre Facebook pour avoir trompé ses utilisateurs sur la confidentialité de leurs données >> 5 milliards de dollars (environ 4,43 milliards d’euros)
Pour mémoire, c’est l’autorité de la concurrence américaine, la Federal Trade Commission (FTC), qui a sanctionné Facebook l’été dernier sur le fondement des textes applicables pour la protection des consommateurs, les pratiques de Facebook en matière de protection des données personnelles ayant été jugées trompeuses. L’affaire avait connu un rebondissement important à la suite de l’affaire Cambridge Analytica, Facebook ayant de nouveau partagé les données de ses utilisateurs à des sociétés tierces, en violation de l’ordonnance de 2012 de la FTC.
Conformément à l’accord de 2019, la FTC n’a pas pu modifier son ordonnance administrative de 2012 avec Facebook jusqu’à ce que le tribunal fédéral ait rendu son ordonnance, ce qui a été fait par le juge Timothy J. Kelly le 23 avril 2020. La Commission a ainsi voté pour modifier l’ordonnance Facebook de 2012 avec les dispositions mises à jour incluses dans l’accord de 2019.
L’accord conclu avec la FTC vient donc d’être validé par la Cour Fédérale et Facebook va effectivement devoir verser la somme de 5 milliards de dollars au trésor américain et se soumettra à de nouvelles restrictions et à une structure d’entreprise modifiée.
Le président de la FTC, Joe Simons, se satisfait de la décision de la Cour : « Comme le note la Cour, le règlement historique de 5 milliards de dollars est “de loin” la plus grosse sanction pécuniaire jamais obtenue par les États-Unis au nom de la FTC et la “deuxième plus grande dans tous les contextes” ». Dans le même temps, la Cour souligne également que Facebook devra « tenir compte de la confidentialité à chaque étape de ses opérations et à fournir beaucoup plus de transparence et de responsabilité pour les décisions de ses dirigeants en matière de confidentialité ». La sanction imposée à Facebook est effectivement près de 20 fois supérieure à la plus grande sanction de confidentialité ou de sécurité des données jamais imposée dans le monde. C’est l’une des sanctions les plus importantes jamais imposées par le gouvernement américain pour toute infraction.
L’ordonnance de règlement impose également de nouvelles restrictions sans précédent sur les opérations commerciales de Facebook et crée de multiples canaux de conformité. Elle oblige Facebook à restructurer son approche de la confidentialité à partir du conseil d’administration et établit de nouveaux mécanismes solides pour garantir que les dirigeants de Facebook sont responsables des décisions qu’ils prennent en matière de confidentialité et que ces décisions sont soumises à une surveillance significative.
“Malgré les promesses répétées à ses milliards d’utilisateurs dans le monde qu’ils pourraient contrôler la façon dont leurs informations personnelles sont partagées, Facebook a sapé les choix des consommateurs”, a également déclaré le président de la FTC, Joe Simons.
Pour empêcher Facebook de tromper ses utilisateurs sur la confidentialité à l’avenir, la nouvelle ordonnance de règlement de 20 ans de la FTC remet en question la façon dont la société prend ses décisions en matière de confidentialité en améliorant la transparence du processus décisionnel et en tenant Facebook responsable via des canaux de conformité qui se chevauchent.
L’ordonnance crée une plus grande responsabilisation au niveau du conseil d’administration et au niveau individuel et renforce la surveillance externe de Facebook :
– Création d’un comité de confidentialité indépendant du conseil d’administration de Facebook (qui supprime le contrôle absolu de Mark Zuckerberg, sur les décisions affectant la confidentialité des utilisateurs) dont les membres devront être indépendants et nommés par un comité de nomination indépendant.
– Désignation de responsables de la conformité, soumis à l’approbation du nouveau comité de confidentialité, qui seront garants du programme de confidentialité de Facebook,
– obligation pour le PDG de Facebook, Mark Zuckerberg et les responsables de la conformité désignés de soumettre de manière indépendante à la FTC des certifications trimestrielles attestant que la société respecte le programme de confidentialité requis, ainsi qu’une certification annuelle que la société est globalement conforme, avec à la clé de toute fausse certification des sanctions individuelles civiles et pénales.
– amélioration de la capacité de l’évaluateur tiers indépendant d’évaluer l’efficacité du programme de confidentialité de Facebook et d’identifier les lacunes (évaluations biennales collecte indépendante des faits, échantillonnage et tests de l’évaluateur, interdiction de fausses déclarations à l’évaluateur, rapport de l’évaluateur indépendant directement au nouveau comité du conseil de protection de la vie privée sur une base trimestrielle).
Le programme de confidentialité couvre également WhatsApp et Instagram.
“Le ministère de la Justice s’est engagé à protéger la confidentialité des données des consommateurs et à veiller à ce que les sociétés de médias sociaux comme Facebook n’induisent pas les individus en erreur sur l’utilisation de leurs informations personnelles”, a déclaré le procureur général adjoint Jody Hunt pour la division civile du ministère de la Justice. “Les pénalités historiques et les conditions de conformité de ce règlement bénéficieront aux consommateurs américains, et le Ministère s’attend à ce que Facebook traite ses obligations de confidentialité avec le plus grand sérieux.”
Certains restent malgré tout dubitatifs, car même si la sanction financière est importante, elle est considérée comme limitée proportionnellement au Chiffre d’Affaires généré par Facebook qui avait par ailleurs vu sa valeur augmenter à la suite de l’ordonnance de 2019.
Pour en savoir plus : Voir notre news du 24/07/2019 et https://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdf
# 17/04/2020 – International / Brésil – Partage des données utilisateurs par les entreprises de télécommunications pour des recherches et statistiques liées au Covid-19
Le président Jair Bolsonaro a approuvé la mesure provisoire no. 954 («MP 954) concernant le partage des données des consommateurs par les entreprises de télécommunications avec la Fondation IBGE (Fondation de l’Institut de Géographie et Statistiques) visant à mener des recherches à distance et produire des statistiques pendant la période pandémique causée par Covid-19.
Ces sociétés ont 7 jours pour partager les noms, numéros de téléphone et adresses de leurs clients (personnes physiques et morales).
Selon le texte, le seul objectif est la réalisation de recherches exclusivement par la Fondation IBGE, car elle interdit clairement le partage des données avec des tiers et un délai de conservation de ces données personnelles de 30 jours suivant le dépassement de la période d’urgence est prévu.
Bien que MP 954 souligne la confidentialité des données partagées, l’interdiction de l’utilisation de ces données comme preuve dans les procédures administratives, fiscales ou judiciaires, et l’obligation la Fondation IBGE de répertorier les situations dans les données auront été utilisées et de préparer une analyse d’impact, cette mesure a été critiquée par deux partis politiques (PSB et PSDB) qui ont déposé pour une action en inconstitutionnalité auprès de la Cour suprême brésilienne appuyant sur la « menace pour le système démocratique », car la Fondation IBGE aurait accès aux données appartenant à plus de 70% des Brésiliens.
# 10/04/2020 – COVID-19 – Scandale éthique autour de l’application mobile de traçage des malades ?
Dans le contexte sanitaire actuel, Apple et Google se sont rapprochés afin de proposer aux gouvernements un outil permettant de tracer les individus malades. C’est en ce sens que la France a préparé, en collaboration avec l’Allemagne et la Suisse une application mobile « StopCovid » afin de permettre au mobinaute d’être informé s’il a croisé une personne diagnostiquée positive au virus. C’est alors que le 10 avril, Apple et Google ont annoncé leur collaboration en ce sens afin de proposer aux Etats, une application « clé en main ».
Cela a rapidement posé des questions éthiques et de souveraineté dans la mesure où ces deux géants du numérique auraient la mainmise sur cet outil. En effet, ces derniers :
– Fixeraient les conditions selon lesquelles une personne devrait être prévenue lors d’un croisement avec un sujet à risque et à ce titre : le temps d’exposition minimal pour déclencher l’alerte, la distance minimale, etc. ;
– Conserveraient les identifiants des téléphones ;
– Définiraient le protocole de fonctionnement ;
– Etc.
Pour autant, une étroite collaboration avec ces deux géants semble nécessaire dans la mesure où ces derniers ont d’ores et déjà accès à un nombre élevé de fonctionnalités des terminaux.
La crainte repose donc actuellement sur l’acceptation par la France (et de manière générale par les Etats) de cette application « clé en main » afin de faciliter nos déplacements, mais qui peut, en tout état de cause, être un outil d’atteinte à la vie privée et aux libertés individuelles, d’autant plus qu’il serait de l’initiative d’une puissance étrangère.
A suivre…
# 09/04/2020 – COVID-19 – Focus sur les outils de visioconférence
Durant cette crise pandémique et le recours massif au télétravail, nombre de professions ont dû opter pour les outils de visioconférences et il a fallu encadrer largement leur utilisation quant à la protection de la vie privée des usagers.
En amont, la CNIL a donc opéré une piqûre de rappel : prendre connaissance des conditions d’utilisation de l’application choisie et éviter les applications utilisant les données pour d’autres finalités.
A noter que l’application Zoom a fait l’objet de fortes critiques en termes de sécurité / confidentialité des données échangées.
Par la suite, il convient de garder à l’esprit que nombre de données peuvent être collectées (celles fournies + données techniques identifiant les internautes : adresses IP, identifiant de l’appareil, cookies, etc.).
C’est dans ce contexte que la CNIL fournit plusieurs conseils.
Avant le téléchargement d’une application : être vigilant quant à la provenance de l’application (source connue), aux finalités prévues, aux commentaires et avis des clients, à la présence d’un chiffrement des communications de bout en bout et d’un anti-virus ou pare-feu sur le terminal de l’utilisateur.
Lors de l’inscription au service : dans la mesure du possible, utiliser un pseudonyme, ne fournir que le minimum d’informations, lire les CGU et notamment la partie « Données personnelles ».
Lors de l’utilisation : vérifier le paramétrage de l’application (en ce qui concerne la section « Vie privée/ Données personnelles » ; désactiver l’application lorsqu’elle n’est pas utilisée et avoir une vigilance particulière à l’utilisation par des mineurs !
Pour en savoir plus : https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference
#07/04/2020–Mauvaise pub pour Quibi ! La nouvelle plateforme de streaming « court-métrage » transmettait les données utilisateurs à des partenaires publicitaires !
Quibi, cette nouvelle plateforme américaine de streaming courte durée – permettant de visualiser les vidéos sur smartphones – lancée le 07/04/2020, n’a pas manqué de faire parler d’elle.
Moins d’un mois après son lancement, le doute plane sur l’envoi potentiel par ses soins de données d’utilisateurs à des agences publicitaires ou à des géants du web type Facebook, Google et Twitter.
Pour ce faire, la plateforme aurait recours à une collecte d’adresses emails lorsque les utilisateurs valident leur compte dont la procédure est la suivante : un simple clic dans un email spécifique qui leur était adressé. Evidemment, aucun consentement à cette transmission de données n’était obtenu de l’utilisateur et la pratique est non conforme tant au RGPD qu’à la loi américaine.
Alors, entre acte volontaire ou problème technique, Quibi s’est défendue en affirmant que dès lors que ce « problème » avait été révélé à son équipe de sécurité, la correction a été immédiate.
Dans tous les cas, c’est une mauvaise pub pour Quibi qui comptait déjà à ce stade plus de 2.7 millions d’utilisateurs.
# 06/04/2020 – CNIL – Vidéosurveillance excessive – Clôture totale de la mise en demeure de la société Boutique.Aero
Les faits : La Boutique.Aero, société forte de 7 salariés, qui intervient dans le domaine de la documentation aéronautique, a été contrôlée par la CNIL en mars 2019.
La mise en demeure successive, rendue publique, portait sur la mise en conformité à la règlementation informatique et libertés :
- Du système de vidéosurveillance en raison d’une surveillance continue des salariés
- De l’information des collaborateurs sur leurs droits en matière de protection des données
- De la documentation par la création d’un registre de traitement de données
- De l’encadrement contractuel des rapports avec les prestataires
Décision : A la suite de la mise en demeure, la société disposait de deux délais de mise en conformité, le premier de 10 jours pour informer ses collaborateurs et circonscrire le champ de son système de vidéosurveillance, le second de 2 mois pour encadrer ses prestataires et concevoir son registre de traitement. Ces conditions satisfaites, la CNIL clôture publiquement et sans conséquence financière la mise en demeure dans sa décision du 6 avril 2020.
Ce qu’il faut retenir : Toutes les structures sont concernées par les contrôles de la CNIL qui est particulièrement attentive aux systèmes de vidéosurveillance suivant un nombre de plaintes qui a explosé auprès de ses bureaux. Elle use de la mise en demeure rendue publique non pas comme une sanction mais comme un outil pédagogique de sensibilisation des responsables de traitement. Si aucune suite pécuniaire n’est donnée lorsque les conditions sont satisfaites, il n’en reste pas moins que la confiance client ou la confiance collaborateurs peuvent être entamées.
# 27/03/2020 – CE – Droit au déréférencement – Droit à l’oubli et portée européenne >> amende de 100K€
Définition : Le droit au déréférencement consiste à obtenir d’un moteur de recherche qu’il supprime certains des résultats qui apparaissent sur la base d’une recherche de son nom et prénom.
Les Faits : En ce sens, Google Search répond à ce type de demande par la mise en place d’un mécanisme de redirection automatique vers la version nationale du site utilisé et un blocage de l’accès à un contenu déréférencé, à tout internaute identifié comme localisé sur ce territoire. Ces mesures sont jugées inadéquates pour garantir une protection effective des droits des personnes d’après la CNIL qui préconise un déréférencement mondial et inflige donc une sanction publique à hauteur de 100K€ au moteur de recherche concerné. Google saisit alors le Conseil d’Etat.
Décision : Le Conseil d’Etat vient dans sa décision du 27 mars 2020, à la lumière de la réponse apportée par la CJUE du 24 septembre 2019 dite Google LLC à sa question préjudicielle :
- Confirmer la portée uniquement européenne du droit au déréférencement.
- Prendre acte du défaut des moyens d’action offerts à la CNIL en France pour faire respecter le droit au déréférencement dès lors qu’il dépasse le cadre européen.
En conséquence pour le litige en cause, la loi du 6 janvier 1978 étant applicable, la CNIL n’ayant pas légalement autorité pour demander un déréférencement mondial, la sanction pécuniaire est annulée.
Ce qu’il faut retenir : Le droit au déréférencement a pour l’instant une portée européenne sur le fondement de la règlementation informatique et libertés (RGPD). La CNIL reste compétente pour faire respecter cela, c’est pourquoi elle adapte actuellement ses préconisations sur le droit à l’oubli. C’est d’ailleurs cette autorité qui a fait évoluer ce droit par ses prises de positions successives en tant que gardienne des droits individuels, au niveau européen puisqu’il n’était que de portée nationale.
# 24/03/2020 – COVID-19 – Principes et exceptions sur l’utilisation des données de santé au travail
A la lumière du contexte actuel inédit, nombreux sont les professionnels et particuliers qui s’interrogent sur la possibilité de collecter les données personnelles des employés ou visiteurs, en dehors de toute prise en charge médicale, afin d’établir si ces derniers ont des symptômes liés au COVID-19, ou encore des données portant sur les évènements ou déplacements, qui relèveraient de la vie privée, pour savoir si les personnes ont éventuellement été en contact avec des personnes contaminées.
