#08/09/2020 – CNIL – Des communes françaises mises en demeure par la CNIL pour violation du cadre légal en matière de prise de décision (verbalisation) automatisée.

Faits : A la suite de contrôles sur place, la CNIL a adressé des mises en demeure à 4 communes françaises pour violation du cadre légal en matière de verbalisation automatique par reconnaissance des plaques d’immatriculation.

En effet, les 4 entités (dont les noms n’ont pas été rendus publics) ont eu recours à des « dispositifs de verbalisation automatisée ». Ces dispositifs se servent des photographies prises par les caméras implantées dans les véhicules de police municipale pour faire une « lecture automatisée des plaques d’immatriculation » (LAPI). L’objectif serait de permettre la collecte automatique des données et de constater des infractions afin de les sanctionner.

Toutefois, d’après les arguments de la CNIL qui ont fondé ces mises en demeure, les recours à ces dispositifs ne sont autorisés que pour les contrôles portant sur le constat d’infractions liées au non-paiement ou au dépassement du temps de stationnement autorisé. Autrement dit, si l’assistance par ordinateur à la verbalisation est légale, l’arrêté du 14 avril 2009 relatif aux traitements automatisés pour le constat et la poursuite d’infractions pénales, ne permet pas la collecte et l’usage de photographies pour constater certains types d’infractions telles que le stationnement gênant ou dangereux : une intervention humaine est requise.

Ce qu’il faut retenir : Rappelons dans un 1er temps que les plaques d’immatriculation constituent des données personnelles : il y a la plaque associée à une carte grise, une identité, mais également le type de véhicule et potentiellement les revenus du détenteur de la carte grise etc. (voir déjà à ce sujet notre news du 12/11/2019 – France – CNIL – Au tour du Ministère de l’intérieur d’être dans le collimateur de la CNIL ! >> Mise en demeure). La photographie rapprochée d’un véhicule pour obtenir un visuel de sa plaque par une autorité publique doit être prévue légalement pour détenir un fondement légal. Les procès-verbaux établis sur un constat automatisé ayant un objet autre que les infractions prévues par arrêté sont viciés car la collecte de la photographie est dépourvue de base légale. Tout se joue une nouvelle fois sur la détermination de la finalité du traitement…

Pour en savoir plus :

https://www.cnil.fr/fr/verbalisation-par-lecture-automatisee-des-plaques-dimmatriculation-lapi-la-cnil-met-en-garde#:~:text=La%20CNIL%20rappelle%20qu’en,et%20la%20constatation%20d’infractions.

https://www.capital.fr/economie-politique/4-communes-epinglees-par-la-cnil-sur-la-verbalisation-automatique-des-automobilistes-1378665


# 07/09/2020 – Avis du CEPD – plateforme TikTok – Enquête européenne coordonnée des autorités de régulation

Les Faits : La plateforme chinoise, TikTok, fait l’objet d’enquêtes dirigées par les autorités régulatrices en Europe, notamment les autorités française, danoise et néerlandaise depuis mai dernier. En juin, le Comité Européen sur la Protection des Données (CEPD) a annoncé mettre en place une équipe pour coordonner de potentielles actions et obtenir une vision macro des pratiques de TikTok sur le territoire européen. Dans le viseur, les modalités d’information aux personnes, les modalités de réponse aux demandes d’exercice de droit (plainte pour non-suppression d’une vidéo), la gestion des flux d’informations hors de l’Union Européenne et l’absence de mesure suffisante pour la protection de mineurs, notamment leur aptitude à consentir.

Déjà interdite en Inde et sous le coup d’une menace d’interdiction américaine après avoir été condamnée à 5,7 millions pour collecte illégale de données de mineurs aux USA, TikTok a affirmé coopérer avec les autorités de contrôle européennes.

Pour rappel, Donald Trump accuse la société chinoise de transmettre illégalement des informations aux autorités chinoises et propose un rachat de Tik Tok par une société américaine telle que Microsoft. Cette pratique est strictement réfutée par ByteDance, détentrice de TikTok, qui affirme notamment que les données sont hébergées hors de Chine. En effet, l’attache européenne de la multinationale chinoise est à Dublin, où est implanté son centre régional. Dans l’objectif de déterminer l’autorité irlandaise comme « chef de file », la stratégie de ByteDance semble être de conforter sa position européenne en implantant un centre informatique également en Irlande : pour cela, elle devra prouver que son établissement en Irlande remplit les conditions d’un « établissement principal » au sens du RGPD.

Ce qu’il faut retenir : Lorsque plusieurs enquêtes, dans différents états européens, visent la même société, elles peuvent être coordonnées et la compétence d’une autorité « chef de file » sera déterminée par les procédures prévues par le RGPD. L’importance accordée à la protection des données de ses utilisateurs ou clients par une société est de nature à affecter son image de marque. En effet, la protection des données a une vocation universelle. Quelque que soit la règlementation qui trouvera à s’appliquer, adopter un comportement non conforme avec une forme d’éthique de traitement des données pour une entreprise, c’est aujourd’hui s’exposer à l’opprobre public mais surtout à des sanctions de nature différente dans des états distincts. Affaire à suivre du fait qu’elle peut provoquer de nombreux échanges comparatifs entre la régulation des données américaines et celle européenne.

Pour en savoir plus :

https://itsocial.fr/actualites/cybersecurite-actualites/donnees-personnelles-la-cnil-enquete-sur-les-pratiques-de-tik-tok/

https://www.lemonde.fr/tiktok/article/2020/08/11/la-cnil-lance-une-enquete-sur-tiktok_6048695_6013190.html

https://www.cnews.fr/vie-numerique/2020-08-12/tiktok-dans-le-viseur-de-la-cnil-987933


# 04/09/2020 – Twitter et Facebook (pour WhatsApp) – Concertation des autorités de contrôle européennes – Violation de confidentialité, défaut de notification et manque de transparence sur des transferts de données – Projet de sanction historique – Autorité de contrôle irlandaise chef de file

Les Faits : Twitter a révélé publiquement en août 2019 l’usage, à des fins publicitaires, de certaines informations d’interaction de ses utilisateurs (ex. quels sont les comptes suivis ou commentés par l’utilisateur – son intérêt porté à certains sujets, la fréquence de ses interactions, leur nature – commentaire positif ou négatif, avis émis etc.). Cet usage, constituant en lui-même une violation de confidentialité des données utilisateurs, n’a pas été notifié à une autorité en particulier. En octobre de la même année, la société de Jack Dorsey, propriétaire de Twitter, s’excusait à nouveau d’un usage dit accidentel d’adresses emails et de numéros de téléphone (initialement utilisés pour s’authentifier) à des fins également publicitaires.

Rappelons que la publicité ciblée payée par les annonceurs représente 86% du chiffre d’affaires de Twitter qui a basé son modèle économique sur ce mécanisme. En l’absence d’information précise des utilisateurs mais surtout de recueil de leurs consentement Twitter est soupçonné d’avoir volontairement adopté ce comportement constitutif d’une violation de confidentialité, en infraction avec les articles 33 et 34 du RGPD. Ces article prévoient, d’une part, une obligation pour le responsable de traitement de notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente, notamment lorsque les données sont utilisées à d’autres fins que celles annoncées et prévues. D’autre part, une obligation de réaliser une analyse d’impact dès lors qu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits des personnes physiques, tel que le ciblage publicitaire.

Les Faits : De son côté, un des systèmes de messagerie instantanée des plus célèbres, WhatsApp, n’échappe pas non plus au regard attentif de l’autorité irlandaise. La plateforme est accusée d’avoir enfreint les articles 12 à 14 du RGPD, sur la transparence des données partagées avec sa maison-mère, le groupe Facebook. En effet, aucune information n’expliciterait aux utilisateurs la nature des flux des données les concernant vers la société mère, ni les finalités de ces transferts.

  • Que manque-t-il alors pour que ces 2 décisions soient définitivement prises ?

Compétence : L’autorité de contrôle irlandaise (le DCP), est compétente en raison du traitement de données intervenant sur le territoire européen et est de surcroit chef de file en raison de la présence des sièges sociaux européens des 2 sociétés en cause sur son territoire. Cependant, l’article 60 qui fonde la compétence d’une autorité chef de file dans les conditions précitées, organise également la recherche d’un consensus entre les 27 autorités de régulation. Ainsi elles coopèrent toutes pour mener des actions coordonnées mais peuvent contester dans les quatre semaines avec une objection motivée le projet de décision élaboré par l’autorité chef de file. Si les sanctions, dont le montant envisagé a toute les chances d’être historique, les projets sont au stade de la recherche de consensus actuellement.

Ce qu’il faut retenir : Le RGPD donne les outils permettant d’exercer une pression sur les entreprises pour qu’elles assurent l’effectivité des droits des personnes concernées. Il impose notamment une obligation de notification en cas de violation de données personnelles, une analyse d’impact en cas de risque élevé et une transparence au niveau de l’information sur les données partagées. Le Règlement encadre également les modalités à suivre en cas de volonté de sanction de traitements préjudiciables à l’échelle européenne. C’est ici la capacité de compromis et d’entente entre les autorités de régulation européennes qui est attendue dans ces 2 dossiers, tout autant que leur capacité à résister aux diverses pressions s’exerçant sur leur pouvoir de décision.

Pour en savoir plus :

https://www.clubic.com/internet/twitter/actualite-1914-rgpd-twitter-et-whatsapp-encourent-de-lourdes-amendes-si-les-pays-de-l-ue-se-mettent-d-accord.html

https://www.lesechos.fr/tech-medias/medias/twitter-de-nouveau-mis-en-cause-par-une-utilisation-abusive-de-donnees-personnelles-1138502

https://www.lesechos.fr/tech-medias/hightech/rgpd-la-sanction-contre-twitter-retardee-par-les-desaccords-entre-cnil-europeennes-1233831

https://www.usine-digitale.fr/article/rgpd-les-regulateurs-europeens-s-opposent-sur-une-eventuelle-condamnation-de-twitter.N995654


#28/07/2020 –CNIL – 1ère décision de la CNIL en tant qu’autorité chef de file & condamnation de la société SPARTOO (e-commerce de chaussures) >> 250K€

Les faits : La société française Spartoo exerce son activité de vente en ligne de chaussures via son site web marchand https://www.spartoo.com/, accessible aux clients et prospects de l’enseigne, notamment depuis 13 pays de l’Union Européenne et le Royaume-Uni.

A noter que malgré le Brexit, les traitements de données concernant le Royaume-Uni ont été pris en considération d’une part parce qu’il faisait partie de l’Union Européenne au moment des faits et d’autre part car le droit Européen continue de s’y appliquer pendant une phase transitoire (jusque fin 2020).

La société Spartoo a fait l’objet d’un contrôle (sur place) par la CNIL le 31 mai 2018 (au moment même de l’entrée en vigueur du RGPD), portant en particulier sur les traitements de données personnelles liées aux clients et prospects et sur l’enregistrement des conversations téléphoniques entre les clients et salariés du service client.

A cette occasion, la CNIL a constaté plusieurs manquements aux obligations réglementaires, notifiés par huissier de justice, le 23 septembre 2019 (avec un rapport détaillant les manquements au RGPD relevés) et a engagé une procédure de sanction à l’encontre du e-commerçant au cours de laquelle Spartoo a pu présenter ses observations en octobre et novembre 2019, par écrit puis au cours d’une audience.

Coopération de la CNIL avec les autres autorités européennes : Cette 1ère décision nous apporte des indications sur le fonctionnement en pratique de la coopération entre les différentes autorités européennes, lorsque l’une d’elle est constituée autorité de contrôle chef de file.

En l’espèce, la CNIL a informé le 27 juillet 2018 l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité chef de file concernant le traitement transfrontalier effectué par la société française a ouvert la procédure pour la déclaration des autorités concernées sur ce cas.

Avant d’émettre une décision définitive, la CNIL a transmis un projet de décision aux autorités de contrôle européennes concernées, le 16 février 2020.

Les 13 et 17 mars suivants, les autorités de contrôle italienne, portugaise et de Basse-Saxe ont formulé des objections à l’égard du projet de décision qui ont été jugées pertinentes et motivées de sorte que la CNIL a décidé de modifier son projet pour en tenir compte.

Ces objections des autorités tierces ne proposant pas de prendre en compte une circonstance de fait nouvelle, d’ajouter un manquement ou d’aggraver la mesure correctrice proposée, la CNIL a choisi de ne pas les communiquer (notamment à la société SPARTOO).

Le nouveau projet de décision après révision a été soumis aux autorités de contrôle concernées le 25 juin 2020 avant d’être édité de manière définitive le 28/07/2020.

Manquement au principe de minimisation : 

# Finalité de formation et évaluation des salariés

> Enregistrement des appels téléphoniques reçus par les salariés du service client.

La CNIL a considéré que la permanence de l’enregistrement intégral des appels est excessive et non justifiée sachant que la personne chargée de la formation des salariés n’écoutait en général qu’un enregistrement par semaine et par salarié. Le seul fait que les clients aient la possibilité de refuser l’enregistrement de leurs appels (ce qui n’est pas le cas des salariés) ne permet pas d’affirmer que le volume d’enregistrement n’est pas démesuré par rapport aux besoins réels de l’entreprise.

Spartoo aurait donc dû s’assurer que le nombre d’enregistrements était bien proportionné par rapport à leur utilité réelle.

> Enregistrement et conservation des coordonnées bancaires des clients, communiquées pour passer les commandes par téléphone

Ces traitements ne sont pas nécessaires pour la finalité poursuivie (formation et évaluation des salariés) et la société aurait dû mettre en place des mesures permettant d’éviter l’enregistrement des coordonnées bancaires des clients lors des appels téléphoniques même si un tel outil implique des coûts financiers et humains lourds pour l’entreprise.

Le seul fait de supprimer chaque jour les enregistrements des appels en lien avec les commandes passées par téléphone avec un paiement par carte bancaire, n’est pas suffisant. En effet, la collecte des données bancaires sert uniquement à effectuer le paiement et ce type de données n’a pas à être enregistrées par la société, même pendant une seule journée, une fois le paiement validé.

A noter que les enregistrements contenant les données bancaires des clients étaient par ailleurs conservés en clair dans la base de données pendant 15 jours. La CNIL rappelle que les coordonnées bancaires sont des données qui doivent faire l’objet d’une protection renforcée de la part des responsables de traitement, compte tenu de leur nature et des risques de fraude associés (une utilisation par des tiers non autorisés, via des paiements frauduleux, peut conduire à un préjudice pour les personnes concernées).

# Finalité de lutte contre la fraude

La CNIL confirme ici que la copie de la carte d’identité peut constituer un justificatif pertinent dans le cadre de la lutte contre la fraude (même s’il ne s’agit pas d’un élément demandé par l’entreprise mais envoyé spontanément par le client).