Il convient tout d’abord de garder à l’esprit que les données de santé font l’objet d’une protection particulière par le RGPD ainsi que par le Code de la santé publique. A cet effet, seule la suspicion d’une exposition au virus permettrait de collecter certaines données de santé. A contrario, le contrôle systématique et généralisé de ces données ou la recherche de symptômes qui pourraient être présentés par un employé ou ses proches, moyennant des demandes ou enquêtes individuelles, ne peut être mis en œuvre (exemple : collecte de fiches/questionnaires médicaux pour l’ensemble des employés ; relevés obligatoires et systématique de la température corporelle des employés/visiteurs).
Dans le même temps, l’employeur a une responsabilité sur la santé et la sécurité de ses employés, prévue par le Code du travail, lui demandant de mettre en œuvre certaines actions pour prévenir les risques professionnels, pour informer et former ses employés.
A cet effet, l’employeur dispose de plusieurs prérogatives :
- Sensibilisation des employés afin de les inviter à faire des remontées d’informations individuelles liées à une éventuelle exposition au coronavirus auprès des autorités sanitaires ou de leur employeur ;
- Facilitation de leur transmission en mettant en place, au besoin, des canaux dédiés ;
- Favorisation du télétravail et recours à la médecine du travail.
Si l’employé a effectué un signalement, l’employeur pourra consigner uniquement :
- La date du signalement ainsi que l’identité de la personne suspectée d’exposition ;
- Les mesures d’organisation qui ont été prises, par exemple, le télétravail, le confinement, l’orientation et la prise de contact vers la médecine du travail, etc.
Il pourra également communiquer toute information liée à une éventuelle exposition aux autorités sanitaires afin de faciliter la prise en charge de la personne concernée.
Il convient également de garder à l’esprit que l’obligation de préserver la santé et la sécurité des employés s’impose également aux employés. De fait, tout employé se doit d’informer son employeur d’une éventuelle suspicion de contraction du COVID-19.
# 24/03/2020 – COVID-19 – Les sms adressés par le gouvernement respectent-ils le RGPD ?
Dans cette crise sanitaire inédite, le Président de la République a pris la parole dans la soirée du lundi 16 mars pour annoncer notamment les mesures prises sur le territoire français. A la suite de cette allocution, nombre de Français ont reçu un message de l’expéditeur « Gouv.fr » sur leur mobile les invitant à prendre connaissance et respecter les mesures prises.
A la suite de ce message, la CNIL a été interrogée par des Français soucieux de la protection de leur vie privée se demandant si l’envoi de ce message respectait la législation en la matière.
La réponse se trouve à l’article L. 33-1 du Code des Postes et des Communications Electroniques qui prévoit que les opérateurs de télécommunications sont dans l’obligation de diffuser les messages des pouvoirs publiques à leurs abonnés, pour leur permettre notamment d’être prévenus d’un danger imminent ou d’une catastrophe majeure.
Pour ce faire, l’opérateur joue seulement un rôle de messager dans le processus puisqu’il se contente de transmettre l’information qu’il a obtenue des autorités. En aucun cas il ne transmet la liste des numéros directement au Gouvernement.
Ce dispositif rentre donc parfaitement dans les clous du RGPD puisque l’utilisation des données personnelles même sans consentement est autorisé pour répondre à une obligation légale, une mission d’intérêt public ou la sauvegarde des intérêts vitaux des personnes, ce qui est le cas en l’espèce, dans le contexte de lutte contre la propagation du COVID-19.
# 12/03/2020 – La CNIL révèle ses thématiques de contrôle pour 2020
Comme toujours la CNIL se concentrera en 2020 sur le contrôle des situations faisant suite à des plaintes ou à la demande de mesures correctrices ou qui seront révélées dans les actualités.
Elle a par ailleurs fixé 3 thématiques prioritaires :
– les données de santé, avec un focus sur les mesures de sécurité prises pour les préserver par les professionnels de santé
– la géolocalisation pour les services de proximité, en particulier sur les questions de minimisation des données collectées, de durées de conservation, d’information fournies aux personnes et des mesures de sécurité mises en place
– les cookies et autres traceurs, qui ont déjà fait l’objet d’une annonce par la CNIL à l’automne 2019 ainsi que d’une étude pour fixer des recommandations attendues au printemps 2020 sur ce sujet, avec un timing de 6 mois accordé aux entreprises pour se mettre en conformité. Les contrôle sur ce sujet devraient débuter à l’automne 2020 et se poursuivre en 2021.
Ces 3 sujets devraient occuper 20 des analyses de la CNIL cette année.
#09/03/2020 – Pologne (UODO) – La société Vis Consulting. Z oo condamnée pour entrave au contrôle de l’UODO >> 4.3K€
Les faits : Une société faisant l’objet d’un contrôle avait conclu un contrat avec Vis Consulting. Z oo afin d’externaliser les services de télémarketing. L’UODO a donc étendu son contrôle à Vis Consulting. Z oo en raison des appels téléphoniques passés pour le compte de la société contrôlée. En juillet 2019, l’UODO a notifié cette dernière qu’elle allait passer dans les locaux afin de mener un contrôle. Une fois sur place, l’UODO n’a trouvé personne, une société tierce louait les locaux. Par téléphone, le dirigeant de Vis Consulting. Z oo a informé l’UODO que le contrôle n’aurait pas lieu puis a décidé de liquider sa société.
Manquement à l’obligation de coopération :
La société a clairement montré qu’elle ne souhaitait pas coopérer avec l’UODO malgré deux tentatives de contrôle sur place de la part de l’UODO. Elle a non seulement déserté les locaux mais également dit explicitement que le contrôle n’aurait pas lieu. La société a donc rendu impossible le contrôle de l’UODO, elle a donc manqué à son devoir de coopération.
Décision :
La société est sanctionnée d’une amende pour son manquement à son devoir coopération avec l’autorité de contrôle.
Sanction :
L’UODO inflige à la société une amende de 4.3K€, n’ayant identifié aucune circonstance atténuante. A noter que le dirigeant est également passible d’une peine de 2 ans emprisonnement, le parquet ayant été informé de l’affaire par l’UODO.
Ce qu’il faut retenir :
L’autorité peut étendre son contrôle à des sous-traitants qui ont également un devoir de coopération avec l’autorité. Entraver les enquêtes des autorités peut mener à des sanctions financières mais également à des sanctions pénales directement contre le dirigeant.
Pour en savoir plus :
https://uodo.gov.pl/decyzje/ZSPR.421.19.2019
#05/03/2020 – Islande (Icelandic SA) – Une école sanctionnée à une amende pour violation de données >> environ 9K€
Les faits : Le 15 août 2019, un enseignant a envoyé par erreur un mail à un groupe d’élèves et leur parents (57 personnes) avec une pièce jointe contenant ses entrevues avec 18 élèves d’un autre groupe. Une notification de violation de données est parvenue le 20 août 2019 à l’autorité islandaise, le jour même de la découverte de la faille. Le document transmis par erreur comportait des informations sensibles notamment sur leur bien-être, leurs résultats d’études et leurs conditions sociales. Plus particulièrement, il était mentionné dans cette pièce jointe que les services de protection de l’enfance étaient intervenus pour l’un des élèves, faisait état de la maladie physique d’un autre élève et d’un problème de santé mentale d’un 3ème. Le 21 août 2019 la DPA a effectué une visite dans l’école afin d’examiner la violation. L’école a largement coopéré avec l’autorité pour ce contrôle.
Manquement à l’obligation d’assurer la sécurité :
La violation est dû au fait qu’aucune mesure de sécurité n’a été mis en place afin d’éviter une telle violation de données. Par exemple, aucune politique de protection des données n’a été mise en œuvre, de même que des mesures techniques et organisationnelles appropriées. Dans le cadre de l’enquête, l’école a organisé une formation sur la sécurité de l’information et a élaboré une politique écrite de sécurité de l’information avec des procédures de traitement des renseignements personnels.
Décision :
L’autorité sanctionne l’école d’une amende pour violation de données, en tenant compte du fait qu’il s’agit d’une entité à but non lucratif qui fournit des services publics.
Sanction :
L’autorité inflige une amende d’environ 9K€ à l’école, ayant considéré qu’il ne s’agissait pas d’une violation à long terme mais d’un cas unique, ni d’un traitement à des fins illégales mais d’une erreur humaine. Elle a également pris en compte le fait que presque immédiatement après la faille de sécurité, l’enseignant en question a envoyé un message à tous les destinataires, leur demandant de supprimer les données qu’ils ont reçues par erreur et leur a également téléphoné. L’amende doit être payée dans un délai de 2 mois.
Ce qu’il faut retenir :
Des erreurs humaines peuvent conduire à des violations de données qui seront également sanctionnées. Si l’intention non intentionnelle et la simple négligence sont prises en compte pour établir le montant de l’amende, elles ne permettent pas de l’éviter intégralement.
Pour en savoir plus :
https://www.personuvernd.is/urlausnir/nr/2885
# 27/02/2020 – France – TA de Marseille – Pas de reconnaissance faciale pour les lycéens ! >> 1K€
Faits : Par une délibération en date du 14/12/2018, le Conseil Régional de la région PACA a lancé une expérimentation du dispositif du contrôle d’accès virtuel dans 2 lycées de Nice et Marseille, en procédant à l’installation de portiques de reconnaissance faciale à l’entrée de ces deux établissements.
Cette expérimentation est organisée en plusieurs volets :
– « Contrôle d’accès biométrique » concernant les lycéens (personnes identifiées) ;
– « Suivi de trajectoire » concernant les lycéens mais également les visiteurs occasionnels (personnes non identifiées).
C’est à la suite de cette délibération que le 14/02/2019, l’association La Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes ont sollicité l’annulation pour excès de pouvoir de ladite délibération auprès du Tribunal administratif de Marseille.
Excès de compétences : Le but de cette expérimentation était de renforcer la sécurité dans les établissements scolaires ce qui la plaçait en mission d’encadrement et de surveillance des élèves. En tout état de cause, ce type de mission est laissée à la seule initiative des chefs d’établissement (article L.214-6 et R.421-10 du code de l’éducation). En l’espèce, la région PACA n’a pas simplement muni les établissements de ce type de dispositif ou proposé à ces derniers leur adoption, mais a elle-même pris l’initiative de tester cette expérimentation, ce qui constitue un excès de compétences.
Manquement à l’obligation d’obtenir le consentement au traitement des données biométriques : Selon l’article 9 du RGPD, les données biométriques ne peuvent faire l’objet d’un traitement sauf si la personne concernée donne son consentement (libre, spécifique, éclairé et univoque – cf. article 4.11 du RGPD). En l’espèce, la région PACA estime avoir recueilli le consentement des personnes concernées (lycéens ou leurs parents s’ils sont mineurs) par la seule signature d’un formulaire. Le tribunal juge au contraire que cela ne permet nullement de recueillir un consentement libre et éclairé desdites personnes dans la mesure où ces dernières sont dans une relation d’autorité avec le responsable d’établissement.
Manquement à l’obligation de mettre en place un traitement nécessaire et proportionné aux finalités prévues : La délibération en cause prévoyait les finalités suivantes : « apporter une assistance aux agents en charge du contrôle d’accès au lycée et de l’accueil afin de faciliter et réduire la durée des contrôles (pour les usagers réguliers du site comme pour les visiteurs occasionnels), lutter contre l’usurpation d’identité et détecter un déplacement non souhaité ». Le Tribunal administratif considère que la région PACA n’a pas établi que ces finalités de fluidification et sécurisation des contrôles à l’entrée de ces établissements, soit constituent un motif d’intérêt public, soit auraient pu être atteintes par des moyens moins contraignants et intrusifs (exemple : badges). Le traitement mis en place par la région PACA est donc illégal.
Décision : La délibération du conseil régional de la région PACA du 14/12/2018 est annulée et la région PACA est condamnée à verser la somme de 1000€ à la « Quadrature du Net », à la Ligue des droits de l’Homme et à la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes
Ce qu’il faut retenir : Un cas similaire avait déjà été jugé en Suède (cf. notre news du 20/08/2019) dans lequel la base légale du consentement était remise en cause compte-tenu de l’autorité existant entre le responsable de traitement et les personnes concernées – il en est de même par exemple dans la relation employeur / employé. L’obtention d’un consentement écrit n’apporte donc pas par nature une licéité du traitement de données.
Par ailleurs S’agissant de biométrie, il est systématiquement imposé de vérifier dans quelle mesure d’autres moyens pourraient être mis en place pour atteindre les finalités prévues.
Pour en savoir plus : https://www.legalis.net/jurisprudences/tribunal-administratif-de-marseille-9eme-ch-jugement-du-27-fevrier-2020/
# 20/02/2020 – Clôture partielle de la mise en demeure à l’encontre de la société Boutique.Aéro concernant son système de vidéosurveillance
Faits : La société Boutique.Aéro est spécialisée dans le commerce de gros de fournitures et équipement aéronautiques (7 salariés 1.7M€ de CA en 2017)
Elle fait l’objet en octobre 2018 d’un signalement par la DIRECCTE (Occitanie) auprès de la CNIL concernant la présence dans un de ses magasins de caméras qui filmeraient en continue les postes de travail des salariés.
Elle est donc contrôlée, sur place, par la CNIL.
A l’issue de son contrôle incluant divers échanges avec la société et ayant constaté plusieurs manquements, la CNIL met en demeure Boutique.Aéro de prendre certaines mesures de mise en conformité dans le respect d’un timing de 10 jours pour certaines et de 2 mois pour d’autres (cf. notre news du 05/11/2019).
Décision : Considérant que la société Boutique.Aéro avait fait le nécessaire concernant les démarches de mise en conformité requises dans le délai de 10 jours, la CNIL clos ici la mise en demeure. Il s’agissait en l’occurrence de :
– cesser de traiter les images issues vidéo pour localiser les salariés
– ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la protection des biens et des personnes (donc adapter le dispositif pour ne pas filmer en continu les salariés sur leur poste de travail, en supprimant ou réorientant les caméras)
– et sécuriser le traitement / l’accès aux flux vidéo des caméras, avec une restriction de connexion à des comptes individuels (via des identifiants et mots de passe qui ne soient pas pré-enregistrés) ayant des habilitations en fonction de leurs missions) et un protocole de chiffrement
Publication de la décision : La décision de clôture suit la même règle de publicité que celle de mise en demeure.
Ce qu’il faut retenir : Lorsque les démarches attendues par la CNIL sont mises en œuvre assez rapidement par la société mise en demeure, une sanction financière peut être évitée et la publication de la clôture permet dans une certaine mesure de redorer le blason de la société dont l’image de marque pouvait avoir été atteinte à la publication de la première décision. Ici Boutique.Aéro doit encore finaliser la conformité de son système de vidéosurveillance et la CNIL lui a accordé 15 jours supplémentaires sur les 2 mois initialement prévus pour établir son registre des activités de traitement, informer dans les règles les personnes vidéosurveillées et établir un contrat adéquat avec sa société de prestation informatique.
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041647624&fastReqId=711041994&fastPos=1
# 12/02/2020 – Découverte d’une fuite massive de données chez Decathlon Espagne
Une base de données de 9Go portant 123 millions de données a été exposée en ligne à la suite d’une mauvaise configuration : le serveur n’était pas sécurisé.
Cette faille a été détectée par les hackeurs éthiques de VPNMentor.
Ces données concernaient à la fois les clients de l’enseigne (numéros de téléphone) mais aussi ses employés (identité, numéro de sécurité sociale, adresse personnelle, e-mail, date de naissance ; position et lieu de travail).