En revanche, la collecte en Italie de la copie de la « carte de santé » des clients (demandée par erreur par le service commerciale pendant une période de 3 semaines) qui contient plus d’informations que la carte d’identité et alors même qu’une copie de la carte d’identité est également demandée, est excessive, inadéquate et non pertinente. D’une manière générale, il n’est pas nécessaire de collecter plusieurs justificatifs d’identité.

Absence de mise en place de durées de conservation des données : 

# Calcul de la durée

Lors du contrôle Spartoo a confirmé qu’aucune durée de conservation des données des clients et des prospects n’était mise en place et que ces données n’étaient ni archivées, ni effacées et restaient en base active.

Le contrôle a ainsi permis de constater la présence en base active de données concernant plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans et de près de 26 millions de prospects sans activité depuis plus de 3 ans.

La société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans.

Cependant, le fait de conserver des données de prospects pendant plus de 2 ans alors que Spartoo elle-même convient ne plus contacter ces personnes à des fins de prospection au-delà de 2 ans n’est pas justifié ou proportionné.

# Critère de départ de la durée

Concernant les données des prospects, la société a mis en place une durée de conservation à compter de leur dernière activité (notamment l’ouverture d’une newsletter).

Or la CNIL précise que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – et pourrait justifier la conservation de ses données, considérant que le message peut être ouvert involontairement. Il faut prendre en compte un acte positif comme un clic sur un lien hypertexte contenu dans le message.

# Moyens de suppression ou d’anonymisation des données

Après le délai de conservation des données Spartoo supprime la plupart des données personnelles mais conserve les adresses électroniques et les mots de passe de ses anciens clients sous une forme hachée au moyen d’un algorithme SHA-256.

La CNIL précise que l’algorithme SHA-256 est une fonction de hachage considérée par l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la CNIL comme garantissant un niveau de sécurité suffisant des données (l’intégrité des données personnelles) sous une forme pseudonymisée mais qui ne permet pas d’anonymiser des données et donc de justifier leur conservation.

La conservation de ces données de manière illimitée, pour permettre que d’anciens clients puissent se reconnecter à leur compte avec leurs mêmes anciens identifiants, n’est pas conforme au RGPD. Les données doivent être totalement supprimées de toute base active ou d’archive (ou anonymisée).

Obligation d’information des personnes concernées remplie de façon incomplète :

# S’agissant des clients : La CNIL reproche ensuite à Spartoo un défaut d’information dans sa politique de confidentialité, à 2 niveaux : aucune information sur le fait que les données sont transférées à Madagascar (s’agissant des appels téléphoniques) ; l’indication de bases légales erronées : en effet, Spartoo basait l’ensemble de ces traitements sur le consentement des utilisateurs alors que d’autres bases légales étaient plus adaptées (contrat ou intérêt légitime). Soutenir que le consentement serait la base légale la plus protectrice des intérêts des personnes n’est pas un argument entendable pour la CNIL.

# S’agissant des salariés : Si Spartoo a bien informé les salariés de l’existence des enregistrements des appels, la CNIL confirme qu’elle ne peut se contenter de le faire que via une note de service ancienne (2016) dont ne prendrait pas nécessairement connaissance les nouveaux employés. Par ailleurs, elle note que l’information communiquée est incomplète puisque les salariés ne sont pas informés de la finalité poursuivie par le traitement, de sa base légale, des destinataires des données, de la durée de conservation des données et de leurs droits.

Sécurité des données non assurée :

# Au moment de la création d’un compte par un utilisateur : Sur le site internet de Spartoo, les mots de passe composés de six chiffres, contenant un seul type de caractère, étaient acceptés.

En cours de procédure, Spartoo a modifié son système en mettant en place une mesure de blocage du compte après 19 tentatives d’accès infructueuses à un compte à partir d’une même adresse IP en moins d’une minute et a imposé des mots de passe de 8 caractères minimum, toujours sans mesure de complexité complémentaire.

Cela étant, la CNIL maintient son reproche à Spartoo tenant à la faiblesse de son système en termes de sécurité, d’autant qu’il s’agit de critères élémentaires et connus de sécurité, ce qui est confirmé par les recommandations de l’ANSSI pour éviter les attaques par force brute.

# Dans le cadre de la lutte contre la fraude : La CNIL reproche à Spartoo de pousser ses clients à communiquer leurs informations bancaires via des e-mails non cryptés, de conserver les copies de cartes bancaires sans troncature des numéros, en clair pendant 6 mois, ce qui ne permet pas de garantir la sécurité des données bancaires des clients.

Sanction : Amende de 250K€ et injonction de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard

Publication de la décision : Compte-tenu du nombre de manquements et de leur gravité, notamment en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires ; du nombre de personnes concernées (conservation au-delà des durées nécessaires de données de plus de 3 millions d’anciens clients et de plus de 25 millions de prospects) ; du fait que plusieurs des manquements portent sur des obligations qui existaient déjà avant l’entrée en application du RGPD.

Ce qu’il faut retenir : Cette décision est une mine d’indications pratiques (pour certaines déjà connues) sur la façon de traiter légalement les données personnelles et notamment :

-La partie des appels téléphoniques au cours de laquelle le client communique ses données bancaires pour le paiement d’une commande ne doit jamais être enregistrée.

Les données bancaires doivent faire l’objet d’une protection renforcée compte-tenu du potentiel préjudice qui résulterait d’une perte de confidentialité.

-La carte d’identité peut constituer un justificatif pertinent dans le cadre de la lutte contre la fraude bancaire.

-La conservation de données de prospects pendant de 2 ans peut-être justifiée par le fait que l’entreprise les contacte à des fins de prospection pendant cette période.

-La seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société et n’est donc pas un critère acceptable pour fixer le début de la durée de conservation (il faut par exemple un clic sur un lien hypertexte par la personne concernée).

-L’utilisation de la fonction de hachage via l’algorithme SHA-256 est une bonne pratique en matière de sécurité (pseudonymisation des données) mais ne permet pas l’anonymisation.

-Le consentement ne peut pas être retenu comme base légale pour n’importe quel traitement, au prétexte qu’il serait plus protecteur.

-Il faut pouvoir justifier que les salariés ont été informés individuellement (et de manière complète) des traitements qui concernent leurs données.

-La longueur et la complexité d’un mot de passe sont des critères élémentaires pour apprécier sa force : pour assurer un niveau de sécurité suffisant avec des mots de passe suffisamment robustes, si l’authentification ne repose que sur un identifiant et un mot de passe, ce dernier doit comporter au minimum 12 caractères (contenant au moins 1 lettre majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial) ou au moins 8 caractères (contenant 3 de ces 4 catégories de caractères) et être accompagné d’1 mesure complémentaire (ex. temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ), blocage du compte après plusieurs tentatives d’authentification infructueuses)

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042203965&fastReqId=655302508&fastPos=1

 


#20/07/2020 – France – CNIL – Contrôle post avis des 24 avril et 25 mai 2020 – Conformité et constats de certaines irrégularités de l’application « StopCovid France » au RGPD >> Mise en demeure publique.

Depuis le 2 juin 2020, le Ministère des Solidarités et de la Santé propose une application de suivi de contacts qui permet aux utilisateurs de se déclarer positifs au virus SARS-CoV-2 et de connaître la proximité d’autres utilisateurs diagnostiqués, cela pour les inviter à se rapprocher de services de santé pour être pris en charge dans les meilleurs délais. Trois contrôles de la part de la Commission Nationale Informatique et Libertés (CNIL) sont intervenus sur le mois de juin et ont permis de confirmer une conformité globale des traitements de données orchestrés par l’application aux exigences règlementaires du RGPD.

Néanmoins quelques irrégularités pour lesquelles le Ministère a été mis en demeure d’intervenir ont été constatées et corrigées dans la dernière version de l’application, notamment :

-La conservation de l’historique de contacts de l’utilisateur sur le serveur central. Désormais, seul l’historique de contacts de proximité est conservé et un filtre sur le mobile intervient pour ne conserver que les contacts ayant eu une proximité de moins d’un mètre avec l’utilisateur et ce, pendant plus de 15min.

-Une information aux utilisateurs manquant de certaines précisions, notamment sur la destination des données ainsi collectées, la possibilité de lecture des informations présentes sur les terminaux avec l’usage du recaptcha google et le droit de s’opposer à ces lectures.

-Un encadrement des relations contractuelles avec le sous-traitant INRIA à étoffer s’agissant des obligations du sous-traitant.

-L’incomplétude de l’Analyse d’impact réalisée par le Ministère pour les traitements réalisés à des fins de sécurité.

Ce qu’il faut retenir : Seule la dernière version de l’application est conforme aux exigences règlementaires, il convient donc pour les utilisateurs de de télécharger la mise à jour. La décision est publique compte tenu des 2 millions d’utilisateurs concernés et de la sensibilité des données traitées (données de santé). Il reste au Ministère des Solidarités et de la Santé à évaluer le degré de contribution de l’application « StopCovid France » à la stratégie sanitaire globale. Aucune sanction n’est prononcée à ce jour, la portée publique de la mise en demeure est à visée pédagogique pour alerter les utilisateurs.

Pour en savoir plus : https://www.cnil.fr/fr/application-stopcovid-la-cnil-tire-les-consequences-de-ses-controles


# 16/07/2020 – CJUE – Décision d’invalidation de l’accord d’adéquation de la Commission Européenne entre le RGPD et le Privacy Shield

Depuis le 1er août 2016, le Privacy Shield était le texte de référence pour pouvoir procéder à des transferts de données d’un Etat membre de l’Union Européenne vers les Etats-Unis : simple formalité, l’entreprise de destination aux USA devaient être inscrite sur un registre américain et respecter certaines conditions de traitement de données, faisant office de garantie de protection de la vie privée pour les personnes concernées et donc pour l’entreprise européenne émettrice.

La Commission Européenne avait en effet rendu une décision d’adéquation (n°2016/1250) entre le RGPD et le Privacy Shield, permettant cela.

Dans sa décision du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) coupe court à cette possibilité et contraint de procéder avec les Etats-Unis comme avec un Etat « tiers », entendu au sens du RGPD comme un Etat n’assurant pas le même niveau de protection des données personnelles que l’Union Européenne.

Deux axes majeurs sous-tendent cette décision :

  1. Une atteinte au principe de proportionnalité du RGPD – au motif de préserver la sécurité nationale, la législation américaine ne prévoit aucune limitation à l’accès par ses forces de l’ordre aux données personnelles.
  2. Une atteinte à l’existence d’un droit à un recours effectif – la législation américaine prévoit l’intervention d’un médiateur qui ne présente pas les garanties d’indépendance requises par la Charte des Droits Fondamentaux de l’Union Européenne (CDFUE) et le RGPD. Le médiateur ne peut pas prendre de décision contraignante à l’encontre des autorités américaines, les personnes concernées n’ayant, par ailleurs, aucun droit opposable aux autorités américaines s’agissant du traitement de leurs données.

Ce qu’il faut retenir : Le Comité Européen pour la Protection des Données (CEPD) travaille actuellement sur les conséquences de cette décision d’inadéquation. A ce stade, les transferts de données intervenants entre l’Union Européenne et les Etats-Unis doivent être aménagés pour assurer une protection équivalente à celle du RGPD, malgré les dispositions de la loi américaine. Il est donc nécessaire pour les entreprises européennes de retravailler l’ensemble des documents contractuels avec leurs partenaires américains (partenaires commerciaux, hébergeurs, etc.) ainsi que l’organisation du transfert des données, car la simple adhésion au Privacy Shield n’est plus une garantie.

Pour en savoir plus : https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf


#24/06/2020 –France – Cour de Cassation : Polair et autre c/ L’agent judiciaire de l’Etat – La demande de divulgation des comptes d’une société unipersonnelle jugée proportionnelle aux exigences du RGPD

La Cour de Cassation intervient en faveur d’une injonction émise par un juge de la surveillance du registre du commerce et des sociétés, au président et associé unique d’une société unipersonnelle, de communiquer les comptes annuels sur trois années consécutives.

En effet, si la Cour rappelle bien que « les données portant sur le patrimoine d’une personne physique relèvent de sa vie privée », la demande de communication des comptes d’une société par actions simplifiée unipersonnelles ne révèle que, de manière indirecte, certains des éléments du patrimoine de la personne physique, associée unique, dont le patrimoine est distinct de celui de la société par action simplifiée. Par ailleurs, la communication de ces éléments est nécessaire à évaluer la valeur des actions de la société, en conséquence, la Cour statue qu’il y a proportion entre l’objectif poursuivi de détection et de prévention des difficultés des entreprises par le juge du commerce et l’atteinte à la vie privée résultant de la communication publique des comptes de la société unipersonnelle.

Un contrôle de proportionnalité est effectué par la Cour de cassation entre les intérêts en cause, notamment le risque d’atteinte aux droits et libertés de la personne concernée au regard du RGPD. Néanmoins, le RGPD prévoit la possibilité de dérogations nationales à ses exigences. Dans le cadre d’une société unipersonnelle, la communication des comptes sur application du code du commerce, considérés comme des éléments distincts du patrimoine de la personne physique, ne permet pas de qualifier l’atteinte de publication de données sans consentement de la personne concernée. L’actionnaire unique doit déférer à une astreinte de 3000€ au Trésor Public, d’après la seconde injonction du même juge pour ne pas avoir communiqué les comptes lors de la première injonction.

Ce qu’il faut retenir : La communication des comptes d’une société unipersonnelle, bien que révélant des éléments du patrimoine de son associé unique, bel et bien considérés comme des données personnelles, ne peut être contrariée par l’application du principe de consentement au traitement de ses données personnelles par l’associé unique, en raison de l’intérêt en balance de prévention des difficultés des entreprises poursuivi par le juge. Tout est donc une question d’équilibre entre les enjeux concernés et l’atteinte à la vie privée.

Pour en savoir plus :  https://www.courdecassation.fr/jurisprudence_2/arrets_publies_2986/chambre_commerciale_financiere_economique_3172/2020_9593/06.juin_9778/258_24_45047.html


#19/06/2020 – Conseil d’Etat – L’interdiction générale de la pratique des « Cookies Walls » édictée par la CNIL invalidée par le Conseil d’Etat

Les Faits : En 2019, forte d’une année d’application des dispositions du RGPD, la CNIL a édicté des lignes directrices relatives aux « cookies » et traceurs de connexion déposés par les éditeurs de sites web afin de procéder à un ciblage publicitaire des utilisateurs de smartphone, tablette et ordinateur. En France, les lignes directrices édictées par une autorité de régulation comme la CNIL sont qualifiées de « droit souple » : elles ne disposent pas d’une force juridiquement contraignante mais sont respectées en pratique par les professionnels. En conséquence, plusieurs associations ont saisi le Conseil d’Etat pour obtenir l’annulation de ces lignes directrices « Cookies et autres traceurs » et plus particulièrement de deux points :

  • L’interdiction généralisée de la pratique des « cookies walls », ou encore murs de cookies, qui consiste à ouvrir une fenêtre de demande d’acceptation des cookies tellement volumineuse qu’elle couvre la page internet que l’internaute cherche à consulter, il ne peut voir la page en question que s’il accepte le dépôt de l’ensemble des cookies proposés, dans le cas contraire il ne peut accéder à la page.
  • L’obligation de délivrer une information spécifique sur la finalité de chaque traitement pour lequel un consentement est recueilli auprès de l’internaute.