Decathlon a réagi immédiatement après avoir été informé (la base n’était plus accessible dès le lendemain de la connaissance de la fuite) et a communiqué sur l’incident … en cherchant à minimiser le risque : peu de données concerneraient des utilisateurs réels et aucun mot de passe ou numéro de carte bancaire ne serait concerné.
Ce qu’il faut retenir : En cas de fuite de données, la responsabilité du responsable de traitement peut être engagée s’il n’avait pas pris les mesures techniques et organisationnelles pour assurer la confidentialité des données. Certaines jurisprudences ont déjà confirmé qu’une erreur humaine ne met pas à l’abri le responsable de traitement… par ailleurs, il est impératif de solutionner la faille au plus vite et de prendre toutes les mesures à la fois pour la faire cesser immédiatement mais aussi pour éviter qu’elle ne puisse se reproduire à l’avenir. Enfin, certaines obligations du RGPD prévoient de devoir signaler les violations de données à l’autorité de contrôle et aux personnes concernées.
#11/02/2020 –CNIL – Collecte illicite de donnée via les compteurs Linky >> Mise en demeure de EDF et Engie
Les faits : Le sujet a défrayé la chronique : les compteurs Linky collectent des informations sur la vie privée des consommateurs. Il peut en être déduit les heures de lever et de coucher, les périodes d’absence ou encore le nombre de personnes présentes au foyer. Vigilante sur les traitements de données liées aux compteurs communicants, la CNIL a mis en demeure les géants EDF et ENGIE pour deux motifs de contrariété avec le Règlement (UE) 2016/679 ;
- L’absence de recueil d’un consentement spécifique (savoir exactement pour quel objectif le consentement est demandé) et éclairé (savoir exactement pourquoi le consentement est donné).
- L’imprécision des durées de conservation adoptées pour les données de consommation
En l’occurrence, les 2 fournisseurs d’énergie peuvent collecter les données de consommation mensuellement pour établir leur facturation détaillée.
En revanche, seul l’accord de l’abonné peut leur permettre de collecter les données de consommation dites « fines » c’est-à-dire suffisamment précises pour instruire sur la vie privée des consommateurs. Il en est de même pour le transfert des données à des sociétés tierces dans le but qu’elles effectuent une prospection commerciale.
Absence de recueil d’un consentement valable : C’est par le biais d’1 seule case que ces fournisseurs demandent à l’abonné de consentir à 2 opérations distinctes : l’affichage des consommations quotidiennes et l’affichage des consommations horaires. Il s’ajoute pour EDF un 3ème traitement de conseil automatique lorsque la case est cochée. Avec un tel « consentement » global, la CNIL conclu que l’abonné est privé du choix de consentir à un traitement plutôt qu’un autre et qu’il ne lui est donc pas offert la possibilité d’un consentement spécifique.
La CNIL constate également qu’une mauvaise information des consommateurs entraine l’impossibilité de recueillir leur consentement éclairé. A ce titre, ENGIE et EDF ne mettent pas leurs abonnés en situation de comprendre la distinction entre la collecte de leurs données quotidiennes ou horaire. Le premier les présente comme équivalente dans sa mention d’information à côté du bouton dédié à l’acceptation, le second propose de souscrire, sans en expliquer la différence au préalable, à l’affichage de « l’index quotidien » (données de consommation journalière) et à la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).
Mauvaise définition des durées de conservation : Quand EDF ne prévoit pas d’archivage et conserve en base active (base contenant les données d’utilisation courante, par exemple pour l’exécution du contrat) confusément les données de consommations quotidiennes et celles à la demi-heure, la CNIL rappelle que ces dernières, non utiles à la facturation, n’ont pas à être conservées cinq ans. D’autant moins que le code de la consommation prévoit une durée de trois ans de mise à disposition des clients leur historique de consommation.
ENGIE de son côté garde les données de consommation mensuelle, pour de la prospection commerciale pendant 3 ans, ce que la CNIL juge inadapté à la finalité, les coordonnées pouvant seules être gardées à cette fin de prospection de la clientèle.
Sanction : Dans la même lignée que sa décision concernant Direct Energie, la CNIL met en demeure les 2 fournisseurs de se mettre en conformité sous 3 mois, le recueil d’un consentement valable et le respect des durées de conservation étant ici qualifiés d’obligations essentielles du responsable de traitement. Si les fournisseurs se conforment aux exigences règlementaires soulevées, la procédure sera publiquement clôturée.
La CNIL a décidé de rendre publique cette mise en demeure compte tenu de la nature des manquements, du volume de données et du nombre de personnes concernées : Il s’agit en effet de 35 millions de compteurs Linky, installés depuis 2015.
Ce qu’il faut retenir : Entamer les démarches de mise en conformité ne suffit plus, la CNIL a noté l’effort de mise en conformité globale des 2 fournisseurs mais intervient tout de même : il faut aller jusqu’au bout des démarches pour qu’elles soient cohérentes. L’objectif reste de garantir aux personnes concernées la maîtrise de leurs données personnelles. Au regard de ces décisions, pour offrir une information précise et complète, c’est la distinction qui est le mot d’ordre : distinguer la nature des données collectées, distinguer les traitements qui sont faits suivant leur collecte, distinguer les données qui peuvent être conservées ou non pendant la durée nécessaire.
Pour en savoir plus : https://www.cnil.fr/fr/edf-et-engie-mises-en-demeure-pour-non-respect-de-certaines-conditions-de-recueil-du-consentement
# 31/01/2020- Brexit – le RGPD continue de s’appliquer
C’est désormais officiel, le Royaume-Uni a quitté l’Union européenne.
Jusqu’à la fin de la période de transposition, prévue pour le 31/12/2020, le RGPD continuera de s’appliquer. Les acteurs du traitement de données personnelles n’auront donc pas besoin de prendre de mesures d’adaptation dans l’immédiat.
Le gouvernement britannique a d’ores et déjà annoncé son intention d’incorporer le RGPD dans la loi britannique à la fin de la période de transposition. En pratique donc, et sous réserve de l’issue des négociations à venir cette année, peu de changements interviendront pour les sociétés britanniques et celles qui traitent les données de personnes situées au Royaume-Uni, ou sous-traitent des données à des sociétés britanniques.
Pour en savoir plus : https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf
# 30/01/2020 – France – CNIL – Clôture des injonctions à l’encontre de la société FUTURA INTERNATIONALE pour démarchage téléphonique illégal
Les faits : La société FUTURA INTERNATIONALE est spécialisée dans l’isolation thermique des domiciles des particuliers et procède à du démarchage téléphonique dans le cadre de son activité via plusieurs prestataires situés principalement hors de l’Union Européenne (Côte d’Ivoire, Maroc, Tunisie).
Par décision du 21/11/2019, la CNIL avait sanctionné la société FUTURA INTERNATIONALE à hauteur de 500K€ et l’avait mise en demeure de se mettre en conformité en mettant en place des mesures correctives :
– pour empêcher que des commentaires excessifs ne soient enregistrés dans les fiches de ses clients
– pour informer les personnes concernées
– pour assurer l’effectivité des droits d’opposition par les personnes démarchées
– pour en cadrer ses relations avec ses sous-traitants par des contrats protégeant les données personnelles.
Moins d’un mois après la mise en demeure de la CNIL, la société FUTURA INTERNATIONALE a transmis à la CNIL un procès-verbal d’huissier du 17 décembre 2019, des courriers à destination des onze sous-traitants avec lesquels elle était en relation et un devis de la société La Poste, pour justifier du déploiement d’un système automatisé de gestion des oppositions exprimées, de l’arrêt des relations contractuelles avec des centres d’appel et de la mise en place d’un démarchage par courrier postal. A la demande de la CNIL, elle lui a par la suite transmis des éléments sur l’information communiquée aux personnes (collecte indirecte) et sur l’effectivité du mécanisme d’opposition.
Compte-tenu des éléments apportés, la CNIL considère que la société FUTURA INTERNATIONALE a satisfait aux injonctions et procède à leur clôture.
Ce qu’il faut retenir : Concrètement, pour se mettre en conformité, la société FUTURA INTERNATIONALE a :
– mis en place une information complète aux personnes concernées et une possibilité pour les personnes démarchées de s’opposer de manière satisfaisante à la prospection, avec un mécanisme automatisé et efficace empêchant toute démarche de prospection ultérieure,
– supprimé la possibilité de renseigner des commentaires libres dans son logiciel PROGIBOS
– cessé de faire appel à ses sous-traitants hors de l’Union européenne.
Pour en savoir plus : Voir notre news du 21/11/2019 & https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041537429&fastReqId=1229333916&fastPos=1
# Décembre 2019 – Avast vend les données personnelles de ses utilisateurs via sa filiale tchèque Jumpshot
La société tchèque Avast bien connue pour son antivirus, qui dispose de près de 400 millions d’utilisateurs, revend les données personnelles des internautes par le biais de l’une de ses filiales tchèques : Jumpshot (spécialisée dans le marketing).
En décembre 2019, le directeur général de la société affirmait (et justifiait cette opération par le fait que) :
- Les données transmises (données de navigation) étaient anonymisées
- Cette opération représentait moins de 5% du CA global d’Avast (qui s’élève à environ 430 millions de dollars)
Les données en question étaient revendues aux clients d’Avast parmi lesquels : Nestlé, Google, Microsoft, L’Oréal, etc. Bien qu’ « anonymisées », les données en question contenaient tout de même l’historique des recherches des internautes, leur navigation YouTube et LinkedIn, ou encore la localisation sur Google Maps ! La question qui se pose est de savoir si cela pouvait permettre (indirectement) l’identification des personnes concernées bien qu’Avast confirmait ne pas transmettre les données personnelles telles que le nom, l’adresse e-mail, les coordonnées, etc….
# 20/12/2019 – UK – ICO – Condamnation d’une pharmacie londonienne Doorstep Dispensaree Ltd >> 275000£ (environ 322K€)
Les faits : Une enquête est lancée par l’ICO sur le dispensaire de Doorstep, qui fournit des médicaments aux clients et aux maisons de soins, après avoir été informé, par l’Agence de réglementation des médicaments et des produits de santé (qui menait sa propre enquête sur la pharmacie en question), de l’existence de documents stockés de manière non sécurisée,
Manquement à l’obligation d’assurer la sécurité et l’intégrité des données
Doorstep Dispensaree Ltd a laissé environ 500 000 documents dans des conteneurs déverrouillés à l’arrière de ses locaux à Edgware. Les documents comprenaient les noms, adresses, dates de naissance, numéros NHS, informations médicales et prescriptions appartenant à un nombre inconnu de personnes. Les documents, dont certains n’avaient pas été correctement protégés contre les éléments et étaient donc endommagés par l’eau, étaient datés de juin 2016 à juin 2018.
Sanction : Amende de 275000£ (environ 322K€), ayant considéré l’imprudence dans les moyens mis en œuvre pour stocker des données sensibles en vue de les protéger contre les dommages, destruction ou perte accidentelle + mise en demeure d’améliorer les pratiques de protection des données dans un délai de trois mois.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/london-pharmacy-fined-after-careless-storage-patient-data_en & https://ico.org.uk/action-weve-taken/enforcement/doorstep-dispensaree-ltd-mpn/
# 18/12/2019 – Norvège – Condamnation de la ville d’Oslo >> 49300€
Les faits : La ville d’Oslo a envoyé une notification de violation de données à l’autorité de protection des données en novembre 2018 via 28 de ses centres de santé.
Au sein de ces derniers étaient utilisé un système de feuilles de travail contenant des informations sur les résidents (avec leur nom complet, leur numéro d’identité nationale, leurs initiales ou leur numéro de chambre), détaillant leurs besoins quotidiens et routines de soins. Ces feuilles étaient stockées électroniquement en interne par chaque centre de santé. Cette pratique de stockage de données sur les patients en dehors du système de dossier de santé électronique a perduré pendant 11 années (de 2007 à novembre 2018).
Manquement à l’obligation d’assurer la sécurité et la confidentialité des données
Les données étaient stockées dans des fichiers auxquels tous les employés du centre de santé concerné avaient accès, y-compris ceux n’appartenant pas au personnel de santé tels que le personnel de nettoyage.
Aucune traçabilité des accès à ces fichiers n’était possible (journalisation) de sorte qu’il n’y avait aucun moyen de déterminer quel membre du personnel avait ou non accédé à des données.
Sanction : Amende de 105K€, l’autorité de protection des données ayant pris en compte :
- le fait que la ville d’Oslo a signalé l’infraction de sa propre initiative et a rapidement pris des mesures pour supprimer les données (courriel transmis à tous les centres de santé, demandant de supprimer toutes les feuilles de travail immédiatement) ;
- la gravité de la violation (données sensibles, longue période de faille et nombre important de personnes concernées) ainsi que la particulière responsabilité de la ville d’Oslo qui compte la plus importante population en Norvège et se devait donc d’être particulièrement vigilante en matière de sécurité des informations ;
- le fait que la violation a eu lieu principalement avant l’entrée en vigueur du RGPD et de la nouvelle Loi norvégienne, sachant qu’à l’époque, les amendes maximales étaient de l’ordre de 100K€.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-city-oslo_en
# 18/12/2019 – France – CNIL –Plusieurs établissements scolaires retoqués pour leur système de vidéosurveillance excessif >> Mise en demeure non publiée
Les faits : A la suite de plusieurs plaintes en 2018, la CNIL a mené l’enquête sur des systèmes de vidéosurveillance dans des écoles, collèges ou lycées.
La CNIL a eu confirmation que des caméras filmaient des cours de récréation, cantines, salles informatiques, terrains de sport, centre de documentation et d’information, etc.
La CNIL rappelle que placer du personnel ou des élèves sous une surveillance systématique et continue est excessif.
Des systèmes de vidéo surveillances ont habituellement pour objet d’assurer la sécurité des biens et des personnes et d’éviter les intrusions malveillantes de sorte qu’il est en revanche admis de surveiller les accès et les espaces de circulation.
Sanction : Mise en demeure de modifier les dispositifs de vidéosurveillance et leurs paramétrages.
Pour en savoir plus : https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive
# 18/12/2019 – Suède – Condamnation de la société Nusvar pour le site web Mrkoll.se >> 35K€
Les faits : De décembre 2018 à avril 2019, le site web Mrkoll.se publiait des données personnelles concernant plus de 8 millions de personnes (tous les Suédois de plus de 16 ans) s’agissant d’information sur les casiers judiciaires ou liées à des crédits (notamment au fait que des personnes n’auraient pas de défaut de paiement).
De telles informations ne peuvent être publiées en vertu de la loi suédoise sur les informations de crédit sans l’autorisation préalable de l’autorité de protection des données suédoise qui n’avait pas délivré cette autorisation pour ce site Web.
Sanction : Amende de 35K€
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/administrative-fine-35-000-eur-imposed-swedish-website-mrkollse_en
# 18/12/2019 – Allemagne – BWDPA – Condamnation de 1&1 Telecom Gmbh >> 9,550M€
Les faits : Les personnes appelant le service d’assistance téléphonique de la société 1 & 1 Telecom GmbH (fournisseur de services de télécommunications) pouvaient obtenir des informations détaillées sur d’autres données personnelles en fournissant simplement le nom et la date de naissance du client.
Manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’autorité allemande de protection des données a jugé que cette procédure d’authentification n’était pas suffisamment sécuritaire pour assurer la protection des données personnelles et que d’autres mesures techniques et organisationnelles auraient dû être prises.
Pour rectifier le tir, 1&1 a largement coopéré avec l’Autorité et renforcé sa procédure d’authentification par la demande d’informations complémentaires. En outre, 1 & 1 Telecom GmbH est en train d’introduire une nouvelle procédure d’authentification largement améliorée en termes de technologie et de protection des données, après consultation de l’Autorité.
Sanction : Amende de 9,550M€, l’infraction représentant un risque pour l’ensemble de la clientèle mais 1 & 1 Telecom GmbH s’étant montrée très coopérative tout au long de la procédure.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/bfdi-imposes-fines-telecommunications-service-providers_en
# 16/12/2019 – ALICEM : l’application de reconnaissance faciale développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés : système mis en cause par la CNIL et par la Quadrature du Net.
Faits : Alicem est une application développée par le Ministère de l’Intérieur et par l’Agence nationale des titres sécurisés (ANTS) qui sera disponible sur smartphone et permettra à tout utilisateur de prouver son identité sur Internet à l’aide de son téléphone et de son passeport (ou titre de séjour) ; cela permet entre autres de créer une identité numérique pour chaque citoyen disposant d’un passeport biométrique. Pour ce faire, il conviendra de s’inscrire avec son titre d’identité dont la puce sera lue par lecteur sans contact NFC et dont les informations seront vérifiées par les services de l’Etat.
Selon l’Etat, cela permettra notamment d’accéder de manière simplifiée et toujours sécurisée aux services partenaires de FranceConnect et de lutter contre les usurpations d’identité.
La reconnaissance faciale fait partie intégrante de la configuration de cette application. En effet, parmi les 7 étapes pour la création d’un compte Alicem figure la reconnaissance biométrique. A ce sujet, l’Etat se veut rassurant et affirme que cela :
- Permet d’authentifier de manière sûre la personne qui a créé le compte
- Ne vise en aucun cas le recueil ou le stockage des données biométriques des usagers à des fins de surveillance
Sur la conservation des données : Selon le Ministère de l’Intérieur, ces dernières seront stockées uniquement sur le téléphone de l’usager et resteront, de ce fait, sous son contrôle exclusif via une protection par chiffrement.
Sur l’objectif du recueil des données : Le Ministère ajoute également qu’aucune autre utilisation que l’authentification électronique et l’accès à des services en ligne par Alicem ne sera opérée. Par ailleurs, les données ne seront pas transmises à des tiers.
Sur l’obligation de recueillir un consentement libre et éclairé : La CNIL affirme être inquiète quant à cette application qu’elle juge contraire au RGPD : Ce sont justement les dispositions en matière de consentement qui viennent bousculer ce qui a été mis en place pour Alicem.
Certes, la CNIL relève qu’un accord de la personne est effectivement sollicité pour la création d’une identité Alicem.
Cependant, en cas de refus, il n’est alors plus possible de se créer cette identité par des moyens alternatifs. En effet, l’usager doit obligatoirement donner son « accord » pour accéder aux services. La CNIL estime au contraire qu’il devrait exister des solutions alternatives pour utiliser le service comme par exemple la possibilité de se présenter physiquement en Préfecture, pour ceux qui ne souhaitent pas utiliser de système de reconnaissance faciale.
Le Gouvernement précise bien que l’utilisation d’Alicem sera facultative et que d’autres moyens existent pour procéder aux démarches administratives. Ceci étant, il n’existe a priori pas de système totalement substituable à Alicem (donc apportant les mêmes services / facilités aux usagers).
Il convient également de préciser qu’en l’occurrence, les données en question (données biométriques) font partie de la catégorie des données dites « sensibles » ; dans ce cas, le RGPD interdit de les recueillir ou de les utiliser sauf notamment si la personne concernée a donné son consentement exprès, qui selon la CNIL, est une démarche explicite, de préférence écrite, active et qui doit être libre, informée et spécifique.
La Quadrature du Net a également dénoncé les arguments avancés par l’Etat et considère que cette application permet la banalisation de la reconnaissance faciale et porte atteinte au droit à l’anonymat sur Internet. Elle a donc déposé un recours devant le Conseil d’Etat visant à interdire purement et simplement la mise en place d’Alicem le 15 juillet dernier.
Le Ministère et l’ANTS faisant fi de ces critiques avaient annoncé début octobre qu’ils souhaitaient avancer le déploiement de leur application pour novembre 2019 – initialement prévu pour décembre 2019 (Alicem est en phase de test sur FranceConnect depuis juin 2019).
Pour le moment, le projet est cependant en stand-by, en attente des conclusions du Conseil national du numérique. Affaire à suivre…
NB – En mars 2020, le système Alicem était à notre connaissance toujours en phase de test.
Pour en savoir plus :
https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee & https://www.clubic.com/technologies-d-avenir/actualite-872322-alicem-app-reconnaissance-faciale-deployee-echelle-nationale.html & https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee
#11/12/2019 – Italie (GDPD) – La société Eni Gas et Luce sanctionnée d’une amende en raison de télémarketing illégal et de contrats non sollicités >> 11.5M€
Les faits : Dès l’entrée en application du RGPD et durant les premiers mois de 2019, la GDPD a reçu des dizaines de plaintes et d’alertes concernant des appels téléphoniques d’EGL à des fins marketing. Des plaintes ont également été déposées après la réception par des personnes d’une lettre de résiliation du contrat avec leur fournisseur ou après la réception des premières factures d’EGL, alors qu’elles n’avaient pas sollicité de changement de fournisseur. La GDPD a donc ouvert une enquête sur ces deux points. Une inspection dans les locaux de l’entreprise a eu lieu les 19 et 20 février 2019.
Manquement à l’obligation de recueillir le consentement des personnes :
Le contrôle effectué a permis de mettre en exergue le fait que les appels à des fins de télémarketing ont été effectués par EGL sans avoir recueilli le consentement des personnes préalablement au traitement, ni pris en compte leur refus de recevoir de tels appels et sans avoir mis à jour la base en fonction des personnes inscrites sur le registre public de désinscription, refusant ainsi toute prospection. Des appels ont aussi été passés sur la base de données de prospects potentiels acquises sans vérification de l’existence d’un consentement à la divulgation par le vendeur de ces données et d’utilisation à des fins de prospection par EGL. En d’autres termes, la GDPD a constaté un manque total d’organisation pour gérer et prendre en compte les demandes d’exercice de droits des personnes concernées.
Manquement à l’obligation de loyauté et à l’exactitude des données :
Concernant les contrats non sollicités, certains clients n’ont appris la conclusion de leur contrat qu’à réception de factures ou de la lettre de résiliation de leur ancien fournisseur. Les données dans certains contrats étaient incorrectes et, dans certains cas, les signatures étaient contrefaites. Environ 7 200 consommateurs ont été touchés par ces graves irrégularités. Les conclusions de l’Autorité ont montré que la conduite d’EGL lors de l’acquisition de nouveaux clients par le biais de certaines agences externes opérant pour son compte a conduit, en termes d’organisation et de gestion, à des activités de traitement en violation du règlement de l’UE, car elles violaient les principes de loyauté et d’exactitude des données.
Décision :
# Concernant les appels téléphoniques à des fins marketing : La GDPD inflige une amende à la société. Il est nécessaire que la société mette en place des procédures afin de vérifier que les listes de contacts ne contiennent que des personnes ayant donné leur consentement pour être contactées à des fins de marketing. Elle devra également automatiser sa liste noire, lorsqu’une personne refusera d’être contactée à des fins marketing elle devra automatiquement être inscrite sur la liste noire et retirée des listes de contacts. La société ne doit pas utiliser les contacts clients de ses fournisseurs sans qu’ils aient obtenu le consentement des personnes concernées.
#Concernant les contrats non sollicités : La GDP décide également d’une sanction financière.
Sanction :
L’amende est d’un montant de 8.5M€ concernant les appels à des fins de marketing et 3M€ concernant les contrats non sollicités. Ces sanctions ont été déterminées en tenant compte du grand nombre de personnes impliquées, le comportement systématique d’EGL, la durée de la violation, et les conditions économiques d’Egl.
Ce qu’il faut retenir :
Pour utiliser des données personnelles à des fins marketing, il est nécessaire d’obtenir le consentement préalable des personnes concernées et de s’assurer de l’existence de ce consentement lorsque les données sont acquises auprès d’un tiers (consentement pour la transmission des données et pour leur utilisation pour une finalité marketing). Il est également nécessaire de tenir à jour ses bases de données afin de prendre en compte le refus des personnes d’être contactées, qu’il s’agisse de refus directs ou de refus liés à une inscription sur une liste d’opposition générale et de s’assurer de m’exactitude et de la mise à jour des informations.
Pour en savoir plus :
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9244365
# 10/12/2019 – France – CNIL – L’ONG Noyb dépose des plaintes contre les sociétés portant les sites web CDiscount, AlloCiné et Vanity Fair pour tracking publicitaire illicite (Cookies)
3 plaintes viennent d’être déposées par Noyb devant la CNIL.
En effet, d’après ses investigations, les sites web CDiscount, AlloCiné et Vanity Fair auraient des défaillances dans leurs systèmes de dépôt des cookies qui seraient installés sur l’ordinateur de l’internaute même après que celui-ci les ait refusés. Il y aurait donc un manquement à l’obligation d’obtenir le consentement pour le dépôt de traceurs à visée de publicité ciblée.
Pour en savoir plus :
# 09/12/2019 – Allemagne – BWDPA – Condamnation de Rapidata GmbH >> 10K€
Manquement à l’obligation de nommer un DPO
Une procédure contre le fournisseur de télécommunications Rapidata GmbH a été engagée, car malgré de nombreuses demandes, il n’a pas respecté son obligation de nommer un délégué à la protection des données.
Sanction : Seulement de 10K€, l’autorité allemande de protection des données ayant retenu que l’entreprise appartient à la catégorie des micro-entreprises.
# 28/11/2019 – Belgique – APD – Condamnation d’un maire et d’un officier municipal >> Deux fois 5K€
Les faits : Dans ces deux affaires séparées, deux anciens élus utilisaient des données personnelles obtenues dans le cadre leurs mandats pour envoyer des courriers électoraux personnalisés dans la cadre d’une nouvelle campagne électorale. Pour le 1er, il s’agissait d’une liste de 476 personnes ayant fait appel à lui de 2012 à 2018. Pour le 2nd, il s’agissait d’une liste de 654 clients obtenue dans le cadre de son métier exercé en parallèle de son mandat public.
Détournement de finalité
Les données personnelles ne doivent être traitées que pour l’objectif initial de la collecte, en fonction d’une base légale particulière et ne peuvent faire par la suite l’objet d’un autre traitement. En l’occurrence, réutiliser ici des données collectées dans le cadre d’un mandat ou dans le cadre d’une relation client ne permet pas une exploitation à des fins de publicité électorale, ce qui constitue donc une infraction au RGPD.
Sanction : Amende de 5K€ pour chacun des contrevenants, la gravité du manquement étant d’autant plus importante vue l’identité des contrevenants, l’APD considérant que des mandataires publics se doivent d’être d’autant plus respectueux de la réglementation et faire preuve d’une exemplarité irréprochable.
Ce qu’il faut retenir : L’autorité Belge prévoit d’être intransigeante concernant la gestion des données dans le cadre de campagnes électorales, estimant qu’il s’agit de garantir la confiance des citoyens dans le système électoral et ainsi la démocratie. L’APD rappelle qu’elle a publié sur son site un guide concernant la gestion des données et les élections : https://www.autoriteprotectiondonnees.be/elections.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/belgian-data-protection-authority-imposes-two-new-fines_en
# 27/11/2019 – France – La CNIL présente un plan d’action pour les élections municipales de 2020
Lors des élections municipales de 2020, plusieurs opérations de communication politique seront effectuées auprès des électeurs. Ces dernières utiliseront parfois des données personnelles ce qui imposera leur conformité aux dispositions du RGPD. Pour ce faire, la CNIL a déjà tout prévu : un plan d’action dressé en amont desdites élections afin de veiller au bon respect des dispositions du RGPD.
En effet, elle a été saisie de plusieurs signalements d’électeurs soucieux et s’interrogeant quant à l’utilisation de leurs données personnelles par les candidats aux élections municipales.
La CNIL a donc pris ses dispositions pour dresser un plan d’action qui prévoit en particulier :
- Une mise à jour des contenus mis à disposition sur son site internet concernant la communication politique et les droits des électeurs prévus par le RGPD afin de pouvoir informer tant les candidats que les partis politiques sur le cadre juridique prévu ;
- Des conseils pour les partis politiques et candidats afin de leur permettre de mettre en place les bonnes pratiques ;
- Une mise à disposition de la « plateforme de signalement » sur son site internet permettant à quiconque de signaler toute pratique qui serait jugée non conforme ; pourront donc en découler des contrôles de la CNIL ainsi que des mesures correctrices ;
- D’apporter une vigilance particulière aux services de prospection politique : pour ce faire, des vérifications sont opérées auprès des prestataires de service de prospection politique afin d’en savoir plus sur les pratiques en la matière.
Un courrier sera adressé aux principales formations politiques comprenant ledit plan d’action et leur rappelant leurs principales obligations. Un état des lieux sera prévu à l’issue des élections.
Pour en savoir plus : https://www.cnil.fr/fr/vie-politique-et-citoyenne et https://www.cnil.fr/fr/communication-politique-la-cnil-presente-un-plan-daction-loccasion-des-elections-municipales-2020
# 21/11/2019 – France – CNIL – Condamnation de la société FUTURA INTERNATIONALE pour démarchage téléphonique illégal >> 500K€
Les faits : La société FUTURA INTERNATIONALE est spécialisée dans l’isolation thermique des domiciles des particuliers et procède à du démarchage téléphonique dans le cadre de son activité via plusieurs prestataires situés principalement hors de l’Union Européenne (Côte d’Ivoire, Maroc, Tunisie).
La CNIL a été saisie d’une plainte le 6 février 2018, faisant état qu’une personne était sujette audit démarchage et ce, malgré une opposition à la prospection exprimée oralement auprès des opérateurs ainsi que par courrier au siège de la société.
La CNIL a donc effectué un contrôle sur place lui permettant de constater que plusieurs courriers avaient été reçus par la société sur des personnes témoignant leur mécontentement quant au fait d’être démarchées malgré leur opposition.
Par ailleurs, la CNIL a notamment constaté :
-que les données des clients étaient présentes dans un logiciel de gestion de la clientèle dans lequel les téléopérateurs pouvaient y associer des commentaires à destination des employés. Parmi ces commentaires, nombre d’entre eux concernaient l’état de santé des personnes démarchées ou des propos injurieux à leur encontre ;
-que les personnes n’étaient pas correctement informées du traitement effectué ainsi que de l’enregistrement des conversations téléphoniques.
En octobre 2018, la CNIL a donc mis en demeure la société de se mettre en conformité dans un délai de 2 mois en mettant en place des mesures correctives, après avoir constaté des manquements sur les points suivants :
Manquement au respect du droit d’opposition des personnes : Pas de procédure permettant de s’assurer de façon efficace que les personnes s’étant opposées au démarchage ne soient plus rappelées.
Manquement à l’obligation de traiter des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées : Présence de commentaires injurieux ou en lien avec la santé des personnes dans le fichier client.
Manquement à l’obligation d’information : Lors du démarchage téléphonique, pas d’information des personnes sur le traitement de leurs données personnelles et les droits dont elles disposent.