Décision : Sur le premier point, le Conseil d’Etat a invalidé l’interdiction générale et absolue édictée par la CNIL dans ses lignes directrices de la pratique des « cookies walls ». Le Conseil d’Etat se prononce pas sur le fond, du fait que la CNIL tire cette interdiction du principe de liberté de consentement reconnu aux personnes (et donc aux internautes) par le RGPD, en l’opposant par exemple avec la liberté d’entreprendre et donc de créer un site internet accessible uniquement avec une acceptation des cookies. En revanche, c’est sur la compétence de la CNIL pour édicter cette interdiction que s’est prononcé le Conseil d’Etat. En effet, il affirme que la CNIL a outrepassé ses compétences légales en énonçant une interdiction aussi étendue et formelle par l’usage d’un acte de droit souple. Cela peut s’interpréter comme le fait que la CNIL doit faire respecter les disposition du RGPD, non les étendre car elle n’en a pas le pouvoir.

Sur le second point, le Conseil d’Etat confirme la position définie dans les lignes directrices s’agissant de l’obligation d’information sur chaque finalité poursuivie par le dépôt de cookie, fondée sur un consentement qui doit être donné de manière indépendante et spécifique. En conséquence, une information spécifique à chaque finalité est bien nécessaire quelle que soit la pratique de l’éditeur du site : une demande de consentement globale à l’ensemble des cookies, ou une demande cookie par cookie. Tirée de la loi Informatique et Libertés du 6 janvier 1978, cette exigence de la CNIL est confortée par le Conseil d’Etat dès lors qu’ici les lignes directrices suggèrent mais n’imposent pas de pratiques spécifiques pour la respecter.

Ce qu’il faut retenir : En pratique, un éditeur peut générer une demande de consentement globale au dépôt de traceurs sur le terminal de l’internaute. Le Conseil d’Etat n’explicite pas que la liberté de consentement de l’internaute est entachée par cette pratique. En revanche, l’obligation confirmée de préciser chaque finalité de traitement poursuivie par le dépôt des traceurs, pour que ce consentement soit indépendant et spécifique, pourra participer à la réduction de cette pratique. En effet, l’objectif reste que l’internaute puisse refuser d’être tracé selon la finalité du cookie, donc puisse refuser cookie par cookie. La demande de consentement globale pourrait devenir tellement dense (avec la définition d’un grand nombre de cookies déposés par les diverses entités y ayant intérêt et l’indication de la finalité de chacun des cookies définie avec précision) que cela devrait poussera l’éditeur d’un site à procéder à une véritable sélection des traceurs pour éviter que les internautes ne fuient son site web au profit d’un autre, accessible plus facilement et donnant sans doute moins l’impression d’une (tentative d’) intrusion dans sa vie privée. Enfin, il est notable que la CNIL, garante des droits des personnes concernées, maintient son attention sur la création et la gestion des sites web et va poursuivre ses contrôles notamment en ligne.

Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion


#19/06/2020 – France – Conseil d’Etat, assemblée restreinte – Validation de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google LLC

Le principe d’information des personnes concernées, une des exigences phares du RGPD, s’était vu offrir une application remarquée lors d’une décision du 21 janvier 2020 de la Commission Nationale Informatique et Libertés (CNIL) à l’encontre de Google LLC : une sanction de 50 millions d’euros pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Décision à retrouver dans notre news du 21 janvier 2019 ; « Condamnation de la société Google LLC, 1ère amende française au titre du RGPD >> 50 Millions € ».

A la suite d’une plainte déposée par des associations (La Quadrature du Net et None of your business), la CNIL a mené une investigation immersive à partir de la création d’un compte google via un système d’exploitation Android.  Cela avait mené à deux constats ;

  1. Les informations essentielles étaient diluées sur plusieurs pages et difficilement accessibles au créateur du compte et, par ailleurs imprécises, puisque le traitement intrusif du fait de sa collecte sur les solutions Gmail, Google Maps ou Youtube était massif.
  2. Ensuite le recueil du consentement pour le traitement de personnalisation de la publicité n’était pas valable puisqu’il consistait en une case pré-cochée, ne laissant pas un véritable choix à l’utilisateur d’accepter ou de refuser d’être ciblé.

La sanction prononcée, la plus importante en Europe à ce jour au titre de l’application du RGPD a été contestée devant le Conseil d’Etat par Google LLC principalement au motif que l’autorité de régulation française (CNIL) serait incompétente pour intervenir sur ce dossier et donc pour trancher les débats. En effet, Google LLC faisait valoir que la CNIL, autorité française, n’était pas compétente au regard du mécanisme « d’autorité chef de file » puisqu’il avait désigné sa filiale irlandaise comme responsable de traitement, l’autorité de contrôle irlandaise aurait donc dû être la seule autorité de contrôle à pouvoir se saisir de la plainte des associations.

Décision : Le Conseil d’Etat en assemblée restreinte est venu confirmer la bonne application des exigences du RGPD par la CNIL, tant d’un point de vue de sa compétence pour intervenir, que du fait que l’information et l’obtention du consentement des personnes concernées n’étaient pas effectués suivant les principes édictés par le RGPD. Par conséquent la sanction énoncée est confirmée.

Ce qu’il faut retenir : Le RGPD concerne tout le monde, les multinationales, géantes du digital comme les petites structures. Il prévoit un système de « guichet unique » ou encore « d’autorité chef de file » qui consiste à désigner une autorité de contrôle nationale comme compétente, s’agissant des traitements transfrontaliers intervenant sur le territoire de l’Union Européenne, dès lors que le responsable de ces traitements, entendu comme toute entité décisionnaire des finalités et des moyens d’un traitement remis en cause, est établi sur son territoire étatique. La désignation d’une autorité chef de file rend les autres autorités de contrôle incompétentes pour intervenir.

Le Conseil d’Etat français a donc précisé les conditions dans lesquelles peut être invoquée la notion de « guichet unique ». Dès lors que n’est pas rapportée la preuve d’un véritable pouvoir décisionnaire d’une filiale ou autre organe de la société visée, établi sur le territoire de l’Union Européenne, pour la mise en œuvre des traitements transfrontaliers, le Conseil d’Etat considère que le responsable de traitement est établi à l’extérieur de l’Union Européenne : le mécanisme du « guichet unique » n’est pas applicable. En conséquence, chaque autorité de contrôle peut se saisir des débats à partir du moment ou les traitements transfrontaliers interviennent sur le territoire de l’état membre sur lequel elle a compétence pour contrôler la bonne application du RGPD. Il ne suffit pas de décréter qu’une entité est responsable de traitement pour que ce soit le cas, encore faut-il qu’elle ait un véritable pouvoir décisionnaire sur les opérations de traitement.

Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil


# 12/06/2020 – International / Québec – Projet de Loi n°64 – Réforme de la Loi sur la protection des renseignements personnels dans le secteur privé

Le projet de Loi présenté au Québec ambitionne de rendre plus strict le cadre de la gestion des données personnelles en réformant la législation actuelle.

Certains points du projet de loi sont dans la droite ligne de ce qui a été implémenté par le RGPD reconnu comme le système le plus avancé en la matière actuellement.

Par exemple, la destruction ou l’anonymisation des données dès lors que la finalité pour laquelle elles avaient été collectées a été remplie, le droit à la portabilité, l’obligation de nommer un responsable de la protection des renseignements personnels (le RPRP, notre DPO européen), la nécessité de documenter ses traitements pour pouvoir démontrer sa conformité, les obligations d’informer les personnes concernées, de notifier les violations de confidentialité des données, les principes de privacy by design & by default avec la conduite au début d’un projet d’une analyse des facteurs relatifs à la vie privée, l’obligation de vérifier que le pays destinataire des données avant tout transfert à l’étranger assure le même niveau de protection (une liste des Etats avec un niveau de protection adéquat devrait être éditée par le gouvernement).

L’âge de la « majorité » pour donner son consentement au traitement de ses données personnelles serait établi à 14 ans.

De la même manière, les sanctions pouvant être décidées par la CAI (Commission d’accès à l’information) sont renforcées avec des amendes administratives qui peuvent monter jusque 10 millions de CAD (environ 6,4 millions d’euros) ou 2% du CA mondial de l’exercice précédent, pour les organisations, la somme la plus élevée étant retenue. Des sanctions pénales sont également prévues avec 25 millions de CAD (environ 16 millions d’euros) ou 4% du CA mondial de l’exercice précédent, la somme la plus élevée étant là encore retenue.


# 29/05/2020 – Découverte d’un piratage sur le site web de Bureau Vallée

Le site web marchand de l’enseigne spécialisée dans les fournitures de bureau vient de faire l’objet d’un piratage sur la partie dédiée au paiement en ligne.

Visiblement le pirate reproduisait la page du prestataire de paiement ce qui lui permettait de dupliquer les informations des cartes bancaires saisies au moment du paiement.

Bureau Vallée a informé la CNIL, ainsi que ses clients en précisant « tout client ayant passé commande sur [son] site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires ».

Bureau Vallée a également renforcé son système de sécurité et modifié tous les mots de passe de ses administrateurs.

Ce qu’il faut retenir : Une recrudescence des attaques informatiques a été constatée durant la crise Covid-19 nécessitant une attention redoublée des entreprises pour la sécurité de leurs systèmes d’information.


# 20/05/2020 – France – Surveillance d’examens en ligne, il y a des données personnelles là-dessous !

Le contexte de la crise sanitaire oblige certains établissements à envisager l’organisation d’examens à distance.

Même si cela peut ne pas sembler évident, des données personnelles concernant en particulier les étudiants sont concernés et ainsi l’application du RGPD et de la LIL sont nécessaires. En effet, de nombreux outils numériques sont susceptibles d’être utilisés, du plus simple telle que la télésurveillance (surveillance à distance des personnes) au plus complexe avec des algorithmes de détection de fraude par exemple.

La CNIL a donc choisi de publier des recommandations destinées aux établissements.

Rappelons par exemple, comme plusieurs jurisprudences récentes l’ont affirmé, que la base légale du consentement dans le cadre d’un rapport hiérarchique peut facilement être retoquée. Ici, dès lors qu’en pratique l’étudiant n’a pas réellement le choix de refuser sans être pénalisé, son consentement ne serait pas libre.

Dans tous les cas, il s’agit ici de mettre en place (probablement en un temps record) toute la documentation et les mesures techniques et organisationnelles requis pour tout traitement de données personnelles et en prenant garde si les personnes concernées sont mineures.

La mise en place des examens en ligne promet de donner du fil à retordre aux établissements pour rester dans la légalité.

Pour en savoir plus : https://www.cnil.fr/fr/surveillance-des-examens-en-ligne-les-rappels-et-conseils-de-la-cnil


# 19/05/2020 – UK – Violation de données personnelles chez EasyJet – Notification générale et tardive à sa clientèle

Victime d’une cyber-attaque, c’est presque l’équivalent de 6 mois de réservations clients, entre octobre 2019 et mars 2020, dont EasyJet et EasyJet Holidays ont perdu la confidentialité.

Parmi les informations concernées se trouvent en plus des noms, prénoms, date et prix des réservations, 2200 dossiers de carte bancaire : données sensibles en raison de l’exploitation qui peut en être faite.

A ce titre et compte tenu des 9 millions de personnes concernées ainsi que de la durée de la violation, EasyJet n’a pas manqué d’en informer par mail sa clientèle en insistant sur les mesures de vigilance à déployer, tout comme elle l’avait fait précédemment au mois de mai pour un petit groupe de personnes concernées. Cependant, il est dommage de constater qu’il manque à cette information quand précisément et comment la violation est intervenue, bien qu’il soit précisé que l’atteinte a cessé.

Une notification de cette violation a été effectuée, environ 4 mois après la prise de conscience de la violation, auprès du centre National de Cybersécurité et du bureau du commissaire à l’information du Royaume-Unis (ICO) qui étudient le dossier afin de déterminer si une faille de sécurité est imputable à la compagnie aérienne.

D’un point de vue client, un recours collectif a été déposé devant la High Court de Londres sur le fondement du RGPD, pour défaut d’information dans un délai imparti et atteinte à la vie privée, pouvant aboutir à un dédomagement à hauteur de 18 milliards de livres, soit 2000 livres par client.

Pour information, un package de données suffisament précis pour permettre une usurpation d’identité, notamment parce qu’il contient des cartes de crédits européennes, anglaises ou asiatiques vaudrait environ 860$. D’après le dernier rapport de Verizon, la mauvaise configuration des dépôts et des espaces de stockage dans le cloud est un facteur commun et croissant aux dernières violations constatées, à côté des logiciels malveillants, l’usage d’identifiants volés et le phishing.

Ce qu’il faut retenir : Une violation de données personnelles doit être processée : anticipée, pour réagir correctement et dans les temps soit 72h à partir du constat de la violation. Une personne en interne doit être désignée pour procéder aux formalités nécessaires d’évaluation du risque, voir prendre conseil auprès de spécialistes si besoin afin d’éviter des situations préjudiciables tant pour la société que les particuliers. Réagir à temps, c’est réagir utilement.

Pour en savoir plus : https://www.zdnet.fr/actualites/easyjet-action-collective-pour-un-montant-de-plus-de-20-milliards-d-euros-pour-vol-de-donnees-contre-la-compagnie-aerienne-39904221.html


# 18/05/2020 – France – Conseil d’Etat – A Paris, suspension du contrôle des règles de sécurité sanitaire par drones ! >> 6K€

Faits : Le 18 mars dernier, au vu du contexte sanitaire inédit, la préfecture de police comptait des effectifs de plus au sein de son équipe : des drones travaillant quotidiennement afin d’effectuer une mission de police administrative pour vérifier le respect des mesures de confinement. Les 4 drones sont équipés d’un zoom optique x3 et d’un haut-parleur, ne sont pas utilisés simultanément et ne filment pas de manière continue (2 à 3h max par jour). La finalité de cette utilisation était d’informer l’état-major de la préfecture de police pour qu’il puisse à son tour déployer une unité d’intervention pour procéder à la dispersion des personnes ou l’évacuation de lieux fermés au public. En outre, ces drones :

– N’avaient pas pour finalité de constater les infractions ou d’identifier leurs auteurs ;

– Ne filmaient pas en activant leurs zooms ;

– N’étaient pas équipés de carte mémoire de sorte qu’ils ne procédaient à aucun enregistrement de film ou enregistrement d’image.