Manquement à l’obligation de coopérer avec l’autorité de contrôle : Communication de réponses partielles malgré l’acceptation de prolongation de délais par la CNIL. Absence de prise en compte des notifications et des mesures exigées dans la mise en demeure.
Manquement à l’obligation d’encadrer les transferts de données à caractère personnel hors de l’Union européenne : Transfert de données vers des pays hors UE n’assurant pas un niveau de protection adéquat. Clauses contractuelles insuffisantes et contrats non finalisés et/ou non signés avec les partenaires.
Sanction : Amende de 500K€, soit environ 2,5% du CA de la société (chiffre d’affaires d’environ vingt-sept millions d’euros en 2017 et 20 millions d’euros en 2018), la société ne s’étant pas mise en conformité à la suite de la mise en demeure, mais seulement partiellement ou postérieurement au délai imposé.
Publication de la décision : Compte-tenu du manque de collaboration de la société, du nombre de manquements, de leur persistance et de leur gravité
Ce qu’il faut retenir : La CNIL a ici constaté que parmi les obligations non respectées, certaines étaient antérieures au RGPD et n’a donc pas jugé pertinentes les difficultés de la société à implémenter un nouveau texte légal dans son organisation. Elle entend particulièrement ici faire respecter les droits des personnes, et il est prudent d’éviter la présence de zone de texte libre dans les logiciels et bases de données de gestion d’information personnelles afin d’éviter que ne soient saisies des informations inutiles à la finalité recherchée et dommageables, ou a minima de les limiter et de sensibiliser les équipes sur les bonnes pratiques de saisie. Par ailleurs, il ne faut pas minimiser le devoir de coopération avec la CNIL dont le manque est sanctionnable en tant que tel.
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039419459&fastReqId=461698027&fastPos=1
# 12/11/2019 – France – CNIL – Au tour du Ministère de l’intérieur d’être dans le collimateur de la CNIL ! >> Mise en demeure
Par une délibération en date du 12 novembre 2019, la CNIL a mis en demeure le ministère de l’intérieur de se mettre en conformité sous 3 mois concernant des manquements constatés sur le traitement des données à caractère personnel effectué dans le cadre du traitement automatisé des radars tronçons.
Les faits :
Les radars tronçons permettent de calculer la vitesse moyenne d’un véhicule moyennant deux bornes espacées de plusieurs kilomètres.
Ces derniers sont équipés du système LAPI (lecture automatique des plaques d’immatriculation) permettant de prendre des clichés des véhicules, relever la plaque d’immatriculation ainsi que l’heure exacte du passage du véhicule. A partir ce ces informations, le logiciel calcule la vitesse moyenne pratiquée sur le tronçon par chaque véhicule. Tout dépassement de la vitesse maximale autorisée est envoyé au Centre national du contrôle automatisé de Rennes chargé de l’envoi des contraventions. Les données collectées concernent aussi bien les véhicules ayant commis une infraction que les autres et constituent des données à caractère personnel : numéros de plaque d’immatriculation (même tronqués) couplés, à un horodatage et une localisation, clichés des véhicules et de leurs passagers.
La CNIL a effectué 3 contrôles sur place, y-compris auprès du prestataire en septembre, octobre et décembre 2018, concernant les radars tronçons, lui permettant de constater plusieurs manquements.
Manquement à l’obligation d’appliquer une durée de conservation des données proportionnée à la finalité du traitement :
L’arrêté du 13/10/2004, portant création d’un système de contrôle automatisé, prévoit une durée de conservation de maximum 24h concernant les plaques d’immatriculation des véhicules n’ayant pas commis d’infraction. Or, le Ministère de l’intérieur applique une durée de conservation de 13 mois pour les numéros complets et de 4 ans pour les numéros tronqués de deux caractères.
Concernant les données sur les véhicules en infraction ayant fait l’objet de contravention, la CNIL a constaté que certaines données étaient conservées depuis plus de 13 ans alors que la durée de conservation maximale prévue par l’arrêté est de 10 ans.
Manquement à l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel :
Lors des contrôles effectués par la CNIL, il a notamment été constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès ainsi qu’une gestion insuffisante des droits d’accès à l’application au niveau du prestataire.
Décision : la CNIL met en demeure le Ministère de se mettre en conformité sous trois mois en :
– supprimant les données conservées au-delà de la durée prévue
– mettant en place et un système de purge permettant de veiller au respect des durées de conservation
– adoptant toutes les mesures techniques et organisationnelles permettant d’assurer la sécurité et confidentialité des données et en adoptant une durée de conservation proportionnée à la finalité du traitement
– justifiant de ces démarches auprès de la CNIL.
La CNIL a décidé de rendre publique cette mise en demeure compte tenu :
– du nombre particulièrement important de personnes pouvant être impactées par ledit traitement
– du risque au regard de la vie privée s’agissant notamment de la collecte de données relatives aux déplacements des personnes.
Pour en savoir plus :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445820&fastReqId=190592425&fastPos=2 et https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445875&fastReqId=1838018625&fastPos=1
# 11/11/2019 – Découverte d’une fuite massive de données chez Genius, la solution de caisse enregistreuse tactile éditée par La Poste
L’application Genius, via Android, est un logiciel de gestion de caisse, de stocks et d’inventaire proposé par le groupe La Poste.
Une base de données de 15Go portant 23 millions de données concernant des vendeurs, clients et fournisseurs aurait été exposée sur le web en raison d’un manque de sécurisation des serveurs et de l’absence de règles d’authentification suffisantes.
Il s’agirait d’informations sur les paiements via l’application, d’adresses e-mails, noms, numéros de téléphone, factures, etc.
Cette faille a été détectée par les hackeurs éthiques de VPNMentor le 11 novembre et signalée à La Poste le 13. La Poste a averti la CNIL le 18 novembre et n’a mis fin à la violation de données que le 8 décembre.
La Poste répond en précisant que le nombre de données concernées serait plus faible qu’annoncé et ne concernerait pas des données sensibles.
Ce qu’il faut retenir : En cas de fuite de données, la responsabilité du responsable de traitement peut être engagée s’il n’avait pas pris les mesures techniques et organisationnelles pour assurer la confidentialité des données. Il est également impératif de mettre fin à la faille détectée de manière aussi immédiate que possible, d’alerter la CNIL et, dans certains cas, d’alerter les personnes concernées.
# 06/11/2019 – Pologne – Condamnation de la société ClickQuickNow Sp. z oo pour entrave à l’exercice du droit de retirer son consentement >> 201K PLN (environ 47K€)
Rappelons tout d’abord que tout traitement fondé sur le consentement de la personne concernée implique le droit pour cette dernière de pouvoir retirer son consentement à tout moment. Le retrait met alors fin au traitement concerné. Par ailleurs, le consentement doit pouvoir être retiré aussi facilement qu’il a été donné.
Les faits : En février 2019, la société ClickQuickNow Sp. z oo fait l’objet d’un contrôle d’office de l’Autorité polonaise de protection des données. A l’occasion de ce dernier, celle-ci est épinglée à l’égard de son process de gestion des demandes de retrait du consentement.
La société ClickQuickNow disposait d’un fichier de données personnelles collectées sur la base du consentement et traitées à des fins de publicité ciblée.
Tous les emails et SMS publicitaires envoyés par celle-ci contenaient un lien « retrait du consentement ».
En cliquant sur ce lien, l’utilisateur était redirigé vers le site de la société, où il lui était demandé d’indiquer la raison de son retrait (étape 1), sachant qu’il devait impérativement choisir entre deux réponses prédéfinies « A : je reçois des publicités qui ne m’intéressent pas » ou « B : je reçois trop souvent des annonces » afin de poursuivre sa demande.
Après avoir sélectionné l’une des deux options, l’utilisateur était redirigé vers une page intitulé « votre retrait de consentement aujourd’hui » (étape 2) avec un message le remerciant pour sa réponse et lui rappelant ses droits et la manière de les exercer (accès, rectification, suppression, limitation, portabilité, opposition, retrait du consentement et droit de déposer une plainte auprès d’une autorité de protection des données).
L’utilisateur devait ensuite suivre les indications figurant dans le message pour effectivement retirer son consentement (étape 3).
L’autorité polonaise constate plusieurs manquements dans cette procédure :
Manquement à l’obligation de fournir aux personnes concernées un exercice facile de leur droit de retirer leur consentement au traitement de leurs données personnelles
Le retrait du consentement ne devrait pas être conditionné à l’indication, par la personne concernée, des motivations de sa demande. Par ailleurs, la procédure de retrait imposée par la société ClickQuickNow était trop complexe et trop longue, avec plus de trois étapes pour retirer son consentement (alors que donner son consentement ne nécessitait a priori qu’une seule étape).
Violation du principe de transparence et de fiabilité dans l’exercice du droit de retrait du consentement
Le message intitulé « votre retrait de consentement aujourd’hui » qui était envoyé aux utilisateurs était trompeur. En effet, celui-ci laissait penser que la demande de retrait avait été traitée, alors même que ce n’était pas le cas et qu’une étape supplémentaire était nécessaire.
Violation du droit d’obtenir la suppression des données en utilisant la procédure de retrait du consentement
La société aurait dû supprimer les données à partir du moment où les personnes concernées avaient manifesté leur volonté de retirer leur consentement. Or, leurs données n’étaient effectivement supprimées que si les utilisateurs passaient par la 3ème étape, qui en pratique n’était jamais suivie, puisqu’elles étaient trompées par le message adressé en étape 2, « votre retrait de consentement aujourd’hui », qui leur laissait penser que le nécessaire était déjà fait.
Manquement au principe de licéité du traitement
En poursuivant le traitement des données alors même que les personnes concernées avaient exprimé leur volonté de retirer leur consentement, la société ClickQuickNow effectuait un traitement dépourvu de base légale.
Sanction :
– Amende de 201.000 zlotys (soit environ 47K€), tenant compte du fait que l’entrave au droit de retrait était manifestement intentionnelle, l’autorité polonaise ayant estimé que la société ClickQuickNow avait pleinement conscience de la complexité de sa procédure de retrait,
– Mise en demeure de remédier aux manquements sous 14 jours.
Publication de la décision : En raison de la gravité de la violation.
Ce qu’il faut retenir : Il est non seulement indispensable de prévoir une procédure d’exercice de leurs droits par les personnes concernées, mais également de faire en sorte que celle-ci soit la plus simple et efficace possible. Les entreprises ont intérêt, dans la mesure du possible, à prévoir une procédure de retrait du consentement qui soit automatisé, par exemple par le biais d’un bouton de retrait qui permette, en 1 clic et sans condition, d’exercer son droit.
Il est aussi primordial de gérer efficacement l’après : le retrait du consentement doit aboutir à la cessation du traitement voir à la suppression des données (si elles ne doivent pas être conservées pour une autre finalité légitime qui reposerait par exemple sur la nécessité d’exécuter une obligation légale ou contractuelle, ou sur un intérêt légitime du responsable de traitement).
Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPR.421.7.2019.
# 05/11/2019 – CNIL – Mise en demeure de la société Boutique.Aéro concernant son système de videosurveillance
Faits : La société Boutique.Aéro est spécialisée dans le commerce de gros de fournitures et équipement aéronautiques (7 salariés 1.7M€ de CA en 2017)
Elle fait l’objet en octobre 2018 d’un signalement par la DIRECCTE (Occitanie) auprès de la CNIL concernant la présence dans un de ses magasins de caméras qui filmeraient en continue les postes de travail des salariés.
Elle est donc contrôlée, sur place, par la CNIL qui constate la présence, notamment de deux caméras filmant en continu un poste de travail (caisse du magasin) et un emplacement pour la préparation de commandes, non ouvert au public et d’une autre caméra filmant une zone non ouverte au public correspondant à un couloir desservant plusieurs bureaux de salariés.
Elle constate également que les images des caméras de vidéosurveillance sont accessibles à partir d’un protocole http, en temps réel, depuis une connexion au logiciel de gestion accessible, en interne et en externe, par l’ensemble des salariés, à partir de chaque poste informatique du magasin au moyen de mots de passe préenregistrés depuis un compte générique et un compte individuel ou depuis une connexion à partir d’un poste informatique extérieur au moyen d’identifiants.
A l’occasion du contrôle, la société confirme que :
-elle a mis en place en 2010, dans sa boutique, un système de vidéosurveillance comportant 14 caméras
-la finalité du traitement consiste à prévenir les atteintes aux salariés et aux biens ainsi qu’à localiser les salariés
-aucun registre des traitements n’était tenu.
-le prestataire en charge de la maintenance informatique a connaissance des identifiants de connexion à ce logiciel et peut accéder aux images à distance.
-l’information relative à la présence d’un dispositif de vidéoprotection était délivrée aux salariés par une mention inscrite dans leur contrat de travail.
Manquement à l’obligation de minimisation
Un dispositif de vidéosurveillance destiné à la localisation et la surveillance permanente des salariés par le gérant n’est pas légitime ni proportionnée.
Manquement à l’obligation d’informer les personnes
L’information qui délivrée dans le contrat de travail des salariés est incomplète en ce qu’elle ne porte que sur la présence du dispositif de vidéoprotection à des fins de protection contre le vol et ne contient pas l’ensemble des mentions d’information prévues au RGPD.
Manquement à l’obligation de veiller à la sécurité des données personnelles traitées par un sous-traitant
La société n’a pas conclu de contrat, comprenant les obligations prévues au RGPD, avec le prestataire informatique (ayant connaissance des identifiants de connexion au logiciel permettant d’accéder aux images vidéo à distance.
Un manquement à l’obligation d’établir un registre des activités de traitement
L’obligation de tenir un registre de ses activités de traitement ne s’applique pas à une entreprise comptant moins de 250 employés, sauf si le traitement n’est pas occasionnel, ce qui n’est pas le cas ici.
Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données
L’ensemble des salariés n’a pas à accéder aux images vidéo en temps réel.
Le pré-enregistrement de mots de passe et identifiants équivaut à une absence de mot de passe et d’identifiants.
L’accès aux images vidéo des caméras par la connexion au logiciel de gestion de la société doit se faire par une connexion chiffrée (protocole https).
Décision : Une mise en demeure de :
– Sous 10 jours : cesser de traiter les images issues vidéo pour localiser les salariés et ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la protection des biens et des personnes (donc adapter le dispositif pour ne pas filmer en continu les salariés sur leur poste de travail, en supprimant ou réorientant les caméras) et sécuriser le traitement / l’accès aux flux vidéo des caméras, avec une restriction de connexion à des comptes individuels (via des identifiants et mots de passe qui ne soient pas pré-enregistrés) ayant des habilitations en fonction de leurs missions) et un protocole de chiffrement
– Sous 2 mois : établir un registre des activités de traitement, informer les personnes concernées, par exemple, via un document annexé au contrat de travail ou une note de service remise contre émargement ou le règlement intérieur mis à jour ; établir un contrat adéquat avec la société de prestation informatique ; justifier de ces démarches auprès de la CNILdans les délais impartis.
Publication de la décision : Compte-tenu de la gravité des manquements (caractère excessif du système de vidéosurveillance et insuffisance de l’information délivrée aux salariés) et à des fins de pédagogie.
Ce qu’il faut retenir : Le fait de filmer en continu le poste de travail d’un salarié est disproportionné, sauf circonstance particulière tenant, par exemple, à la nature de la tâche à accomplir (ex. Lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones).
Le responsable de traitement doit fournir, au moment où les données sont collectées, les informations relatives à son identité et ses coordonnées, celles du délégué à la protection des données, les finalités du traitement et sa base juridique, les destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Il est impératif d’encadrer la relation entre un responsable de traitement et son sous-traitant par une clause contractuelle conforme aux dispositions prévues par le RGPD.
L’absence de définition de profils d’habilitation afin de limiter les accès des utilisateurs aux seules données dont ils ont besoin ne permet pas d’assurer la confidentialité et la sécurité des données.
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466203&fastReqId=105441404&fastPos=2 et https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466238&fastReqId=1400270167&fastPos=1
# 31/10/2019 – Pologne – Première condamnation d’une entité publique polonaise >> 40K PLN (environ 9K€)
Les faits : en juin 2019, la mairie d’une ville polonaise fait l’objet d’un contrôle d’office de l’Autorité locale de protection des données. Ce dernier révèle plusieurs manquements au RGPD :
Manquement à l’obligation de régir par un contrat écrit ses relations avec ses sous-traitants de données personnelles
La mairie avait fait appel à un prestataire pour héberger les données contenues dans le bulletin d’information local (dont des données à caractère personnel). L’hébergeur était donc sous-traitant de données personnelles à l’égard de la municipalité. Or aucun contrat n’avait été conclu avec ce prestataire.
Manquement à l’obligation de conserver les données personnelles pour une durée limitée
La mairie avait omis de mettre en place un système permettant de tracer la date de collecte des données personnelles, et donc de calculer la date à laquelle elles devraient être supprimées. En conséquence, des déclarations foncières datant de 2010 étaient toujours disponibles dans le bulletin d’information local, alors que la règlementation applicable exigeait qu’elles ne soient pas conservées au-delà de 6 ans.
Manquement à l’obligation d’assurer l’intégrité et la confidentialité des données personnelles
Les documents enregistrés lors des réunions du conseil municipal n’étaient disponibles que via un lien vers une chaîne Youtube dédiée. Aucune copie n’était conservée par la municipalité, de sorte qu’en cas de perte des données stockées sur le réseau en question, celles-ci disparaitraient définitivement.
Manquement au principe de responsabilité
La mairie n’a mené aucune analyse des risques préalablement à la publication des données personnelles sur un réseau social, Youtube, accessible librement.
Manquement à l’obligation de tenir un registre de ses activités de traitement de données personnelles
Le registre de la municipalité était incomplet car il ne contenait ni les destinataires des données (y-compris les sous-traitants), ni leur durée de conservation.
Sanction :
– Amende de 40.000 zlotys (environ 9K€) tenant compte du fait que la municipalité n’a pas coopéré avec l’Autorité de contrôle et que, suite à celui-ci, elle n’a pris aucune mesure pour corriger ses manquements ni prévenir de futures infractions. La municipalité n’a donc pas pu bénéficier de circonstances atténuantes. Ceci étant, l’autorité polonaise a tenu compte, dans la fixation du montant de l’amende, de la nature d’entité publique de la mairie, et de son budget pour les années 2018 et 2019.
– Mise en demeure de remédier aux manquements sous 60 jours.
Publication de la décision : A des fins de prévention, pour encourager les responsables de traitement à faire preuve de diligences dans le respect de leurs obligations et pour dissuader tant la mairie condamnée que d’autres responsables de traitement, de violer la loi polonaise en matière de données personnelles.
Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPU.421.3.2019
# 24/10/2019 – Conseil d’État – Validation du décret du 24/05/2018 autorisant les responsables des entreprises de transport routier de marchandises et de voyageurs à consulter les données personnelles relatives aux permis de conduire de leurs conducteurs
Faits : Par une requête en date du 25 juillet 2018 ainsi qu’un mémoire complémentaire et en réplique en date des 25 octobre 2018 et 8 octobre 2019, la fédération des transports et de la logistique FO-UNCP a demandé l’annulation pour excès de pouvoir du décret du 24/05/2018 qui précise les conditions d’accès aux informations des traitements de données personnelles relatifs aux permis de conduire et à la circulation des véhicules, par les entreprises de transport. En effet, cette fédération considérait cette possibilité excessive alors qu’avant ce décret, les informations relatives à la validité du permis de conduire n’étaient directement consultables que par les autorités policières et judiciaires, les sociétés d’assurance et le titulaire du permis lui-même.
Décision : Le Conseil d’Etat considère que :
– Les autorisations d’accès conférées par le décret ne vont pas au-delà de ce qui est nécessaire pour répondre aux finalités poursuivies par le traitement (sécurité routière) et ne sont pas contraires à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, relatif au droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance,
– Le système national des permis de conduire poursuit notamment un objectif de sécurité routière aux fins de lutte contre les infractions routières qui justifie que certains personnels des entreprises qui exercent une activité de transport aient un accès direct à certaines informations dudit système afin de s’assurer de la validité du permis de conduire des personnes employées en tant que chauffeur,
– L’accès direct aux données personnelles du permis de conduire par ces personnes est limité à certaines informations ciblées : relatives à l’existence, la catégorie et la validité du permis de conduire, à l’exclusion du nombre de points affectés au conducteur et des éventuelles infractions pénales commises.
Le Conseil d’Etat a établi que la finalité de sécurité routière n’aurait pas pu être atteinte par le biais d’un accès indirect « compte tenu du volume potentiel des demandes qui seraient susceptibles d’être adressées à l’autorité administrative ». Seules les personnes habilitées et individuellement désignées au sein des entreprises de transport routier de voyageurs ou de marchandises auront un accès sécurisé aux données concernées.
Ce qu’il faut retenir : Bien que l’article 8 de la CEDH prime sur bon nombre de prérogatives régaliennes, il convient de garder à l’esprit que, comme le rappelle le Conseil d’Etat dans la présente décision, l’ingérence dans la vie privée des individus, constituée par la collecte, la conservation ainsi que le traitement de données personnelles, peut être autorisée si elle répond à des finalités légitimes et que « le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ». Les finalités de traitement (leur justification et le juste équilibre entre l’accès aux données et leur utilité) restent donc le cœur du système.
Pour en savoir plus : https://www.legalis.net/jurisprudences/conseil-detat-10eme-9eme-ch-reunies-decision-du-24-octobre-2019/
# 23/10/2019 – Autriche – DSK – Amende pour le service postal autrichien >> 18M€
L’autorité Autrichienne de Protection des Données, la Datenschutzkommisson (DSK) a affirmé qu’après étude de plusieurs éléments de preuves, l’ÖPAG (service postal autrichien) avait commis plusieurs violations au RGPD :
- Traitement de données personnelles en lien avec les convictions politiques des personnes concernées
- Traitement ultérieur des données relatives à la fréquence des colis et des délocalisations à des fins de marketing direct
La sévérité de la décision est notamment prévue à titre préventif d’autres violations à venir.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_en
# 16/10/2019 : Le Conseil d’Etat autorise la CNIL à « laisser-faire » en matière de cookies et autres traceurs
Faits : Par un communiqué en date du 28 juin 2019, la CNIL annonce avoir élaboré un plan d’actions pour l’année 2019-2020 visant à préciser les règles applicables en matière de ciblage publicitaire en ligne et permettant d’accompagner les acteurs dans leur mise en conformité auxdites règles.
Par un autre communiqué publié sur son site le 18 juillet 2019, la CNIL a apporté des précisions sur sa délibération à savoir qu’elle engagerait une concertation pour permettre l’adoption d’une recommandation visant à préciser les modalités pratiques du recueil du consentement pour le dépôt des cookies et autres traceurs de connexion, prévue au premier trimestre 2020.
Enfin, elle prévoit une période d’adaptation de 6 mois après ladite recommandation destinée à permettre aux opérateurs d’intégrer ces nouvelles règles et de se mettre en conformité.
Les associations « La Quadrature du net » et « Caliopen » reprochent à la CNIL de demeurer dans un esprit de pédagogie et de refuser d’user de ses prérogatives pour sanctionner les manquements aux règles applicables en matière de cookies et traceurs, alors que le RGPD est applicable depuis 2018 et que les entreprises avaient 2 ans pour s’y préparer. Par requête en date du 29 juillet 2019, elles saisissent le Conseil d’Etat en demandant notamment :
- L’annulation pour excès de pouvoir de la décision de la CNIL révélée les 28 juin et 18 juillet 2019 par des communiqués de presse,
- Une injonction à la CNIL de publier un encart, sur la page d’accueil de son site web et sur les pages de ses communiqués des 28 juin et 18 juillet, sous astreinte de 500 €/jour de retard, faisant référence à la décision du Conseil d’Etat et indiquant que « la poursuite de la navigation » ne répond pas aux conditions de validité du consentement en matière de cookies et de traceurs en ligne,
Sur la fin de non-recevoir opposée par le CNIL : Il est établi que le plan d’action élaboré par la CNIL constitue une prise de position publique quant aux maniements des prérogatives dont elle dispose, notamment en matière répressive, qui a pour objet d’influer sur le comportement des opérateurs auxquels elle s’adresse. A cet égard, l’objet social de cette prise de position concerne la défense des libertés sur internet et la protection de la confidentialité des données personnelles, ce qui la rend dommageable pour les associations qui sont donc recevables à en demander l’annulation. La fin de non-recevoir est donc écartée.
Sur la légalité de l’acte attaqué : Le CE confirme que la CNIL a établi que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement » à un traitement de données personnelles.
Il rappelle par ailleurs que la CNIL dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir.
Elle est donc libre d’informer de sa pratique et a d’ailleurs souligné que pendant la période de transition envisagée elle continuera à contrôler le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage.
Le CE a été considéré que la période d’adaptation de 6 mois durant laquelle la CNIL ne mettra pas en mouvement son pouvoir répressif concernant la poursuite de la navigation comme expression du consentement permettra, à son terme aux opérateurs de respecter les principes de consentement et d’information préalable des internautes (sur les finalités de cookies et les moyens pour s’y opposer) en leur permettant d’être accompagnés dans l’objectif d’une complète mise en conformité d’ici l’été 2020.
Décision : Le Conseil d’Etat rend sa décision le 16 octobre 2019. La requête des associations y est rejetée, le Conseil d’Etat ayant décidé qu’en fixant, à échéance raisonnable, une obligation de mise en conformité que ses pouvoirs répressifs ne seraient pas susceptibles de faire respecter plus rapidement, la CNIL n’a pas porté atteinte au droit au respect de la vie privée et au droit à la protection des données personnelles. Le Conseil d’Etat confirme ainsi la liberté de la CNIL, dans son pouvoir d’appréciation de l’opportunité de sanctionner ou non et de ses méthodes pour parvenir au respect de la réglementation. A noter, par ailleurs, que la CNIL n’a pas exclu la possibilité de faire usage de ses prérogatives répressives notamment en cas d’atteinte particulièrement grave aux principes précités.
Ce qu’il faut en retenir : L’impact de cette décision pour les entreprises doit être mesuré car s’il est admis que la CNIL puisse décider de laisser davantage de temps pour la mise en conformité des bandeaux cookies (rappelons que le bandeau cookies du site de la CNIL est lui-même resté non conforme plusieurs mois après l’entrée en vigueur du RGPD…), on ne peut aucunement en tirer que la CNIL ne sanctionnera pas les comportements fautifs avant mi-2020.
Il y a sans doute un certain laxisme à permettre de ne pas sanctionner immédiatement la collecte illicite de cookies et traceurs (qui porte effectivement atteinte à la vie privée des internautes concernés), d’autant que dans une démarche de mise en conformité d’une entreprise, la revue du bandeau cookies et la mise en place d’un process adapté/légal ne fait pas partie des opérations les plus complexes.
Il est assez amusant et symptomatique de constater que la collecte de cookies sur le site même du Conseil d’Etat est, au moment de sa décision, basée sur un consentement du seul fait de la navigation sur le site …
Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-16-octobre-2019-plan-d-action-de-la-cnil-en-matiere-de-publicite-ciblee
# 01/10/2019 – Roumanie – ANSPDCP – Condamnation des sociétés Raiffeisen Bank S.A. and Vreau Credit S.R.L. >> 150K€ et 20K€
Faits : A la suite de la notification d’une violation des données à caractère personnel l’ANSPDPC a ouvert une enquête sur les traitements de Raiffeisen Bank SA.
En effet, 2 employés de Raiffeisen Bank SA, utilisant les données des documents d’identité de certaines personnes physiques, transmises par la société Vreau Credit SRL via l’application mobile WhatsApp, ont interrogé le système de crédit bancaire pour obtenir des données en vue de déterminer l’admissibilité au crédit de ces personnes, par le biais de 1194 simulations de présélection sur 1177 personnes. Ils ont également consulté la base de données de l’Agence nationale de l’administration fiscale pour 124 personnes. Les simulations de présélection ont été effectuées à l’aide de l’application informatique utilisée par Raiffeisen Bank SA dans le cadre de l’activité de crédit et la décision de crédit négative a été communiquée par les employés de Raiffeisen Bank SA aux employés de Vreau Credit SRL, sans respecter les procédures internes.
Décision : L’ANSPDPC sanctionne Raiffeisen Bank SA après avoir constaté que la société n’avait pas mis en œuvre :
– les mesures appropriées pour garantir que toute personne physique agissant sous son autorité et ayant accès aux données personnelles traite les données uniquement à la suite de sa demande
– les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité suffisant et n’a pas évalué les risques présentés par le traitement
Cette situation a entraîné un accès non autorisé aux données à caractère personnel traitées via l’application informatique utilisée par Raiffeisen Bank SA dans le cadre de l’activité de crédit et à la divulgation non autorisée de données personnelles par les employés de la banque.
L’ANSPDPC sanctionne également Vreau Credit SRL pour violation de la sécurité des données, mais également au motif que l’entreprise ne lui a pas notifié la violation alors même qu’elle avait eu connaissance de l’incident depuis décembre 2018.
Sanctions : Amendes de 150K€ et 20K€.
Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-raiffeisen-bank-sa-and-vreau-credit-srl_en
01/10/2019 – CJUE – Dans l’affaire Planet49, la CJUE se prononce sur les conditions de validité du consentement
Les faits : La société Planet49 Gmbh a été poursuivie par la Fédération allemande des organisations des consommateurs car elle proposait sur le site Internet www.dein-macbook.de un jeu dont les conditions en termes de respect de la vie privée des internautes utilisateurs sont remises en cause dans cette affaire en ce qui concerne les modalités d’obtention du consentement et la nature des informations à communiquer aux personnes concernées.
En effet, les internautes souhaitant participer à ce jeu étaient dirigées vers une page web avec deux mentions accompagnées de cases dont :
- la 1ère n’était pas cochée par défaut : destinée à accepter de recevoir de sponsors et partenaires des informations de promotions, par voie postale, téléphone, courrier électronique ou message SMS, (en cliquant sur un lien, l’utilisateur pouvait refuser son accord pour les sponsors et partenaires de son choix)
- La 2nde était cochée par défaut : destinée à accepter l’installation de cookies sur le terminal de l’utilisateur, pour analyser ses navigations sur le web et ses visites sur les sites web des partenaires publicitaires et lui adresser de la publicité centrée sur ses intérêts.
La Fédération a gagné le procès en 1ère instance devant les tribunaux allemands, puis un appel et un pourvoi ont été formés devant la Cour Fédérale de justice allemande qui a décidé de surseoir à statuer afin de poser deux questions préjudicielles à la CJUE concernant :
– La validité du consentement en cas de case pré cochée ;
– Les informations à fournir, par la société, pour s’assurer du respect d’un consentement éclairé des internautes.