C’est alors que le 2 mai dernier, l’association La Quadrature du Net et la Ligue des droits de l’Homme saisissent le juge des référés du Tribunal Administratif de Paris afin de faire cesser l’utilisation de ce dispositif. Le 05 mai dernier, le juge des référés rejette leur demande. Le TA considère que si les drones étaient capables d’identifier les individus, il n’était pas établi que ces derniers auraient été utilisés par les services de la préfecture de police dans des conditions permettant d’identifier les individus au sol et ce depuis le début du confinement et que « même si la préfecture de police a, par ce dispositif, procédé à la collecte, à l’enregistrement provisoire et à la transmission d’images, elle ne peut être regardée comme ayant procédé à un traitement de données à caractère personnel, au sens des dispositions précitées du règlement (UE) 2016/679, de la directive (UE) 2016/680 et de la loi du 6 janvier 1978. Il n’apparaît pas, dès lors, qu’elle aurait porté une atteinte illégale aux libertés fondamentales que sont le droit à la vie privée et le droit à la protection des données personnelles, faute notamment que les traitements en cause aient été autorisés et organisés par un texte de droit interne ».

Le 6 mai dernier, La Quadrature du Net et la Ligue des droits de l’Homme saisissent cette fois-ci le Conseil d’Etat.

Sur la nature des données : Considérant que les drones, équipés d’un zoom et volant « à une distance inférieure à celle fixée par la note du 14 mai 2020 » peuvent collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter que ces informations puissent conduire – « au bénéfice d’un autre usage que celui actuellement pratiqué » – à rendre les personnes concernées identifiables. Les données collectées sont donc des données à caractère personnel.

Sur le traitement de données à caractère personnel : Un dispositif consistant en le fait de collecter des données, grâce à la captation d’images par drone, à les transmettre dans certains cas au centre de commandement de la préfecture de police pour les visionner en temps réel et les utiliser pour diligenter des missions de police administrative constitue donc un traitement au sens de cette directive. Dans le cas d’espèce, la préfecture de police aurait dû obtenir une autorisation par arrêté du ou des ministres compétents ou par décret, selon les cas, pris après avis motivé et publié de la CNIL (article 31 de la loi du 06 janvier 1978). L’utilisation de ces dispositifs sans autorisation règlementaire est constitutive d’atteinte grave et manifestement illégale au droit au respect de la vie privée.

Décision : Le Conseil d’Etat enjoint et met à la charge de l’Etat de cesser ces mesures de surveillance par drone afin de vérifier le respect, sur Paris, des règles de sécurité sanitaire applicables à la période de déconfinement tant qu’il n’aura pas été remédié à l’atteinte caractérisée et de verser la somme de 3K€ à chacune des requérantes.

Ce qu’il faut retenir : Pour pouvoir poursuivre l’utilisation de ce dispositif, l’Etat devra donc soit bénéficier d’un texte règlementaire pris après avis de la CNIL – prévoyant les modalités d’utilisation devant obligatoirement être respectées, et les garanties afférentes – soit doter les drones de dispositifs techniques de nature à rendre impossible l’identification des personnes filmées.

Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-18-mai-2020-surveillance-par-drones


# 12/05/2020 – COVID-19 – Mesures de sécurité renforcées autour du télétravail

Face à la crise épidémique qui n’a épargné personne, le monde du travail a dû trouver une solution immédiate : le télétravail.

Il convient de garder à l’esprit que ce dispositif doit être strictement encadré d’un point de vue sécurité des données et systèmes d’information concernés.

C’est dans cette juste logique que la CNIL a publié des recommandations :

– établir une charte de sécurité incluant le règlement intérieur.

– veiller à équiper les terminaux des employés de pare-feu, anti-virus, outil de blocage de l’accès aux sites malveillants, VPN, avec des systèmes d’authentification élevés.

– mettre à disposition tout dispositif/outil nécessaire au travail à distance et garantissant un niveau de sécurité et de confidentialité des données optimal.

Si l’employeur dispose de services accessibles depuis internet, il se doit d’être particulièrement vigilant s’agissant de la confidentialité et de l’authentification des serveurs (certificats SSL ou TPS, etc.)

Des moyens qui ne seront pas mis en place vainement : il s’agit pour la plupart de mesures de sécurité standard qui étaient déjà recommandées avant le confinement et le dispositif de télétravail tend à se généraliser et devrait persister pour les mois ou années à venir, dans la mesure du possible, avec un véritable chamboulement de la vie au travail !

Pour en savoir plus : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail


# 07/05/2020 – COVID-19 – La CNIL partage ses recommandations sur la collecte des données des employés par leurs employeurs

Que ce soit dans le contexte de la gestion de la crise, avec la mise en place des systèmes de télétravail ou dans celui de la reprise pour les employés de leur activité dans les locaux de leur entreprise, nombre d’employeurs de posent la question de la possible collecte de données compte-tenu de leur obligation d’assurer la sécurité de leur personnel. Possibilité de collecter des données de santé pour évaluer le risque pour chaque individu et le risque de contagion en cas de symptômes, environnement familial, prise de température, etc. la CNIL pose quelques règles et rappel pour limiter les atteintes à la vie privée.

Pour en savoir plus : https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les


# Avril 2020 – Démarchage commercial par le biais de données personnelles accessibles publiquement en ligne – possible ou pas possible ?

La CNIL a procédé à la vérification de la conformité au RGPD de la pratique effectuée par diverses sociétés consistant notamment à récupérer des données d’utilisateurs publiquement accessibles en ligne (tel le numéro de téléphone figurant dans une annonce ou encore via les annuaires en ligne), Pour ce faire, lesdites sociétés sont équipées d’outils leur permettant de collecter automatiquement ce type de donnée dans l’espace public d’internet.

Derrière cette pratique se cachent deux types de sociétés :

1/ Les sociétés dites spécialisées dans la « pige immobilière » : qui constituent leurs propres bases de données en collectant ces informations directement en ligne afin de les revendre à d’autres sociétés ;

2/ Les sociétés qui collectent ces données pour leur compte afin d’effectuer du démarchage commercial (même lorsque les utilisateurs s’étaient opposés au démarchage commercial).

Pourtant, une donnée personnelle, bien qu’accessible publiquement, ne peut faire l’objet d’un traitement, a minima sans en informer au préalable la personne concernée et avec son consentement lorsque la finalité est le démarchage commercial !

La CNIL a donc mené plusieurs contrôles en 2019 et a pu déceler plusieurs manquements parmi lesquels l’absence d’information préalable des personnes concernées, le non-respect du droit d’opposition et le défaut de consentement des personnes concernées avant tout démarchage. Elle en a donc profité pour faire une piqûre de rappel aux responsables de traitement ainsi qu’à leurs sous-traitants des bonnes pratiques à adopter afin de respecter les droits des personnes. :

1/ Recueillir un consentement libre, spécifique, éclairé et univoque ; dans ce cas précis, les personnes qui communiquent leurs données à une société A doivent être informées de leur diffusion à une société B à des fins de démarchage ;

2/ Respecter le droit d’opposition des personnes ; les utilisateurs s’étant opposés au démarchage, et donc inscrits sur une liste anti-prospection, ne doivent pas faire l’objet d’un démarchage par un quelconque moyen (identique ou différent : sans automate d’appel par exemple).

D’ailleurs, au premier contact de la société B, celle-ci doit informer la personne de l’origine (indirecte) de la collecte des données.

La CNIL en profite aussi pour faire un bref rappel des bons réflexes à avoir en cas d’utilisation d’un logiciel d’aspiration de données (« web scraping ») :

1/ Vérifier la nature et l’origine des données (en fonction des CGU des sites consultés qui parfois interdisent un tel procédé) ;

2/ Procéder à la minimisation de la collecte (pas d’informations sensibles collectées telles : les données sur la santé, orientation sexuelle, religion, etc.) ;

3/ Informer les personnes concernées (qui se doit d’être sous forme concise, compréhensible et aisément accessible) ;

4/ Encadrer la relation contractuelle avec les sous-traitants (en fixant les points essentiels édictés par le RGPD : objet et durée du traitement, nature et finalité, catégories de données et personnes concernées, droits et obligations du responsable de traitement, etc.) ;

5/ Si nécessaire, réaliser une analyse d’impact.


# 04/05/2020 – Lignes directrices du Comité européen de la protection des données (EDPD) : Les « cookies walls » ou le scrolling sont incompatibles avec le RGPD

Le 4 mai 2020 ont été publiées de nouvelles lignes directrices sur la gestion des cookies par l’EDPD, qui précise que si l’internaute est contraint d’accepter les cookies pour consulter un site web, le consentement ne peut être libre, spécifique, éclairé et univoque. En effet, il se retrouve dans une position dans laquelle il a la pression soit d’abandonner une partie de sa vie privée, soit de ne pouvoir accéder au service. Pour mémoire, il ne doit pas y avoir de conséquence disproportionnée pour l’internaute en cas de refus de collecte de ses données.

La pratique du scrolling (défilement de la page web) ne peut pas non plus être interprétée comme un consentement.

Ces lignes directrices confirment la position déjà adoptée par les Pays-Bas il y a plusieurs semaines, à la suite de nombreuses plaintes reçues.

Ce qu’il faut retenir : Non, il n’est pas légal de …

– … soumettre l’accès à un site à l’acceptation de cookies par l’internaute, …

– … prévoir que la seule poursuite de la navigation sur le site emporte l’adhésion de l’internaute à la collecte de cookies, …

– … simplement donner à l’internaute des informations sur la façon de refuser les cookies, en fonction du navigateur qu’il utilise…

Et il est probablement illicite d’obliger un internaute à refuser individuellement un nombre élevé de cookies, il faut prévoir une possibilité de tout refuser (ou tout accepter) d’un bloc.

La préparation d’une charte cookies nécessite de connaître les conditions de consentement valable avec notamment des informations précises à communiquer aux internautes.


# 01/05/2020 – COVID-19 – Des traitements de données à caractère personnel entourant la distribution de masques

Faits : Au vu du contexte sanitaire inédit, les collectivités territoriales procèdent à la distribution massive de masques auprès des habitants.

A cette occasion, les communes utilisent les fichiers existants ou en créent de nouveaux, dont les finalités peuvent être diverses :

– Informer les habitants sur la procédure à suivre pour pouvoir récupérer les masques ;

– Organiser la prise de rendez-vous ou établir un fichier nécessaire à l’envoi postal de ces derniers ;

– Contrôler les opérations de distribution des masques, en s’assurant notamment du respect des conditions définies par la collectivité, et in fine, en assurer le suivi.

L’information aux administrés

A l’occasion de ses recommandations dont la fiche a été mise à jour le 1er mai dernier, la CNIL a pu rappeler que s’agissant de l’information aux habitants, aucun « fichier de population » n’est créé et mis à disposition des communes afin de leur permettre d’accéder de façon exhaustive aux informations des personnes concernées et de pouvoir leur communiquer toute information concernant la vie de la municipalité. En revanche, elles peuvent tout à fait utiliser certains fichiers existants et coupler ce recours à la fourniture d’une information générale par voie de presse, télé, radio, etc. permettant, de ce fait, d’informer de façon claire l’ensemble des foyers sur les procédures à suivre pour se procurer lesdits masques.

A cet égard, les fichiers qui peuvent être utilisés par les communes sont les suivants :

– Fichier de la taxe d’habitation

– Fichier de communication municipale (destiné à informer les habitants des événements de la vie municipale et des services offerts, à les consulter sur des projets, à réaliser des enquêtes, à accueillir les nouveaux arrivants, etc.)

– Registres communaux d’information et d’alerte des populations (données relatives aux personnes âgées et handicapées afin de déterminer s’il convient d’adapter les modalités d’obtention des masques (ex. livraison à domicile)

– Liste électorale

– Fichiers de tiers, en particulier les fichiers de partenaires institutionnels qui interviennent dans les secteurs sanitaire, social et médico-social, afin qu’ils relaient l’information auprès des usagers.

Dans ce cas précis, sauf consentement des personnes concernées (ou texte particulier) aucune donnée (identité, adresse, composition du foyer) ne peut être transmise directement aux communes par ces partenaires.

Le contrôle, l’organisation et le suivi de la distribution des masques

S’agissant de l’inscription dans un fichier dédié permettant une transmission par voie postale, la CNIL a admis que les communes pouvaient procéder à une extraction de certaines données issues du rôle de la taxe d’habitation sous certaines précautions.

En revanche, les personnes n’étant pas redevables de la taxe d’habitation ont la possibilité de s’inscrire dans un fichier de diffusion/ de prise de rendez-vous en ligne ou par téléphone, tout en respectant les principes édictés par le RGPD (minimisation des données, finalités, sécurité, durée limitée et encadrée, droits des personnes à respecter).

Ne sont strictement nécessaires à l’organisation et préparation de remise des masques que les données suivantes : identité des personnes qui les récupèrent ou les reçoivent directement, point de distribution le cas échéant (ou adresse du domicile), nombre de masques délivrés, certaines informations relatives au respect des conditions posées par la collectivité (ex : âge minimal, exercer telle profession, etc.).

Le contrôle de la qualité des demandeurs et du nombre de masques pouvant être délivrés

Eu égard à la pénurie initiale de masques, et afin d’éviter des scénarios similaires, les collectivités peuvent décider d’assujettir la distribution de masques à plusieurs critères (résider au sein de la commune, avoir un âge minimal, exercer une profession spécifique, etc.) ou encore de limiter leur distribution selon des critères définis à l’avance et objectifs.

Le suivi de la distribution

En dernier lieu, et afin de mener sa mission à bien, les communes pourront tenir un fichier de suivi des opérations de distribution réalisées afin d’anticiper les demandes abusives, et ce, conformément aux principes du RGPD (droits des personnes, données strictement nécessaires, etc.).

Pour en savoir plus : https://www.cnil.fr/fr/covid-19-les-traitements-de-donnees-associes-aux-operations-de-distribution-de-masques


# 30/04/2020 – COVID-19 – Accord de la CNIL sur l’utilisation du fichier de taxe d’habitation pour la distribution de masques par les communes

Lors d’une assemblée plénière du 30/04/2020, la CNIL a jugé légal le recours au fichier de la taxe d’habitation afin que les collectivités territoriales puissent distribuer les masques, pour pouvoir assurer une distribution correcte auprès des administrés. Pour ce faire, les collectivités devront procéder à une extraction des fichiers et, conformément aux principes du RGPD, le détruire à l’issue de ces opérations et en informer les personnes concernées.

L’utilisation de ces fichiers ne devra se faire que dans le strict respect des finalités pour lesquelles elle était prévue. Les données également devront être assujetties au principe de minimisation ; en l’occurrence, en plus des données d’identité des redevables, des adresses et de la composition familiale du foyer (afin de déterminer le nombre de masques à distribuer), la date de naissance et la nature de l’occupation du domicile pourront être utilisées, si la délivrance des masques est conditionnée au fait d’avoir un certain âge ou de résider à titre principal dans la commune.

Par voie de conséquence, l’utilisation desdites données par un prestataire de services devra tout autant être encadrée par contrat (sécurité des données, destruction à l’issue de leur utilisation dans les finalités prévues, etc.).

Enfin, les personnes concernées devront être informées du traitement opéré par la collectivité qui devra également relayer toute sous-traitance envisagée auprès de la direction générale des Finances publiques.

Pour en savoir plus voir la fiche de la CNIL https://www.cnil.fr/fr/la-cnil-considere-possible-utilisation-fichier-taxe-dhabitation-pour-distribution-des-masques)


# 23/04/2020 – USA – Sanction historique confirmée contre Facebook pour avoir trompé ses utilisateurs sur la confidentialité de leurs données >> 5 milliards de dollars (environ 4,43 milliards d’euros)

Pour mémoire, c’est l’autorité de la concurrence américaine, la Federal Trade Commission (FTC), qui a sanctionné Facebook l’été dernier sur le fondement des textes applicables pour la protection des consommateurs, les pratiques de Facebook en matière de protection des données personnelles ayant été jugées trompeuses. L’affaire avait connu un rebondissement important à la suite de l’affaire Cambridge Analytica, Facebook ayant de nouveau partagé les données de ses utilisateurs à des sociétés tierces, en violation de l’ordonnance de 2012 de la FTC.

Conformément à l’accord de 2019, la FTC n’a pas pu modifier son ordonnance administrative de 2012 avec Facebook jusqu’à ce que le tribunal fédéral ait rendu son ordonnance, ce qui a été fait par le juge Timothy J. Kelly le 23 avril 2020. La Commission a ainsi voté pour modifier l’ordonnance Facebook de 2012 avec les dispositions mises à jour incluses dans l’accord de 2019.

L’accord conclu avec la FTC vient donc d’être validé par la Cour Fédérale et Facebook va effectivement devoir verser la somme de 5 milliards de dollars au trésor américain et se soumettra à de nouvelles restrictions et à une structure d’entreprise modifiée.

Le président de la FTC, Joe Simons, se satisfait de la décision de la Cour : « Comme le note la Cour, le règlement historique de 5 milliards de dollars est « de loin » la plus grosse sanction pécuniaire jamais obtenue par les États-Unis au nom de la FTC et la « deuxième plus grande dans tous les contextes » ». Dans le même temps, la Cour souligne également que Facebook devra « tenir compte de la confidentialité à chaque étape de ses opérations et à fournir beaucoup plus de transparence et de responsabilité pour les décisions de ses dirigeants en matière de confidentialité ». La sanction imposée à Facebook est effectivement près de 20 fois supérieure à la plus grande sanction de confidentialité ou de sécurité des données jamais imposée dans le monde. C’est l’une des sanctions les plus importantes jamais imposées par le gouvernement américain pour toute infraction.

L’ordonnance de règlement impose également de nouvelles restrictions sans précédent sur les opérations commerciales de Facebook et crée de multiples canaux de conformité. Elle oblige Facebook à restructurer son approche de la confidentialité à partir du conseil d’administration et établit de nouveaux mécanismes solides pour garantir que les dirigeants de Facebook sont responsables des décisions qu’ils prennent en matière de confidentialité et que ces décisions sont soumises à une surveillance significative.

« Malgré les promesses répétées à ses milliards d’utilisateurs dans le monde qu’ils pourraient contrôler la façon dont leurs informations personnelles sont partagées, Facebook a sapé les choix des consommateurs », a également déclaré le président de la FTC, Joe Simons.

Pour empêcher Facebook de tromper ses utilisateurs sur la confidentialité à l’avenir, la nouvelle ordonnance de règlement de 20 ans de la FTC remet en question la façon dont la société prend ses décisions en matière de confidentialité en améliorant la transparence du processus décisionnel et en tenant Facebook responsable via des canaux de conformité qui se chevauchent.

L’ordonnance crée une plus grande responsabilisation au niveau du conseil d’administration et au niveau individuel et renforce la surveillance externe de Facebook :

– Création d’un comité de confidentialité indépendant du conseil d’administration de Facebook (qui supprime le contrôle absolu de Mark Zuckerberg, sur les décisions affectant la confidentialité des utilisateurs) dont les membres devront être indépendants et nommés par un comité de nomination indépendant.

– Désignation de responsables de la conformité, soumis à l’approbation du nouveau comité de confidentialité, qui seront garants du programme de confidentialité de Facebook,

– obligation pour le PDG de Facebook, Mark Zuckerberg et les responsables de la conformité désignés de soumettre de manière indépendante à la FTC des certifications trimestrielles attestant que la société respecte le programme de confidentialité requis, ainsi qu’une certification annuelle que la société est globalement conforme, avec à la clé de toute fausse certification des sanctions individuelles civiles et pénales.

– amélioration de la capacité de l’évaluateur tiers indépendant d’évaluer l’efficacité du programme de confidentialité de Facebook et d’identifier les lacunes (évaluations biennales collecte indépendante des faits, échantillonnage et tests de l’évaluateur, interdiction de fausses déclarations à l’évaluateur, rapport de l’évaluateur indépendant directement au nouveau comité du conseil de protection de la vie privée sur une base trimestrielle).

Le programme de confidentialité couvre également WhatsApp et Instagram.

« Le ministère de la Justice s’est engagé à protéger la confidentialité des données des consommateurs et à veiller à ce que les sociétés de médias sociaux comme Facebook n’induisent pas les individus en erreur sur l’utilisation de leurs informations personnelles », a déclaré le procureur général adjoint Jody Hunt pour la division civile du ministère de la Justice. « Les pénalités historiques et les conditions de conformité de ce règlement bénéficieront aux consommateurs américains, et le Ministère s’attend à ce que Facebook traite ses obligations de confidentialité avec le plus grand sérieux. »

Certains restent malgré tout dubitatifs, car même si la sanction financière est importante, elle est considérée comme limitée proportionnellement au Chiffre d’Affaires généré par Facebook qui avait par ailleurs vu sa valeur augmenter à la suite de l’ordonnance de 2019.

Pour en savoir plus : Voir notre news du 24/07/2019 et https://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdf


# 17/04/2020 – International / Brésil – Partage des données utilisateurs par les entreprises de télécommunications pour des recherches et statistiques liées au Covid-19

Le président Jair Bolsonaro a approuvé la mesure provisoire no. 954 («MP 954) concernant le partage des données des consommateurs par les entreprises de télécommunications avec la Fondation IBGE (Fondation de l’Institut de Géographie et Statistiques) visant à mener des recherches à distance et produire des statistiques pendant la période pandémique causée par Covid-19.

Ces sociétés ont 7 jours pour partager les noms, numéros de téléphone et adresses de leurs clients (personnes physiques et morales).

Selon le texte, le seul objectif est la réalisation de recherches exclusivement par la Fondation IBGE, car elle interdit clairement le partage des données avec des tiers et un délai de conservation de ces données personnelles de 30 jours suivant le dépassement de la période d’urgence est prévu.

Bien que MP 954 souligne la confidentialité des données partagées, l’interdiction de l’utilisation de ces données comme preuve dans les procédures administratives, fiscales ou judiciaires, et l’obligation la Fondation IBGE de répertorier les situations dans les données auront été utilisées et de préparer une analyse d’impact, cette mesure a été critiquée par deux partis politiques (PSB et PSDB) qui ont déposé pour une action en inconstitutionnalité auprès de la Cour suprême brésilienne appuyant sur la « menace pour le système démocratique », car la Fondation IBGE aurait accès aux données appartenant à plus de 70% des Brésiliens.


# 10/04/2020 – COVID-19 – Scandale éthique autour de l’application mobile de traçage des malades ?

Dans le contexte sanitaire actuel, Apple et Google se sont rapprochés afin de proposer aux gouvernements un outil permettant de tracer les individus malades. C’est en ce sens que la France a préparé, en collaboration avec l’Allemagne et la Suisse une application mobile « StopCovid » afin de permettre au mobinaute d’être informé s’il a croisé une personne diagnostiquée positive au virus. C’est alors que le 10 avril, Apple et Google ont annoncé leur collaboration en ce sens afin de proposer aux Etats, une application « clé en main ».

Cela a rapidement posé des questions éthiques et de souveraineté dans la mesure où ces deux géants du numérique auraient la mainmise sur cet outil. En effet, ces derniers :

– Fixeraient les conditions selon lesquelles une personne devrait être prévenue lors d’un croisement avec un sujet à risque et à ce titre : le temps d’exposition minimal pour déclencher l’alerte, la distance minimale, etc. ;

– Conserveraient les identifiants des téléphones ;

– Définiraient le protocole de fonctionnement ;

– Etc.

Pour autant, une étroite collaboration avec ces deux géants semble nécessaire dans la mesure où ces derniers ont d’ores et déjà accès à un nombre élevé de fonctionnalités des terminaux.

La crainte repose donc actuellement sur l’acceptation par la France (et de manière générale par les Etats) de cette application « clé en main » afin de faciliter nos déplacements, mais qui peut, en tout état de cause, être un outil d’atteinte à la vie privée et aux libertés individuelles, d’autant plus qu’il serait de l’initiative d’une puissance étrangère.

A suivre…


# 09/04/2020 – COVID-19 – Focus sur les outils de visioconférence

Durant cette crise pandémique et le recours massif au télétravail, nombre de professions ont dû opter pour les outils de visioconférences et il a fallu encadrer largement leur utilisation quant à la protection de la vie privée des usagers.

En amont, la CNIL a donc opéré une piqûre de rappel : prendre connaissance des conditions d’utilisation de l’application choisie et éviter les applications utilisant les données pour d’autres finalités.

A noter que l’application Zoom a fait l’objet de fortes critiques en termes de sécurité / confidentialité des données échangées.

Par la suite, il convient de garder à l’esprit que nombre de données peuvent être collectées (celles fournies + données techniques identifiant les internautes : adresses IP, identifiant de l’appareil, cookies, etc.).

C’est dans ce contexte que la CNIL fournit plusieurs conseils.

Avant le téléchargement d’une application : être vigilant quant à la provenance de l’application (source connue), aux finalités prévues, aux commentaires et avis des clients, à la présence d’un chiffrement des communications de bout en bout et d’un anti-virus ou pare-feu sur le terminal de l’utilisateur.

Lors de l’inscription au service : dans la mesure du possible, utiliser un pseudonyme, ne fournir que le minimum d’informations, lire les CGU et notamment la partie « Données personnelles ».

Lors de l’utilisation : vérifier le paramétrage de l’application (en ce qui concerne la section « Vie privée/ Données personnelles » ; désactiver l’application lorsqu’elle n’est pas utilisée et avoir une vigilance particulière à l’utilisation par des mineurs !

Pour en savoir plus : https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference


#07/04/2020–Mauvaise pub pour Quibi ! La nouvelle plateforme de streaming « court-métrage » transmettait les données utilisateurs à des partenaires publicitaires !

Quibi, cette nouvelle plateforme américaine de streaming courte durée – permettant de visualiser les vidéos sur smartphones – lancée le 07/04/2020, n’a pas manqué de faire parler d’elle.

Moins d’un mois après son lancement, le doute plane sur l’envoi potentiel par ses soins de données d’utilisateurs à des agences publicitaires ou à des géants du web type Facebook, Google et Twitter.

Pour ce faire, la plateforme aurait recours à une collecte d’adresses emails lorsque les utilisateurs valident leur compte dont la procédure est la suivante : un simple clic dans un email spécifique qui leur était adressé. Evidemment, aucun consentement à cette transmission de données n’était obtenu de l’utilisateur et la pratique est non conforme tant au RGPD qu’à la loi américaine.

Alors, entre acte volontaire ou problème technique, Quibi s’est défendue en affirmant que dès lors que ce « problème » avait été révélé à son équipe de sécurité, la correction a été immédiate.

Dans tous les cas, c’est une mauvaise pub pour Quibi qui comptait déjà à ce stade plus de 2.7 millions d’utilisateurs.


# 06/04/2020 – CNIL – Vidéosurveillance excessive – Clôture totale de la mise en demeure de la société Boutique.Aero

Les faits : La Boutique.Aero, société forte de 7 salariés, qui intervient dans le domaine de la documentation aéronautique, a été contrôlée par la CNIL en mars 2019.

La mise en demeure successive, rendue publique, portait sur la mise en conformité à la règlementation informatique et libertés :

  • Du système de vidéosurveillance en raison d’une surveillance continue des salariés
  • De l’information des collaborateurs sur leurs droits en matière de protection des données
  • De la documentation par la création d’un registre de traitement de données
  • De l’encadrement contractuel des rapports avec les prestataires

Décision : A la suite de la mise en demeure, la société disposait de deux délais de mise en conformité, le premier de 10 jours pour informer ses collaborateurs et circonscrire le champ de son système de vidéosurveillance, le second de 2 mois pour encadrer ses prestataires et concevoir son registre de traitement. Ces conditions satisfaites, la CNIL clôture publiquement et sans conséquence financière la mise en demeure dans sa décision du 6 avril 2020.

Ce qu’il faut retenir : Toutes les structures sont concernées par les contrôles de la CNIL qui est particulièrement attentive aux systèmes de vidéosurveillance suivant un nombre de plaintes qui a explosé auprès de ses bureaux. Elle use de la mise en demeure rendue publique non pas comme une sanction mais comme un outil pédagogique de sensibilisation des responsables de traitement. Si aucune suite pécuniaire n’est donnée lorsque les conditions sont satisfaites, il n’en reste pas moins que la confiance client ou la confiance collaborateurs peuvent être entamées.


# 27/03/2020 – CE – Droit au déréférencement – Droit à l’oubli et portée européenne >> amende de 100K€

Définition : Le droit au déréférencement consiste à obtenir d’un moteur de recherche qu’il supprime certains des résultats qui apparaissent sur la base d’une recherche de son nom et prénom.

Les Faits : En ce sens, Google Search répond à ce type de demande par la mise en place d’un mécanisme de redirection automatique vers la version nationale du site utilisé et un blocage de l’accès à un contenu déréférencé, à tout internaute identifié comme localisé sur ce territoire. Ces mesures sont jugées inadéquates pour garantir une protection effective des droits des personnes d’après la CNIL qui préconise un déréférencement mondial et inflige donc une sanction publique à hauteur de 100K€ au moteur de recherche concerné. Google saisit alors le Conseil d’Etat.