Décision : Conformément aux conclusions de l’avocat général, la CJUE affirme ici que le consentement n’a pas été recueilli de manière valable : libre, informé, univoque et spécifique.
Ce qu’il faut retenir :
1- La CJUE rappelle les dispositions très claires du RGPD selon lequel une action de l’utilisateur est nécessaire pour exprimer son consentement, ce qui implique nécessairement la manifestation d’une volonté par un comportement actif et non pas passif, ce qui ne peut être le cas au moyen d’une case cochée par défaut que l’utilisateur devrait décocher pour refuser de donner son consentement.
De même, le fait pour un utilisateur d’activer un bouton de participation/validation pour accéder à un produit ou un service ne peut suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies, le consentement devant être spécifique à une et à chaque finalité particulière.
2- En matière de cookies, la nécessité d’obtention du consentement doit être interprétée de la même manière lorsque les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet ne collectent pas de données à caractère personnel à proprement parler (en application de la Directive 2002/58), l’objectif étant de protéger l’utilisateur contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement terminal à son insu et contre toute ingérence dans sa vie privée. Il est rappelé que toute information stockée sur l’équipement terminal de l’utilisateur d’un réseau de communications électroniques relève de la vie privée de l’utilisateur, indépendamment du point de savoir si ces informations concernent ou non des données personnelles.
3- La CJUE confirme que la durée de fonctionnement des cookies (ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée) ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies font partie de l’information claire et complète devant être fournie à l’utilisateur.
4- Enfin, il est à noter que la Cour n’a pas été saisie ici de la question de savoir si le fait que le consentement d’un utilisateur au traitement de ses données personnelles à des fins publicitaires conditionne la possibilité d’accéder à un produit ou un service (ici participer à un jeu promotionnel), est compatible avec l’exigence d’un consentement « libre ».
La CJUE n’a donc pas examiné cette question, mais le seul fait qu’elle l’ait soulevée laisse à notre avis entrevoir qu’un tel consentement ne serait probablement pas considéré comme libre.
Pour en savoir plus : https://curia.europa.eu/juris/document/document.jsf;jsessionid=AD9241541A2CA0BEA56E43097D4FB548?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1978919
# 24/09/2019 – La CJUE précise les contours et conditions du droit au déréférencement
Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms qui apparaissent à partir d’une recherche faite sur son identité. Il ne permet pas en revanche de demander l’effacement de l’information sur le site internet source.
Dans deux arrêts du 24/09/2019, la CJUE apporte d’importantes précisions sur ce droit.
Droit au déréférencement et informations sensibles
Le droit au déréférencement n’a pas un caractère automatique : les moteurs de recherche ne sont donc pas tenus d’accepter toutes les demandes de déréférencement, mais seulement celles qui leur semblent justifiées, après analyse et mise en balance du droit à la vie privée du demandeur et du droit à l’information des internautes.
La CJUE précise cependant que si la demande porte sur des liens menant vers des sites contenant des informations sensibles sur le demandeur, le droit à la vie privée est présumé avoir la primauté sur le droit à l’information. Il est donc en principe obligatoire pour le moteur de recherche de s’exécuter, sauf à démontrer que le lien en question s’avère strictement nécessaire pour protéger la liberté d’information des internautes.
Portée géographique du droit au déréférencement
Tandis que la CNIL, en 2016, avait estimé qu’une personne vivant en France devait bénéficier d’un droit au déréférencement de portée mondiale (couvrant toutes les informations accessibles sur celles-ci, quel que soit le lieu où la recherche est faite), la CJUE adopte une approche plus restrictive. Ce droit est ainsi limité en principe aux recherches effectuées depuis le territoire de l’Union européenne, à charge pour les autorités de contrôle des Etats membres d’obliger le moteur de recherche, si cela est justifié, à appliquer un déréférencement mondial. La CJUE a en effet reconnu aux autorités nationales un pouvoir d’appréciation en la matière : à l’issue d’une mise en balance entre protection de la vie privée et des données du demandeur, d’un côté, et droit à la liberté d’information, de l’autre, la CNIL (en France) pourrait obliger un moteur de recherche à déréférencer un contenu accessible à partir de l’ensemble des versions du moteur de recherche et pas seulement au niveau européen.
Pour en savoir plus :
# 20/09/2019 – Pologne – Condamnation de la société Morele.net pour manquement à l’obligation de sécurité >> 2,8 M PLN (environ 645K€)
Les faits : Morele.net exploite une dizaine de sites e-commerce en Pologne et dispose à ce titre d’une base de données personnelles concernant 2,2 millions de clients.
En novembre 2018, des clients de Morele.net informent la société qu’ils ont reçu des SMS leur demandant un versement complémentaire pour valider leurs commandes. Le SMS contient un lien redirigeant vers une fausse plateforme de paiement en ligne. Le même mois, Morele.net signale à l’autorité de protection des données polonaise que les données de ses clients ont été violés, met en garde tous ses clients contre les SMS frauduleux et met en place des mesures de sécurité supplémentaires des données.
En décembre 2018, Morele.net signale une nouvelle violation de son fichier client : un accès non autorisé à celui-ci a été détecté.
L’autorité polonaise, après avoir enjoint la société à s’expliquer en janvier 2019, diligente un contrôle sur place à partir de juin 2019.
Décision : l’autorité polonaise constate que la violation a été rendue possible par un manquement de Morele.net à l’obligation d’assurer la sécurité et la confidentialité des données. Un système d’authentification inefficace a permis à des personnes non autorisées d’accéder aux données. Par ailleurs, Morele n’a pas anticipé le risque de phishing, pourtant prévisible, lors de l’évaluation de la sécurité du traitement et n’a donc pas mis en place les mesures de sécurité adéquates. Enfin, Morele aurait dû s’apercevoir de la violation dès le mois d’octobre 2018, son système informatique ayant détecté un trafic anormalement important sur ses serveurs, témoignant d’une intrusion.
Sanction : Amende de 2,8 millions de zlotys (environ 645 K€) tenant compte :
– des facteurs aggravants de l’affaire, en particulier le nombre important de personnes concernées (2,2 millions), l’inefficacité des mesures de sécurité complémentaires prises à la suite de la première violation, puisque celles-ci n’ont pas permis d’empêcher la seconde, l’absence de réaction à la détection d’un trafic anormal sur ses serveurs.
– des circonstances atténuantes, notamment la coopération de Morele, ses tentatives pour mettre fin à la violation de données, l’absence de condamnation antérieure de la société pour manquement à la protection des données et le fait qu’aucune preuve que les clients de Morele n’aient subi un préjudice matériel n’a été rapportée.
Ce qu’il faut retenir : La sécurisation des données nécessite de prendre en compte tous les risques potentiels et de mettre en œuvre les mesures techniques et organisationnelles appropriées pour les minimiser. Un risque aussi courant que le phishing ne doit pas être négligé. En cas de violation de données, le fait que les personnes concernées n’aient pas subi de dommage matériel ne permettra pas d’échapper à une sanction mais pourra faire baisser le montant de l’amende, ce qui encourage à une réaction rapide et efficace des responsables de traitement pour éviter que le dommage ne se produise.
Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
#19/09/2019 – Belgique – APD – Condamnation d’un commerçant refusant la création d’une carte de fidélité pour toute personne ne présentant pas sa carte d’identité électronique >> 10K€
Les faits : L’autorité de protection des données Belge a reçu une plainte d’un client concernant les modalités de création d’une carte de fidélité chez un commerçant. La création d’une carte de fidélité lui avait été refusée par le commerçant puisqu’il ne souhaitait pas présenter sa carte d’identité électronique (eID). Le plaignant avait proposé au commerçant de lui transmettre, par écrit, les données nécessaires à la création du programme fidélité.
Manquement à l’obligation de minimisation des données : Le RGPD impose au responsable de traitement de ne récolter que les strictes données nécessaires au traitement, en limitant la quantité et la durée de conservation de ces dernières en fonction du but poursuivi.
L’APD a considéré qu’en imposant de recueillir la carte d’identité électronique des clients, ce dernier avait accès aux nom, prénoms, adresse, etc. mais également à la photo, au code-barres (lié au Registre national) qui constitue une donnée soumise à des règles strictes d’utilisation et de consultation.
Ledit traitement est donc considéré comme disproportionné compte tenu de l’objectif visé dans cette collecte, à savoir la création d’une carte de fidélité.
Absence de base légale valable du traitement : Le RGPD impose de fonder son traitement sur l’une des six bases légales prévues ; en l’espèce, le commerçant invoque le consentement.
L’APD rappelle les conditions dans lesquelles le consentement, pour être valable, doit être recueilli : libre, informé et spécifique.
Dans le cas d’espèce, le client n’avait pas le choix que de donner sa carte d’identité électronique afin de pouvoir bénéficier du programme fidélité et profiter des avantages et réductions accordés ; dans ce contexte, le consentement ne peut être considéré comme libre (aucune alternative ne lui étant proposée).
Décision : L’APD impose au commerçant une amende de 10K€ et de se mettre en conformité avec les exigences du RGPD.
Ce qu’il faut retenir : Les données collectées ne peuvent être que celles strictement nécessaires en fonction de la finalité du traitement. Avant toute collecte de données, l’entreprise doit donc nécessairement se poser la question de l’utilité de chaque donnée en rapport avec l’utilisation projetée et ne jamais collecter de données inutiles à défaut de quoi le traitement sera considéré comme disproportionné et illicite.
Pour en savoir plus : https://www.gegevensbeschermingsautoriteit.be/nieuws/GBA-sanctioneert-een-handelaar-voor-het-gebruik-van-de-eid-om-klantenkaart-aan-te-maken
#03/09/2019 – Lettonie – DSI (Data State Inspectorate of Latvia) – Condamnation d’un commerçant en ligne refusant de supprimer des données personnelles de sa clientèle en dépit d’une demande répétée et pour défaut de coopération avec l’Autorité de Contrôle lettone >> 7K€
Les faits : L’exploitant d’un eshop letton a refusé de supprimer les données personnelles d’un de ses clients et ce, malgré les demandes répétées de ce dernier depuis 2018. Il a par ailleurs continué à exploiter ses données, notamment son numéro de téléphone.
Interrogé par l’Autorité de contrôle nationale, l’e-commerçant n’a pas été coopératif, ne répondant pas à ses demandes d’informations et injonctions.
Manquement à l’obligation de réponse à l’exercice du droit à l’effacement de ses données personnelles par la personne concernée : Le RGPD impose au responsable de traitement de faire droit aux demandes des particuliers demandant la suppression de leurs données personnelles et de coopérer avec l’Autorité nationale en cas de contrôle (Art. 58(2) c et g). Dans cette affaire se rapportant à la Lettonie, la DSI, a constaté que le responsable d’un site de commerce en ligne avait violé le droit à l’effacement des données personnelles d’un de ses clients. Ses données personnelles ont ainsi fait l’objet de traitement contre sa volonté à plusieurs reprises.
Manquement à l’obligation de coopération en cas de contrôle par l’Autorité nationale Par ailleurs, la DSI a observé une absence caractérisée de coopération du Responsable de traitement avec ses services à l’occasion de ses opérations de contrôle.
Décision : La DSI condamne le commerçant letton à une amende de 7K€ et à se mettre en conformité avec les exigences du RGPD. La DSI a tenu compte pour la fixation du montant de l’amende de la nature, la gravité, la répétition et la durée de l’atteinte portée au droit du client, de la qualité de la coopération avec ses services et enfin du montant du Chiffre d’Affaires réalisé l’année précédente par l’e-commerçant.
Ce qu’il faut retenir : Les responsables de traitement ne peuvent ignorer les demandes d’effacement de données personnelles émanant du public et doivent y satisfaire, lorsqu’elles sont justifiées notamment dans les délais prescrits. La coopération avec les services de contrôle est également une obligation en tant que telle pour laquelle le manquement à lui seul peut justifier une amende.
Pour en savoir plus : https://www.dvi.gov.lv/en/news/data-state-inspectorate-of-latvia-imposes-a-financial-penalty-of-7000-euros-against-online-retailer/
# 02/09/2019 – CNIL – Clôture de la mise en demeure à l’encontre de l’Institut des techniques informatiques et commerciales (ITIC)
Faits : la CNIL avait accordé un délai à l’ITIC pour mettre en conformité son système de vidéosurveillance, qui avait été jugé excessif dans la mesure où certaines des caméras filmaient en permanence l’ensemble des salles de cours et lieux de vie des étudiants ou bien le poste de travail d’une employée, les images étaient conservées 49 jours, ce qui excédait le temps nécessaire pour atteindre l’objectif poursuivi, les personnes filmées n’étaient pas correctement informées et les images étaient accessibles à tous les étudiants et employés de l’ITIC depuis son intranet.
Mesures prises pour faire cesser le manquement :
– Retrait ou réorientation de certaines caméras de manière à ne plus filmer en continu les employés, les salles de cours et lieux de vie des étudiants,
– Sécurisation du système de vidéosurveillance pour éviter que les étudiants et le personnel non autorisé aient accès aux images via l’intranet de l’ITIC.
– Complément du panneau d’information affiché dans les locaux, des conditions générales d’inscription et des contrats de travail.
– Réduction de la durée de conservation des images à 30 jours maximum.
Sanction : Aucune, considérant que l’ITIC s’est mise en conformité dans le délai prescrit, la CNIL a clos cette procédure sans prononcer de sanction.
Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039012270&fastReqId=303128926&fastPos=1
Pour plus d’informations sur cette affaire, consultez notre fil d’actualités RGPD au 02/07/2018
# Août 2019 – Allemagne – Fuite de données personnelles de près de 90.000 clients de Mastercard !
C’est un coup dur pour Mastercard ! Les données personnelles d’environ 90.000 clients allemands ont été piratées puis mises en ligne en août 2019. Leur point commun ? Les victimes étaient abonnées au programme « Priceless Specials », permettant notamment de faire bénéficier les détenteurs de cartes Mastercard de bonus et réductions en tout genre sur les services (shopping, location, etc.) et ont pu constater avec effroi l’accès au grand public de leurs nom, numéro de téléphone ou adresse, adresse email, coordonnées bancaires (complètes ou non).
Mastercard a réagi vite en fermant le site, en contactant les personnes concernées (au titre de l’obligation de notification de violation des données personnelles) et en décidant de mener une enquête.
21/08/2019 – Mots de passe hackés sur le site impôts.gouv.fr – Violation de données personnelles
Les faits : Le Canard Enchaîné a publié un article faisant état d’une brèche dans la sécurité des données du Ministère de l’Economie sur son site impôts.gouv.fr en rapportant la violation de 2200 comptes personnels. Le Ministère de l’Economie a depuis publié un démenti officiel en expliquant que l’origine de la fraude est liée non pas à son site mais à la création et l’usage des mots de passe de certains utilisateurs qui ont été victimes de phishing : des hackers les contactaient par email ou téléphone en leur demandant de confirmer leur mot de passe et ainsi, une fois le sésame obtenu, les pirates avaient accès aux comptes et notamment aux données bancaires qu’ils pouvaient modifier à leur guise. Nul doute que l’objectif de ces pirates était de se voir reverser le solde du crédit d’impôt que Bercy a versé à ses administrés concernés mi-juillet.