Décision : Le Conseil d’Etat vient dans sa décision du 27 mars 2020, à la lumière de la réponse apportée par la CJUE du 24 septembre 2019 dite Google LLC à sa question préjudicielle :

  • Confirmer la portée uniquement européenne du droit au déréférencement.
  • Prendre acte du défaut des moyens d’action offerts à la CNIL en France pour faire respecter le droit au déréférencement dès lors qu’il dépasse le cadre européen.

En conséquence pour le litige en cause, la loi du 6 janvier 1978 étant applicable, la CNIL n’ayant pas légalement autorité pour demander un déréférencement mondial, la sanction pécuniaire est annulée.

Ce qu’il faut retenir : Le droit au déréférencement a pour l’instant une portée européenne sur le fondement de la règlementation informatique et libertés (RGPD). La CNIL reste compétente pour faire respecter cela, c’est pourquoi elle adapte actuellement ses préconisations sur le droit à l’oubli. C’est d’ailleurs cette autorité qui a fait évoluer ce droit par ses prises de positions successives en tant que gardienne des droits individuels, au niveau européen puisqu’il n’était que de portée nationale.


# 24/03/2020 – COVID-19 – Principes et exceptions sur l’utilisation des données de santé au travail

A la lumière du contexte actuel inédit, nombreux sont les professionnels et particuliers qui s’interrogent sur la possibilité de collecter les données personnelles des employés ou visiteurs, en dehors de toute prise en charge médicale, afin d’établir si ces derniers ont des symptômes liés au COVID-19, ou encore des données portant sur les évènements ou déplacements, qui relèveraient de la vie privée, pour savoir si les personnes ont éventuellement été en contact avec des personnes contaminées.

Il convient tout d’abord de garder à l’esprit que les données de santé font l’objet d’une protection particulière par le RGPD ainsi que par le Code de la santé publique. A cet effet, seule la suspicion d’une exposition au virus permettrait de collecter certaines données de santé. A contrario, le contrôle systématique et généralisé de ces données ou la recherche de symptômes qui pourraient être présentés par un employé ou ses proches, moyennant des demandes ou enquêtes individuelles, ne peut être mis en œuvre (exemple : collecte de fiches/questionnaires médicaux pour l’ensemble des employés ; relevés obligatoires et systématique de la température corporelle des employés/visiteurs).

Dans le même temps, l’employeur a une responsabilité sur la santé et la sécurité de ses employés, prévue par le Code du travail, lui demandant de mettre en œuvre certaines actions pour prévenir les risques professionnels, pour informer et former ses employés.

A cet effet, l’employeur dispose de plusieurs prérogatives :

  • Sensibilisation des employés afin de les inviter à faire des remontées d’informations individuelles liées à une éventuelle exposition au coronavirus auprès des autorités sanitaires ou de leur employeur ;
  • Facilitation de leur transmission en mettant en place, au besoin, des canaux dédiés ;
  • Favorisation du télétravail et recours à la médecine du travail.

Si l’employé a effectué un signalement, l’employeur pourra consigner uniquement :

  • La date du signalement ainsi que l’identité de la personne suspectée d’exposition ;
  • Les mesures d’organisation qui ont été prises, par exemple, le télétravail, le confinement, l’orientation et la prise de contact vers la médecine du travail, etc.

Il pourra également communiquer toute information liée à une éventuelle exposition aux autorités sanitaires afin de faciliter la prise en charge de la personne concernée.

Il convient également de garder à l’esprit que l’obligation de préserver la santé et la sécurité des employés s’impose également aux employés. De fait, tout employé se doit d’informer son employeur d’une éventuelle suspicion de contraction du COVID-19.


# 24/03/2020 – COVID-19 – Les sms adressés par le gouvernement respectent-ils le RGPD ?

Dans cette crise sanitaire inédite, le Président de la République a pris la parole dans la soirée du lundi 16 mars pour annoncer notamment les mesures prises sur le territoire français. A la suite de cette allocution, nombre de Français ont reçu un message de l’expéditeur « Gouv.fr » sur leur mobile les invitant à prendre connaissance et respecter les mesures prises.

A la suite de ce message, la CNIL a été interrogée par des Français soucieux de la protection de leur vie privée se demandant si l’envoi de ce message respectait la législation en la matière.

La réponse se trouve à l’article L. 33-1 du Code des Postes et des Communications Electroniques qui prévoit que les opérateurs de télécommunications sont dans l’obligation de diffuser les messages des pouvoirs publiques à leurs abonnés, pour leur permettre notamment d’être prévenus d’un danger imminent ou d’une catastrophe majeure.

Pour ce faire, l’opérateur joue seulement un rôle de messager dans le processus puisqu’il se contente de transmettre l’information qu’il a obtenue des autorités. En aucun cas il ne transmet la liste des numéros directement au Gouvernement.

Ce dispositif rentre donc parfaitement dans les clous du RGPD puisque l’utilisation des données personnelles même sans consentement est autorisé pour répondre à une obligation légale, une mission d’intérêt public ou la sauvegarde des intérêts vitaux des personnes, ce qui est le cas en l’espèce, dans le contexte de lutte contre la propagation du COVID-19.


# 12/03/2020 – La CNIL révèle ses thématiques de contrôle pour 2020

Comme toujours la CNIL se concentrera en 2020 sur le contrôle des situations faisant suite à des plaintes ou à la demande de mesures correctrices ou qui seront révélées dans les actualités.

Elle a par ailleurs fixé 3 thématiques prioritaires :

– les données de santé, avec un focus sur les mesures de sécurité prises pour les préserver par les professionnels de santé

– la géolocalisation pour les services de proximité, en particulier sur les questions de minimisation des données collectées, de durées de conservation, d’information fournies aux personnes et des mesures de sécurité mises en place

– les cookies et autres traceurs, qui ont déjà fait l’objet d’une annonce par la CNIL à l’automne 2019 ainsi que d’une étude pour fixer des recommandations attendues au printemps 2020 sur ce sujet, avec un timing de 6 mois accordé aux entreprises pour se mettre en conformité. Les contrôle sur ce sujet devraient débuter à l’automne 2020 et se poursuivre en 2021.

Ces 3 sujets devraient occuper 20 des analyses de la CNIL cette année.


# 27/02/2020 – France – TA de Marseille – Pas de reconnaissance faciale pour les lycéens !  >> 1K€

Faits : Par une délibération en date du 14/12/2018, le Conseil Régional de la région PACA a lancé une expérimentation du dispositif du contrôle d’accès virtuel dans 2 lycées de Nice et Marseille, en procédant à l’installation de portiques de reconnaissance faciale à l’entrée de ces deux établissements.

Cette expérimentation est organisée en plusieurs volets :

– « Contrôle d’accès biométrique » concernant les lycéens (personnes identifiées) ;

– « Suivi de trajectoire » concernant les lycéens mais également les visiteurs occasionnels (personnes non identifiées).

C’est à la suite de cette délibération que le 14/02/2019, l’association La Quadrature du Net, la Ligue des droits de l’Homme, la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes et le syndicat CGT Educ’Action des Alpes-Maritimes ont sollicité l’annulation pour excès de pouvoir de ladite délibération auprès du Tribunal administratif de Marseille.

Excès de compétences : Le but de cette expérimentation était de renforcer la sécurité dans les établissements scolaires ce qui la plaçait en mission d’encadrement et de surveillance des élèves. En tout état de cause, ce type de mission est laissée à la seule initiative des chefs d’établissement (article L.214-6 et R.421-10 du code de l’éducation). En l’espèce, la région PACA n’a pas simplement muni les établissements de ce type de dispositif ou proposé à ces derniers leur adoption, mais a elle-même pris l’initiative de tester cette expérimentation, ce qui constitue un excès de compétences.

Manquement à l’obligation d’obtenir le consentement au traitement des données biométriques : Selon l’article 9 du RGPD, les données biométriques ne peuvent faire l’objet d’un traitement sauf si la personne concernée donne son consentement (libre, spécifique, éclairé et univoque – cf. article 4.11 du RGPD). En l’espèce, la région PACA estime avoir recueilli le consentement des personnes concernées (lycéens ou leurs parents s’ils sont mineurs) par la seule signature d’un formulaire. Le tribunal juge au contraire que cela ne permet nullement de recueillir un consentement libre et éclairé desdites personnes dans la mesure où ces dernières sont dans une relation d’autorité avec le responsable d’établissement.

Manquement à l’obligation de mettre en place un traitement nécessaire et proportionné aux finalités prévues : La délibération en cause prévoyait les finalités suivantes : « apporter une assistance aux agents en charge du contrôle d’accès au lycée et de l’accueil afin de faciliter et réduire la durée des contrôles (pour les usagers réguliers du site comme pour les visiteurs occasionnels), lutter contre l’usurpation d’identité et détecter un déplacement non souhaité ». Le Tribunal administratif considère que la région PACA n’a pas établi que ces finalités de fluidification et sécurisation des contrôles à l’entrée de ces établissements, soit constituent un motif d’intérêt public, soit auraient pu être atteintes par des moyens moins contraignants et intrusifs (exemple : badges). Le traitement mis en place par la région PACA est donc illégal.

Décision : La délibération du conseil régional de la région PACA du 14/12/2018 est annulée et la région PACA est condamnée à verser la somme de 1000€ à la « Quadrature du Net », à la Ligue des droits de l’Homme et à la fédération des conseils des parents d’élèves des écoles publiques des Alpes-Maritimes

Ce qu’il faut retenir : Un cas similaire avait déjà été jugé en Suède (cf. notre news du 20/08/2019) dans lequel la base légale du consentement était remise en cause compte-tenu de l’autorité existant entre le responsable de traitement et les personnes concernées – il en est de même par exemple dans la relation employeur / employé. L’obtention d’un consentement écrit n’apporte donc pas par nature une licéité du traitement de données.

Par ailleurs S’agissant de biométrie, il est systématiquement imposé de vérifier dans quelle mesure d’autres moyens pourraient être mis en place pour atteindre les finalités prévues.

Pour en savoir plus : https://www.legalis.net/jurisprudences/tribunal-administratif-de-marseille-9eme-ch-jugement-du-27-fevrier-2020/


# 20/02/2020 – Clôture partielle de la mise en demeure à l’encontre de la société Boutique.Aéro concernant son système de vidéosurveillance

Faits : La société Boutique.Aéro est spécialisée dans le commerce de gros de fournitures et équipement aéronautiques (7 salariés 1.7M€ de CA en 2017)

Elle fait l’objet en octobre 2018 d’un signalement par la DIRECCTE (Occitanie) auprès de la CNIL concernant la présence dans un de ses magasins de caméras qui filmeraient en continue les postes de travail des salariés.

Elle est donc contrôlée, sur place, par la CNIL.

A l’issue de son contrôle incluant divers échanges avec la société et ayant constaté plusieurs manquements, la CNIL met en demeure Boutique.Aéro de prendre certaines mesures de mise en conformité dans le respect d’un timing de 10 jours pour certaines et de 2 mois pour d’autres (cf. notre news du 05/11/2019).

Décision : Considérant que la société Boutique.Aéro avait fait le nécessaire concernant les démarches de mise en conformité requises dans le délai de 10 jours, la CNIL clos ici la mise en demeure. Il s’agissait en l’occurrence de :

– cesser de traiter les images issues vidéo pour localiser les salariés

– ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la protection des biens et des personnes (donc adapter le dispositif pour ne pas filmer en continu les salariés sur leur poste de travail, en supprimant ou réorientant les caméras)

– et sécuriser le traitement / l’accès aux flux vidéo des caméras, avec une restriction de connexion à des comptes individuels (via des identifiants et mots de passe qui ne soient pas pré-enregistrés) ayant des habilitations en fonction de leurs missions) et un protocole de chiffrement

Publication de la décision : La décision de clôture suit la même règle de publicité que celle de mise en demeure.

Ce qu’il faut retenir : Lorsque les démarches attendues par la CNIL sont mises en œuvre assez rapidement par la société mise en demeure, une sanction financière peut être évitée et la publication de la clôture permet dans une certaine mesure de redorer le blason de la société dont l’image de marque pouvait avoir été atteinte à la publication de la première décision. Ici Boutique.Aéro doit encore finaliser la conformité de son système de vidéosurveillance et la CNIL lui a accordé 15 jours supplémentaires sur les 2 mois initialement prévus pour établir son registre des activités de traitement, informer dans les règles les personnes vidéosurveillées et établir un contrat adéquat avec sa société de prestation informatique.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041647624&fastReqId=711041994&fastPos=1


# 12/02/2020 – Découverte d’une fuite massive de données chez Decathlon Espagne

Une base de données de 9Go portant 123 millions de données a été exposée en ligne à la suite d’une mauvaise configuration : le serveur n’était pas sécurisé.

Cette faille a été détectée par les hackeurs éthiques de VPNMentor.

Ces données concernaient à la fois les clients de l’enseigne (numéros de téléphone) mais aussi ses employés (identité, numéro de sécurité sociale, adresse personnelle, e-mail, date de naissance ; position et lieu de travail).

Decathlon a réagi immédiatement après avoir été informé (la base n’était plus accessible dès le lendemain de la connaissance de la fuite) et a communiqué sur l’incident … en cherchant à minimiser le risque : peu de données concerneraient des utilisateurs réels et aucun mot de passe ou numéro de carte bancaire ne serait concerné.

Ce qu’il faut retenir : En cas de fuite de données, la responsabilité du responsable de traitement peut être engagée s’il n’avait pas pris les mesures techniques et organisationnelles pour assurer la confidentialité des données. Certaines jurisprudences ont déjà confirmé qu’une erreur humaine ne met pas à l’abri le responsable de traitement… par ailleurs, il est impératif de solutionner la faille au plus vite et de prendre toutes les mesures à la fois pour la faire cesser immédiatement mais aussi pour éviter qu’elle ne puisse se reproduire à l’avenir. Enfin, certaines obligations du RGPD prévoient de devoir signaler les violations de données à l’autorité de contrôle et aux personnes concernées.


#11/02/2020 –CNIL – Collecte illicite de donnée via les compteurs Linky >> Mise en demeure de EDF et Engie

Les faits : Le sujet a défrayé la chronique : les compteurs Linky collectent des informations sur la vie privée des consommateurs. Il peut en être déduit les heures de lever et de coucher, les périodes d’absence ou encore le nombre de personnes présentes au foyer. Vigilante sur les traitements de données liées aux compteurs communicants, la CNIL a mis en demeure les géants EDF et ENGIE pour deux motifs de contrariété avec le Règlement (UE) 2016/679 ;

  1. L’absence de recueil d’un consentement spécifique (savoir exactement pour quel objectif le consentement est demandé) et éclairé (savoir exactement pourquoi le consentement est donné).
  2. L’imprécision des durées de conservation adoptées pour les données de consommation

En l’occurrence, les 2 fournisseurs d’énergie peuvent collecter les données de consommation mensuellement pour établir leur facturation détaillée.

En revanche, seul l’accord de l’abonné peut leur permettre de collecter les données de consommation dites « fines » c’est-à-dire suffisamment précises pour instruire sur la vie privée des consommateurs. Il en est de même pour le transfert des données à des sociétés tierces dans le but qu’elles effectuent une prospection commerciale.

Absence de recueil d’un consentement valable : C’est par le biais d’1 seule case que ces fournisseurs demandent à l’abonné de consentir à 2 opérations distinctes : l’affichage des consommations quotidiennes et l’affichage des consommations horaires. Il s’ajoute pour EDF un 3ème traitement de conseil automatique lorsque la case est cochée. Avec un tel « consentement » global, la CNIL conclu que l’abonné est privé du choix de consentir à un traitement plutôt qu’un autre et qu’il ne lui est donc pas offert la possibilité d’un consentement spécifique.

La CNIL constate également qu’une mauvaise information des consommateurs entraine l’impossibilité de recueillir leur consentement éclairé. A ce titre, ENGIE et EDF ne mettent pas leurs abonnés en situation de comprendre la distinction entre la collecte de leurs données quotidiennes ou horaire. Le premier les présente comme équivalente dans sa mention d’information à côté du bouton dédié à l’acceptation, le second propose de souscrire, sans en expliquer la différence au préalable, à l’affichage de « l’index quotidien » (données de consommation journalière) et à la « courbe de charge » (données de consommation fines à l’heure ou la demi-heure).

Mauvaise définition des durées de conservation : Quand EDF ne prévoit pas d’archivage et conserve en base active (base contenant les données d’utilisation courante, par exemple pour l’exécution du contrat) confusément les données de consommations quotidiennes et celles à la demi-heure, la CNIL rappelle que ces dernières, non utiles à la facturation, n’ont pas à être conservées cinq ans. D’autant moins que le code de la consommation prévoit une durée de trois ans de mise à disposition des clients leur historique de consommation.

ENGIE de son côté garde les données de consommation mensuelle, pour de la prospection commerciale pendant 3 ans, ce que la CNIL juge inadapté à la finalité, les coordonnées pouvant seules être gardées à cette fin de prospection de la clientèle.

Sanction : Dans la même lignée que sa décision concernant Direct Energie, la CNIL met en demeure les 2 fournisseurs de se mettre en conformité sous 3 mois, le recueil d’un consentement valable et le respect des durées de conservation étant ici qualifiés d’obligations essentielles du responsable de traitement.  Si les fournisseurs se conforment aux exigences règlementaires soulevées, la procédure sera publiquement clôturée.

La CNIL a décidé de rendre publique cette mise en demeure compte tenu de la nature des manquements, du volume de données et du nombre de personnes concernées : Il s’agit en effet de 35 millions de compteurs Linky, installés depuis 2015.

Ce qu’il faut retenir : Entamer les démarches de mise en conformité ne suffit plus, la CNIL a noté l’effort de mise en conformité globale des 2 fournisseurs mais intervient tout de même : il faut aller jusqu’au bout des démarches pour qu’elles soient cohérentes. L’objectif reste de garantir aux personnes concernées la maîtrise de leurs données personnelles. Au regard de ces décisions, pour offrir une information précise et complète, c’est la distinction qui est le mot d’ordre : distinguer la nature des données collectées, distinguer les traitements qui sont faits suivant leur collecte, distinguer les données qui peuvent être conservées ou non pendant la durée nécessaire.

Pour en savoir plus : https://www.cnil.fr/fr/edf-et-engie-mises-en-demeure-pour-non-respect-de-certaines-conditions-de-recueil-du-consentement


# 31/01/2020- Brexit – le RGPD continue de s’appliquer

C’est désormais officiel, le Royaume-Uni a quitté l’Union européenne.

Jusqu’à la fin de la période de transposition, prévue pour le 31/12/2020, le RGPD continuera de s’appliquer. Les acteurs du traitement de données personnelles n’auront donc pas besoin de prendre de mesures d’adaptation dans l’immédiat.

Le gouvernement britannique a d’ores et déjà annoncé son intention d’incorporer le RGPD dans la loi britannique à la fin de la période de transposition. En pratique donc, et sous réserve de l’issue des négociations à venir cette année, peu de changements interviendront pour les sociétés britanniques et celles qui traitent les données de personnes situées au Royaume-Uni, ou sous-traitent des données à des sociétés britanniques.

Pour en savoir plus : https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf


# 30/01/2020 – France – CNIL – Clôture des injonctions à l’encontre de la société FUTURA INTERNATIONALE pour démarchage téléphonique illégal

Les faits : La société FUTURA INTERNATIONALE est spécialisée dans l’isolation thermique des domiciles des particuliers et procède à du démarchage téléphonique dans le cadre de son activité via plusieurs prestataires situés principalement hors de l’Union Européenne (Côte d’Ivoire, Maroc, Tunisie).

Par décision du 21/11/2019, la CNIL avait sanctionné la société FUTURA INTERNATIONALE à hauteur de 500K€ et l’avait mise en demeure de se mettre en conformité en mettant en place des mesures correctives :

– pour empêcher que des commentaires excessifs ne soient enregistrés dans les fiches de ses clients

– pour informer les personnes concernées

– pour assurer l’effectivité des droits d’opposition par les personnes démarchées

– pour en cadrer ses relations avec ses sous-traitants par des contrats protégeant les données personnelles.

Moins d’un mois après la mise en demeure de la CNIL, la société FUTURA INTERNATIONALE a transmis à la CNIL un procès-verbal d’huissier du 17 décembre 2019, des courriers à destination des onze sous-traitants avec lesquels elle était en relation et un devis de la société La Poste, pour justifier du déploiement d’un système automatisé de gestion des oppositions exprimées, de l’arrêt des relations contractuelles avec des centres d’appel et de la mise en place d’un démarchage par courrier postal. A la demande de la CNIL, elle lui a par la suite transmis des éléments sur l’information communiquée aux personnes (collecte indirecte) et sur l’effectivité du mécanisme d’opposition.

Compte-tenu des éléments apportés, la CNIL considère que la société FUTURA INTERNATIONALE a satisfait aux injonctions et procède à leur clôture.

Ce qu’il faut retenir : Concrètement, pour se mettre en conformité, la société FUTURA INTERNATIONALE a :

– mis en place une information complète aux personnes concernées et une possibilité pour les personnes démarchées de s’opposer de manière satisfaisante à la prospection, avec un mécanisme automatisé et efficace empêchant toute démarche de prospection ultérieure,

– supprimé la possibilité de renseigner des commentaires libres dans son logiciel PROGIBOS

– cessé de faire appel à ses sous-traitants hors de l’Union européenne.

Pour en savoir plus : Voir notre news du 21/11/2019 & https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000041537429&fastReqId=1229333916&fastPos=1


# Décembre 2019 – Avast vend les données personnelles de ses utilisateurs via sa filiale tchèque Jumpshot

La société tchèque Avast bien connue pour son antivirus, qui dispose de près de 400 millions d’utilisateurs, revend les données personnelles des internautes par le biais de l’une de ses filiales tchèques : Jumpshot (spécialisée dans le marketing).

En décembre 2019, le directeur général de la société affirmait (et justifiait cette opération par le fait que) :

  • Les données transmises (données de navigation) étaient anonymisées
  • Cette opération représentait moins de 5% du CA global d’Avast (qui s’élève à environ 430 millions de dollars)

Les données en question étaient revendues aux clients d’Avast parmi lesquels : Nestlé, Google, Microsoft, L’Oréal, etc. Bien qu’ « anonymisées », les données en question contenaient tout de même l’historique des recherches des internautes, leur navigation YouTube et LinkedIn, ou encore la localisation sur Google Maps ! La question qui se pose est de savoir si cela pouvait permettre (indirectement) l’identification des personnes concernées bien qu’Avast confirmait ne pas transmettre les données personnelles telles que le nom, l’adresse e-mail, les coordonnées, etc….


# 20/12/2019 – UK – ICO – Condamnation d’une pharmacie londonienne Doorstep Dispensaree Ltd >> 275000£ (environ 322K€)

Les faits : Une enquête est lancée par l’ICO sur le dispensaire de Doorstep, qui fournit des médicaments aux clients et aux maisons de soins, après avoir été informé, par l’Agence de réglementation des médicaments et des produits de santé (qui menait sa propre enquête sur la pharmacie en question), de l’existence de documents stockés de manière non sécurisée,

Manquement à l’obligation d’assurer la sécurité et l’intégrité des données

Doorstep Dispensaree Ltd a laissé environ 500 000 documents dans des conteneurs déverrouillés à l’arrière de ses locaux à Edgware. Les documents comprenaient les noms, adresses, dates de naissance, numéros NHS, informations médicales et prescriptions appartenant à un nombre inconnu de personnes.  Les documents, dont certains n’avaient pas été correctement protégés contre les éléments et étaient donc endommagés par l’eau, étaient datés de juin 2016 à juin 2018.

Sanction : Amende de 275000£ (environ 322K€), ayant considéré l’imprudence dans les moyens mis en œuvre pour stocker des données sensibles en vue de les protéger contre les dommages, destruction ou perte accidentelle + mise en demeure d’améliorer les pratiques de protection des données dans un délai de trois mois.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/london-pharmacy-fined-after-careless-storage-patient-data_en & https://ico.org.uk/action-weve-taken/enforcement/doorstep-dispensaree-ltd-mpn/


# 18/12/2019 – Norvège – Condamnation de la ville d’Oslo >> 49300€

Les faits : La ville d’Oslo a envoyé une notification de violation de données à l’autorité de protection des données en novembre 2018 via 28 de ses centres de santé.

Au sein de ces derniers étaient utilisé un système de feuilles de travail contenant des informations sur les résidents (avec leur nom complet, leur numéro d’identité nationale, leurs initiales ou leur numéro de chambre), détaillant leurs besoins quotidiens et routines de soins. Ces feuilles étaient stockées électroniquement en interne par chaque centre de santé. Cette pratique de stockage de données sur les patients en dehors du système de dossier de santé électronique a perduré pendant 11 années (de 2007 à novembre 2018).

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

Les données étaient stockées dans des fichiers auxquels tous les employés du centre de santé concerné avaient accès, y-compris ceux n’appartenant pas au personnel de santé tels que le personnel de nettoyage.

Aucune traçabilité des accès à ces fichiers n’était possible (journalisation) de sorte qu’il n’y avait aucun moyen de déterminer quel membre du personnel avait ou non accédé à des données.

Sanction : Amende de 105K€, l’autorité de protection des données ayant pris en compte :

  • le fait que  la ville d’Oslo a signalé l’infraction de sa propre initiative et a rapidement pris des mesures pour supprimer les données (courriel transmis à tous les centres de santé, demandant de supprimer toutes les feuilles de travail immédiatement) ;
  • la gravité de la violation (données sensibles, longue période de faille et nombre important de personnes concernées) ainsi que la particulière responsabilité de la ville d’Oslo qui compte la plus importante population en Norvège et se devait donc d’être particulièrement vigilante en matière de sécurité des informations ;
  • le fait que  la violation a eu lieu principalement avant l’entrée en vigueur du RGPD et de la nouvelle Loi norvégienne, sachant qu’à l’époque, les amendes maximales étaient de l’ordre de 100K€.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-city-oslo_en


# 18/12/2019 – France – CNIL –Plusieurs établissements scolaires retoqués pour leur système de vidéosurveillance excessif >> Mise en demeure non publiée

Les faits : A la suite de plusieurs plaintes en 2018, la CNIL a mené l’enquête sur des systèmes de vidéosurveillance dans des écoles, collèges ou lycées.

La CNIL a eu confirmation que des caméras filmaient des cours de récréation, cantines, salles informatiques, terrains de sport, centre de documentation et d’information, etc.

La CNIL rappelle que placer du personnel ou des élèves sous une surveillance systématique et continue est excessif.

Des systèmes de vidéo surveillances ont habituellement pour objet d’assurer la sécurité des biens et des personnes et d’éviter les intrusions malveillantes de sorte qu’il est en revanche admis de surveiller les accès et les espaces de circulation.

Sanction : Mise en demeure de modifier les dispositifs de vidéosurveillance et leurs paramétrages.

Pour en savoir plus : https://www.cnil.fr/fr/mises-en-demeure-de-plusieurs-etablissements-scolaires-pour-videosurveillance-excessive


# 18/12/2019 – Suède – Condamnation de la société Nusvar pour le site web Mrkoll.se >> 35K€

Les faits : De décembre 2018 à avril 2019, le site web Mrkoll.se publiait des données personnelles concernant plus de 8 millions de personnes (tous les Suédois de plus de 16 ans) s’agissant d’information sur les casiers judiciaires ou liées à des crédits (notamment au fait que des personnes n’auraient pas de défaut de paiement).

De telles informations ne peuvent être publiées en vertu de la loi suédoise sur les informations de crédit sans l’autorisation préalable de l’autorité de protection des données suédoise qui n’avait pas délivré cette autorisation pour ce site Web.

Sanction : Amende de 35K€

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/administrative-fine-35-000-eur-imposed-swedish-website-mrkollse_en


# 18/12/2019 – Allemagne – BWDPA – Condamnation de 1&1 Telecom Gmbh >> 9,550M€

Les faits : Les personnes appelant le service d’assistance téléphonique de la société 1 & 1 Telecom GmbH (fournisseur de services de télécommunications) pouvaient obtenir des informations détaillées sur d’autres données personnelles en fournissant simplement le nom et la date de naissance du client.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’autorité allemande de protection des données a jugé que cette procédure d’authentification n’était pas suffisamment sécuritaire pour assurer la protection des données personnelles et que d’autres mesures techniques et organisationnelles auraient dû être prises.

Pour rectifier le tir, 1&1 a largement coopéré avec l’Autorité et renforcé sa procédure d’authentification par la demande d’informations complémentaires. En outre, 1 & 1 Telecom GmbH est en train d’introduire une nouvelle procédure d’authentification largement améliorée en termes de technologie et de protection des données, après consultation de l’Autorité.

Sanction : Amende de 9,550M€, l’infraction représentant un risque pour l’ensemble de la clientèle mais 1 & 1 Telecom GmbH s’étant montrée très coopérative tout au long de la procédure.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/bfdi-imposes-fines-telecommunications-service-providers_en


# 16/12/2019 – ALICEM : l’application de reconnaissance faciale développée par le ministère de l’Intérieur et l’Agence nationale des titres sécurisés : système mis en cause par la CNIL et par la Quadrature du Net.