Bercy a depuis indiqué avoir bloqué les 2200 comptes piratés, informé les personnes concernées ainsi que la CNIL et déposé une plainte auprès des autorités compétentes. Le Ministère de l’Economie a surtout publié un communiqué officiel rappelant les règles de sécurité de base en matière d’utilisation de mots de passe.
Ce qu’il faut retenir : La sécurité des données personnelles est aussi le fait des utilisateurs et de la bonne gestion de leurs mots de passe, lesquels doivent être complexes. Encore faut-il les pousser à choisir des mots de passe complexes en ne permettant pas d’activer des comptes avec des mots de passe trop simplistes. La CNIL est partageuse de recommandations pour adopter une politique de mots de passe sécurisée. Dans cette perspective, fin août, le système de protection des mots de passe du site impôts.gouv.fr devrait être encore renforcé par l’adjonction d’une question secrète posée aux administrés puis à terme par un système de double authentification fondé sur un mot de passe + un code sms à durée de validité limitée reçu sur le téléphone de l’utilisateur. Un système d’identification biométrique est également évoqué mais sans date connue à ce jour.
Pour en savoir plus : https://minefi.hosting.augure.com/Augure_Minefi/r/ContenuEnLigne/Download?id=BAC4ABB4-7197-4624-8E6A-03164BD6F4BC&filename=772%20-%20CP%20phishing%20piratage%20mail_DGFiP.pdf
https://www.ssi.gouv.fr/particulier/precautions-elementaires/dix-regles-de-base/
20/08/2019 – Suède – DPA – Condamnation de la municipalité de Skellefteå pour utilisation de reconnaissance faciale >> 200 000 SEK (environ 20K€)
A l’occasion de sa première amende en vertu du RGPD, l’autorité de protection des données suédoise rappelle que même lorsqu’un consentement est obtenu le traitement peut être illégal.
Les faits : Un lycée du nord de la Suède, la High School Board de Skellefteå, a conduit un projet pilote utilisant des technologies de reconnaissance faciale par caméra en vue de surveiller l’absentéisme des étudiants. La phase de test était diligentée sur une classe spécifique choisie (22 étudiants) et pendant une période limitée (3 semaines).
Décision :
Base légale inadaptée : Le traitement des données était fondé sur le consentement mais la DPA a considéré qu’il ne s’agissait pas ici d’une base légale valable, compte-tenu du déséquilibre évident entre le responsable de traitement et les personnes concernées, les étudiants étant dans une situation de dépendance vis-à-vis de la commission scolaire.
Absence d’étude d’impact : S’agissant de données biométriques, donc sensibles et qui méritent une protection supplémentaire, la municipalité aurait dû conduire une étude d’impact préalable et consulter la DPA. Or l’Inspection des données a constaté que la reconnaissance faciale impliquait la surveillance par caméra des étudiants dans leur environnement quotidien, l’intrusion dans leur intégrité et que le contrôle de la présence pouvait être effectué par d’autres moyens qui violaient moins la vie privée que la reconnaissance faciale.
Sanction : Amende de 200 000 SEK (environ 20K€), assez réduite dans la mesure où le traitement a concerné peu de personnes et sur une courte période.
Ce qu’il faut retenir : Il peut sembler simple d’établir la preuve du consentement dès lors que l’on parvient à se procurer un accord écrit (ou la trace d’une case cochée par exemple) des personnes dont les données sont traitées. Pourtant il n’est pas toujours opportun de choisir cette base légale car le consentement doit répondre à certains critères ; il doit notamment être libre et cette condition ne sera pas remplie dès lors qu’il existera un déséquilibre significatif entre les parties : lien de dépendance, lien de subordination, fragilité, etc. Par ailleurs, s’agissant de nouvelles technologies particulièrement intrusives et traitant des données sensibles, il faudra toujours étudier la pertinence de leur utilisation et déterminer dans quelle mesure d’autres moyens de substitution moins indiscrets pourraient être préférés pour répondre à la finalité concernée.
09/08/2019 – ICO (UK) – Mise en demeure de la société Hudson Bay Finance Ltd pour ne pas avoir répondu à une demande d’accès.
Les faits : Hudson est une agence d’assurance-vie et d’assurance générale (assurance-accidents, assurance-maladie, assurance de biens et assurances risques divers) appartenant à 100 % à la société canadienne Compagnie de la Baie d’Hudson (HBC).
N’ayant reçu aucune réponse à sa demande d’accès à ses données personnelles, exercée par courrier le 18 mai 2018, la personne concernée adresse une plainte auprès de l’ICO le 21 septembre concernant le manquement de la société Hudson à son obligation de répondre dans le délai maximum d’un mois.
Le 11 décembre, l’ICO, qui s’est saisi de la plainte, écrit à la société pour lui demander d’étudier la demande d’accès exercée par le plaignant. Le courrier ayant été retourné, il est envoyé par l’ICO de nouveau le 17 janvier 2019.
Sans réponse, l’ICO appelle la société à plusieurs reprises notamment pour se faire confirmer les coordonnées postales et discuter de la plainte. Face à la mauvaise volonté de son interlocuteur chez Hudson qui refuse de discuter et fini par raccrocher, l’ICO lui écrit de nouveau les 27 et 28 mars et cherche à le joindre au téléphone à plusieurs reprises courant juin sans succès.
Après avoir adressé à Hudson un avertissement lui enjoignant de répondre à la demande d’exercice des droits au plus tard le 26 juillet, et de nouveau sans réponse, l’ICO analyse la conformité du traitement de données opéré par Hudson dans le cadre de la plainte.
Exercice du droit d’accès : L’ICO considère que Hudson n’a pas respecté son obligation de répondre à la personne concernée sur le fait de savoir si la société traite ou non certaines de ses données personnelles et dans ce cas de lui communiquer les informations en question dans un format intelligible.
L’ICO reconnaît le préjudice subi par la personne en ce qu’elle a été privée de son droit de savoir quelles sont les données personnelles la concernant, traitées par la société Hudson.
Sanction : Mise en demeure de :
– informer la plaignante sur le fait de savoir si Hudson traite ou non des données personnelles la concernant
– lui adresser la copie des données personnelles faisant l’objet d’un traitement
Timing accordé pour la mise en conformité : 30 jours
Ce qu’il faut retenir : L’ICO a mis en œuvre de multiples démarches pour tenter d’obtenir une réponse du responsable de traitement. Vue l’attitude peu coopérative de la société, et si elle ne se conforme pas à la mise en demeure dans le délai prescrit, il y a fort à parier que cette affaire se solde par une sanction lourde qui pourrait porter sur le manquement de la société Hudson à la fois concernant son obligation de répondre au droits d’accès de la plaignante mais également concernant son obligation de coopérer avec l’autorité anglaise.
Pour en savoir plus : https://ico.org.uk/action-weve-taken/enforcement/hudson-bay-finance-ltd-en/
# 02/08/2019 – France – TGI Paris / référé – L’identification des adresses IP requiert d’opérer une collecte conforme au RGPD et un traitement licite – La société canadienne Mile High Distribution condamnée vs. Orange >> 8K€
Faits : La société Canadienne Mile High Distribution se présente comme étant le producteur de plusieurs centaines d’œuvres audiovisuelles commercialisées sur divers supports (notamment DVD) ou mises à disposition via une plateforme de téléchargement payant.
A la suite d’une constatation sur des plateformes d’échanges de fichiers en ligne de ses œuvres, offertes au téléchargement sans son autorisation, Mile High Distribution a mandaté une société allemande Media Protector pour procéder à la captation de plusieurs données de trafic sur les téléchargements prétendument illicites à savoir :
- L’adresse IP
- La date et l’heure du téléchargement
- L’intitulé de l’œuvre téléchargée
- Le nom du fournisseur d’accès à internet rattaché à l’adresse IP
Par ce biais, Mile High Distribution s’est constitué une liste de 895 adresses IP collectées sur la période de novembre 2017 à décembre 2018 qui seraient reliées à des opérations de téléchargements massifs et illégaux de ses œuvres.
Mile High Distribution a par la suite saisi le juge des référés afin que la société Orange, fournisseur d’accès, communique des informations sur l’identification des personnes par le biais des adresses IP récoltées, ce qu’Orange refusait de faire, jugeant cette requête illégale.
Détermination de la responsabilité et manquement à l’obligation de tenir un registre de traitement à jour : Pour être licites, la collecte et le traitement des adresses IP doivent être opérés dans le respect de la législation applicable en matière de données à caractère personnel. Mile High Distribution ne conteste pas avoir déterminé la finalité du traitement, concernant la gestion de contentieux dans les secteurs privés et publics, de sorte qu’elle apparait bien comme étant responsable de traitement. A ce titre, elle ne démontre pas avoir tenu à jour un registre des traitements qu’elle met en œuvre.
Manquement à l’obligation de désigner un DPO : Il est ajouté que la collecte des adresses IP dans un contexte particulier de lutte contre la contrefaçon sur internet constitue une collecte à grande échelle des données d’infraction, qui constituent des données sensibles, de sorte que le responsable de traitement est assujetti à une obligation de désigner un DPO (Art. 10 RGPD), ce qui n’a pas été fait par la société canadienne.
Manquement à l’obligation de sécurité et confidentialité des données & encadrement du transfert hors Union Européenne : Ici encore, la société canadienne ne produit aucun élément de nature à considérer qu’elle serait en conformité avec les dispositions du RGPD à l’aide notamment de mesures techniques et organisationnelles appropriées. Une simple déclaration de conformité auprès de la CNIL est insuffisante à démontrer le caractère licite du traitement des données à caractère personnel opéré dans le cas d’espèce.
Manquement à l’obligation d’effectuer une collecte conforme au RGPD / Empêchement légitime de communiquer des informations : Mile High Distribution n’ayant pas pu démontrer la licéité de son opération de collecte massive d’adresses IP, support de sa demande de communication auprès de la société Orange, les juges ont considéré qu’Orange avait un empêchement légitime de lui communiquer des informations précises relatives à l’identification des adresses IP.
Décision : La société Canadienne est déboutée de sa demande de communication d’informations auprès de la société Orange et sur la soi-disant résistance abusive d’Orange. Elle est condamnée à lui payer la somme de 8K€ au titre de l’article 700 du Code de Procédure Civile.
Ce qu’il faut retenir : Pas d’identification des adresses IP sans preuve du respect de la légalité de la collecte et du traitement de données. Une simple déclaration de conformité auprès de la CNIL n’établit pas pour autant que le traitement opéré est licite et conforme au RGPD. Une collecte est ici considérée à grande échelle tant en fonction du nombre de personnes concernées que de la nature des données collectées (ici en l’occurrence, il s’agissait de (895) données sensibles) … Méfiance, il ne s’agit donc pas que du volume de données à prendre en compte.
Pour en savoir plus : https://www.legalis.net/jurisprudences/tgi-de-paris-ordonnance-de-refere-du-2-aout-2019/
#30/07/2019 – Pays-Bas (DPA) – Le registre national des crédits (BKR) sanctionné pour frais illégaux d’accès aux données >> 830K€
Les faits :
La DPA néerlandaise, après le 25 mai 2018, a reçu des plaintes de personnes rencontrant des difficultés d’accès à leurs données détenues par le BKR. Le BKR n’offre pas d’accès numérique gratuit aux données, un seul accès est prévu par an en version papier par courrier. En dehors de ce cas, les personnes devaient payer des frais afin d’accéder à leurs données en version numérique. Le 6 juillet 2018 l’autorité a ouvert une enquête et procédé à des contrôles en ligne jusqu’au 13 novembre 2018.
Manquement à l’obligation du respect de droit d’accès :
Si les personnes demandaient à accéder à leurs données personnelles, elles devaient payer des frais pour l’accès à leurs données. Des frais ne peuvent être demandé que si la demande d’accès est infondée ou excessive, c’est-à-dire répétitive, du fait des frais administratifs que cela pourrait entrainer. En l’espèce, il est très important qu’une personne puisse accéder à ses données concernant l’enregistrement de crédit car cela peut affecter sa capacité d’emprunt. Il est donc nécessaire de pouvoir vérifier rapidement et facilement ces informations.
Décision :
L’autorité de contrôle sanctionne le BKR d’une amende pour ne pas avoir respecté le droit d’accès des personnes. Le BKR a fait appel de cette décision mais a malgré tout pris des mesures pour améliorer l’accès gratuit des personnes à leurs données.
Sanction :
Le montant de la sanction infligée s’élève à 830K€, l’autorité a pris en compte la gravité de l’infraction et sa durée. Compte-tenu de l’appel, cette sanction n’est pas définitive.
Ce qu’il faut retenir :
Il est interdit de faire payer les personnes concernées afin qu’elles puissent exercer leurs droits. Concernant le droit d’accès, une entreprise ne peut exiger le paiement de frais uniquement si la demande est infondée ou excessive, c’est-à-dire qu’elle va entrainer des frais déraisonnables pour la société.
Pour en savoir plus :
30/07/2019 – Grèce – APD – Condamnation de la société PWC BS pour avoir basé le traitement des données de ses employés sur leur consentement >> 150 k€
A l’occasion de sa première amende en vertu du RGPD, l’autorité de protection des données hellénique rappelle non seulement que le consentement n’est pas toujours nécessaire, mais que le demander à tort peut coûter cher.
Les faits : l’autorité hellénique, saisie d’une plainte adressée par l’association des comptables de la région de l’Attique (l’ASPA) le 01/12/2017, a ouvert une enquête sur la société d’audit Price Waterhouse Coopers Business Solutions Sa (PWC BS).
Cette dernière avait transmis à tous ses employés une « déclaration d’acceptation des conditions d’utilisation de leurs données à caractère personnel » ainsi que de nouveaux contrats individuels comprenant des clauses sur le traitement de leurs données. Les salariés étaient priés de signer ces documents sans délai. Ce faisant, ils donnaient leur consentement à PWC BS pour traiter leurs données et reconnaissaient que les informations personnelles détenues et traitées par leur employeur étaient pertinentes et appropriées et directement liées aux besoin de la relation de travail.
L’ASPA soutenait entre autres dans sa plainte que le consentement obtenu des employés n’était pas valable, compte-tenu du déséquilibre inhérent à la relation employeur-salarié.
Invitée à se justifier lors d’audiences, PWC BS a notamment fait valoir que les salariés qui n’ont pas signé les documents (à savoir 25 employés sur 415), n’ont fait l’objet d’aucune sanction et qu’elle a, depuis le dépôt de la plainte, remplacé la « déclaration d’acceptation » litigieuse par un document qui cette fois ne faisait qu’informer ses salariés sur le traitement de leurs données personnelles.
Décision : l’autorité de protection des données grecque constate que :
- Le traitement par PWC BS des données de ses employés est illicite, dans la mesure où la société a utilisé une base légale – le consentement – inappropriée. En l’espèce, et comme dans la majorité des contextes de travail, les bases légales appropriées étaient la nécessité d’exécuter les contrats de travail, de respecter les obligations légales en matière sociale et de répondre à l’intérêt légitime de l’employeur d’assurer un fonctionnement harmonieux et efficace de sa société. Or, en demandant le consentement de ses employés alors que cela n’était pas approprié, PWC BS a violé les principes de transparence et de loyauté du traitement édictés par l’article 5 du RGPD. En effet, lorsqu’un traitement repose sur le consentement de la personne concernée, celle-ci est en droit d’y mettre fin en retirant son accord. Or les salariés n’avaient pas ce pouvoir en l’espèce, dans la mesure où leur employeur était en tout