Faits : Alicem est une application développée par le Ministère de l’Intérieur et par l’Agence nationale des titres sécurisés (ANTS) qui sera disponible sur smartphone et permettra à tout utilisateur de prouver son identité sur Internet à l’aide de son téléphone et de son passeport (ou titre de séjour) ; cela permet entre autres de créer une identité numérique pour chaque citoyen disposant d’un passeport biométrique. Pour ce faire, il conviendra de s’inscrire avec son titre d’identité dont la puce sera lue par lecteur sans contact NFC et dont les informations seront vérifiées par les services de l’Etat.

Selon l’Etat, cela permettra notamment d’accéder de manière simplifiée et toujours sécurisée aux services partenaires de FranceConnect et de lutter contre les usurpations d’identité.

La reconnaissance faciale fait partie intégrante de la configuration de cette application. En effet, parmi les 7 étapes pour la création d’un compte Alicem figure la reconnaissance biométrique. A ce sujet, l’Etat se veut rassurant et affirme que cela :

  • Permet d’authentifier de manière sûre la personne qui a créé le compte
  • Ne vise en aucun cas le recueil ou le stockage des données biométriques des usagers à des fins de surveillance

Sur la conservation des données : Selon le Ministère de l’Intérieur, ces dernières seront stockées uniquement sur le téléphone de l’usager et resteront, de ce fait, sous son contrôle exclusif via une protection par chiffrement.

Sur l’objectif du recueil des données : Le Ministère ajoute également qu’aucune autre utilisation que l’authentification électronique et l’accès à des services en ligne par Alicem ne sera opérée. Par ailleurs, les données ne seront pas transmises à des tiers.

Sur l’obligation de recueillir un consentement libre et éclairé : La CNIL affirme être inquiète quant à cette application qu’elle juge contraire au RGPD : Ce sont justement les dispositions en matière de consentement qui viennent bousculer ce qui a été mis en place pour Alicem.

Certes, la CNIL relève qu’un accord de la personne est effectivement sollicité pour la création d’une identité Alicem.

Cependant, en cas de refus, il n’est alors plus possible de se créer cette identité par des moyens alternatifs. En effet, l’usager doit obligatoirement donner son « accord » pour accéder aux services. La CNIL estime au contraire qu’il devrait exister des solutions alternatives pour utiliser le service comme par exemple la possibilité de se présenter physiquement en Préfecture, pour ceux qui ne souhaitent pas utiliser de système de reconnaissance faciale.

Le Gouvernement précise bien que l’utilisation d’Alicem sera facultative et que d’autres moyens existent pour procéder aux démarches administratives. Ceci étant, il n’existe a priori pas de système totalement substituable à Alicem (donc apportant les mêmes services / facilités aux usagers).

Il convient également de préciser qu’en l’occurrence, les données en question (données biométriques) font partie de la catégorie des données dites « sensibles » ; dans ce cas, le RGPD interdit de les recueillir ou de les utiliser sauf notamment si la personne concernée a donné son consentement exprès, qui selon la CNIL, est une démarche explicite, de préférence écrite, active et qui doit être libre, informée et spécifique.

La Quadrature du Net a également dénoncé les arguments avancés par l’Etat et considère que cette application permet la banalisation de la reconnaissance faciale et porte atteinte au droit à l’anonymat sur Internet. Elle a donc déposé un recours devant le Conseil d’Etat visant à interdire purement et simplement la mise en place d’Alicem le 15 juillet dernier.

Le Ministère et l’ANTS faisant fi de ces critiques avaient annoncé début octobre qu’ils souhaitaient avancer le déploiement de leur application pour novembre 2019 – initialement prévu pour décembre 2019 (Alicem est en phase de test sur FranceConnect depuis juin 2019).

Pour le moment, le projet est cependant en stand-by, en attente des conclusions du Conseil national du numérique. Affaire à suivre…

NB – En mars 2020, le système Alicem était à notre connaissance toujours en phase de test.

Pour en savoir plus :

https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee & https://www.clubic.com/technologies-d-avenir/actualite-872322-alicem-app-reconnaissance-faciale-deployee-echelle-nationale.html  & https://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Alicem-la-premiere-solution-d-identite-numerique-regalienne-securisee


# 10/12/2019 – France – CNIL – L’ONG Noyb dépose des plaintes contre les sociétés portant les sites web CDiscount, AlloCiné et Vanity Fair pour tracking publicitaire illicite (Cookies)

3 plaintes viennent d’être déposées par Noyb devant la CNIL.

En effet, d’après ses investigations, les sites web CDiscount, AlloCiné et Vanity Fair auraient des défaillances dans leurs systèmes de dépôt des cookies qui seraient installés sur l’ordinateur de l’internaute même après que celui-ci les ait refusés. Il y aurait donc un manquement à l’obligation d’obtenir le consentement pour le dépôt de traceurs à visée de publicité ciblée.

Pour en savoir plus :

https://www.lemonde.fr/pixels/article/2019/12/10/vie-privee-cdiscount-allocine-et-vanity-fair-vises-par-une-plainte-d-une-ong_6022380_4408996.html


# 09/12/2019 – Allemagne – BWDPA – Condamnation de Rapidata GmbH >> 10K€

Manquement à l’obligation de nommer un DPO

Une procédure contre le fournisseur de télécommunications Rapidata GmbH a été engagée, car malgré de nombreuses demandes, il n’a pas respecté son obligation de nommer un délégué à la protection des données.

Sanction : Seulement de 10K€, l’autorité allemande de protection des données ayant retenu que l’entreprise appartient à la catégorie des micro-entreprises.


# 28/11/2019 – Belgique – APD – Condamnation d’un maire et d’un officier municipal >> Deux fois 5K€

Les faits : Dans ces deux affaires séparées, deux anciens élus utilisaient des données personnelles obtenues dans le cadre leurs mandats pour envoyer des courriers électoraux personnalisés dans la cadre d’une nouvelle campagne électorale. Pour le 1er, il s’agissait d’une liste de 476 personnes ayant fait appel à lui de 2012 à 2018. Pour le 2nd, il s’agissait d’une liste de 654 clients obtenue dans le cadre de son métier exercé en parallèle de son mandat public.

Détournement de finalité

Les données personnelles ne doivent être traitées que pour l’objectif initial de la collecte, en fonction d’une base légale particulière et ne peuvent faire par la suite l’objet d’un autre traitement. En l’occurrence, réutiliser ici des données collectées dans le cadre d’un mandat ou dans le cadre d’une relation client ne permet pas une exploitation à des fins de publicité électorale, ce qui constitue donc une infraction au RGPD.

Sanction : Amende de 5K€ pour chacun des contrevenants, la gravité du manquement étant d’autant plus importante vue l’identité des contrevenants, l’APD considérant que des mandataires publics se doivent d’être d’autant plus respectueux de la réglementation et faire preuve d’une exemplarité irréprochable.

Ce qu’il faut retenir : L’autorité Belge prévoit d’être intransigeante concernant la gestion des données dans le cadre de campagnes électorales, estimant qu’il s’agit de garantir la confiance des citoyens dans le système électoral et ainsi la démocratie. L’APD rappelle qu’elle a publié sur son site un guide concernant la gestion des données et les élections : https://www.autoriteprotectiondonnees.be/elections.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/belgian-data-protection-authority-imposes-two-new-fines_en


# 27/11/2019 – France – La CNIL présente un plan d’action pour les élections municipales de 2020

Lors des élections municipales de 2020, plusieurs opérations de communication politique seront effectuées auprès des électeurs. Ces dernières utiliseront parfois des données personnelles ce qui imposera leur conformité aux dispositions du RGPD. Pour ce faire, la CNIL a déjà tout prévu : un plan d’action dressé en amont desdites élections afin de veiller au bon respect des dispositions du RGPD.

En effet, elle a été saisie de plusieurs signalements d’électeurs soucieux et s’interrogeant quant à l’utilisation de leurs données personnelles par les candidats aux élections municipales.

La CNIL a donc pris ses dispositions pour dresser un plan d’action qui prévoit en particulier :

  • Une mise à jour des contenus mis à disposition sur son site internet concernant la communication politique et les droits des électeurs prévus par le RGPD afin de pouvoir informer tant les candidats que les partis politiques sur le cadre juridique prévu ;
  • Des conseils pour les partis politiques et candidats afin de leur permettre de mettre en place les bonnes pratiques ;
  • Une mise à disposition de la « plateforme de signalement » sur son site internet permettant à quiconque de signaler toute pratique qui serait jugée non conforme ; pourront donc en découler des contrôles de la CNIL ainsi que des mesures correctrices ;
  • D’apporter une vigilance particulière aux services de prospection politique : pour ce faire, des vérifications sont opérées auprès des prestataires de service de prospection politique afin d’en savoir plus sur les pratiques en la matière.

Un courrier sera adressé aux principales formations politiques comprenant ledit plan d’action et leur rappelant leurs principales obligations. Un état des lieux sera prévu à l’issue des élections.

Pour en savoir plus : https://www.cnil.fr/fr/vie-politique-et-citoyenne et https://www.cnil.fr/fr/communication-politique-la-cnil-presente-un-plan-daction-loccasion-des-elections-municipales-2020


# 21/11/2019 – France – CNIL – Condamnation de la société FUTURA INTERNATIONALE pour démarchage téléphonique illégal >> 500K€

Les faits : La société FUTURA INTERNATIONALE est spécialisée dans l’isolation thermique des domiciles des particuliers et procède à du démarchage téléphonique dans le cadre de son activité via plusieurs prestataires situés principalement hors de l’Union Européenne (Côte d’Ivoire, Maroc, Tunisie).

La CNIL a été saisie d’une plainte le 6 février 2018, faisant état qu’une personne était sujette audit démarchage et ce, malgré une opposition à la prospection exprimée oralement auprès des opérateurs ainsi que par courrier au siège de la société.

La CNIL a donc effectué un contrôle sur place lui permettant de constater que plusieurs courriers avaient été reçus par la société sur des personnes témoignant leur mécontentement quant au fait d’être démarchées malgré leur opposition.

Par ailleurs, la CNIL a notamment constaté :

-que les données des clients étaient présentes dans un logiciel de gestion de la clientèle dans lequel les téléopérateurs pouvaient y associer des commentaires à destination des employés. Parmi ces commentaires, nombre d’entre eux concernaient l’état de santé des personnes démarchées ou des propos injurieux à leur encontre ;

-que les personnes n’étaient pas correctement informées du traitement effectué ainsi que de l’enregistrement des conversations téléphoniques.

En octobre 2018, la CNIL a donc mis en demeure la société de se mettre en conformité dans un délai de 2 mois en mettant en place des mesures correctives, après avoir constaté des manquements sur les points suivants :

Manquement au respect du droit d’opposition des personnes : Pas de procédure permettant de s’assurer de façon efficace que les personnes s’étant opposées au démarchage ne soient plus rappelées.

Manquement à l’obligation de traiter des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées : Présence de commentaires injurieux ou en lien avec la santé des personnes dans le fichier client.

Manquement à l’obligation d’information : Lors du démarchage téléphonique, pas d’information des personnes sur le traitement de leurs données personnelles et les droits dont elles disposent.

Manquement à l’obligation de coopérer avec l’autorité de contrôle : Communication de réponses partielles malgré l’acceptation de prolongation de délais par la CNIL. Absence de prise en compte des notifications et des mesures exigées dans la mise en demeure.

Manquement à l’obligation d’encadrer les transferts de données à caractère personnel hors de l’Union européenne : Transfert de données vers des pays hors UE n’assurant pas un niveau de protection adéquat. Clauses contractuelles insuffisantes et contrats non finalisés et/ou non signés avec les partenaires.

Sanction : Amende de 500K€, soit environ 2,5% du CA de la société (chiffre d’affaires d’environ vingt-sept millions d’euros en 2017 et 20 millions d’euros en 2018), la société ne s’étant pas mise en conformité à la suite de la mise en demeure, mais seulement partiellement ou postérieurement au délai imposé.

Publication de la décision : Compte-tenu du manque de collaboration de la société, du nombre de manquements, de leur persistance et de leur gravité

Ce qu’il faut retenir : La CNIL a ici constaté que parmi les obligations non respectées, certaines étaient antérieures au RGPD et n’a donc pas jugé pertinentes les difficultés de la société à implémenter un nouveau texte légal dans son organisation. Elle entend particulièrement ici faire respecter les droits des personnes, et il est prudent d’éviter la présence de zone de texte libre dans les logiciels et bases de données de gestion d’information personnelles afin d’éviter que ne soient saisies des informations inutiles à la finalité recherchée et dommageables, ou a minima de les limiter et de sensibiliser les équipes sur les bonnes pratiques de saisie. Par ailleurs, il ne faut pas minimiser le devoir de coopération avec la CNIL dont le manque est sanctionnable en tant que tel.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039419459&fastReqId=461698027&fastPos=1


# 12/11/2019 – France – CNIL – Au tour du Ministère de l’intérieur d’être dans le collimateur de la CNIL ! >> Mise en demeure

Par une délibération en date du 12 novembre 2019, la CNIL a mis en demeure le ministère de l’intérieur de se mettre en conformité sous 3 mois concernant des manquements constatés sur le traitement des données à caractère personnel effectué dans le cadre du traitement automatisé des radars tronçons.
Les faits :

Les radars tronçons permettent de calculer la vitesse moyenne d’un véhicule moyennant deux bornes espacées de plusieurs kilomètres.

Ces derniers sont équipés du système LAPI (lecture automatique des plaques d’immatriculation) permettant de prendre des clichés des véhicules, relever la plaque d’immatriculation ainsi que l’heure exacte du passage du véhicule. A partir ce ces informations, le logiciel calcule la vitesse moyenne pratiquée sur le tronçon par chaque véhicule. Tout dépassement de la vitesse maximale autorisée est envoyé au Centre national du contrôle automatisé de Rennes chargé de l’envoi des contraventions. Les données collectées concernent aussi bien les véhicules ayant commis une infraction que les autres et constituent des données à caractère personnel : numéros de plaque d’immatriculation (même tronqués) couplés, à un horodatage et une localisation, clichés des véhicules et de leurs passagers.
La CNIL a effectué 3 contrôles sur place, y-compris auprès du prestataire en septembre, octobre et décembre 2018, concernant les radars tronçons, lui permettant de constater plusieurs manquements.
Manquement à l’obligation d’appliquer une durée de conservation des données proportionnée à la finalité du traitement :

L’arrêté du 13/10/2004, portant création d’un système de contrôle automatisé, prévoit une durée de conservation de maximum 24h concernant les plaques d’immatriculation des véhicules n’ayant pas commis d’infraction. Or, le Ministère de l’intérieur applique une durée de conservation de 13 mois pour les numéros complets et de 4 ans pour les numéros tronqués de deux caractères.

Concernant les données sur les véhicules en infraction ayant fait l’objet de contravention, la CNIL a constaté que certaines données étaient conservées depuis plus de 13 ans alors que la durée de conservation maximale prévue par l’arrêté est de 10 ans.

Manquement à l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel :

Lors des contrôles effectués par la CNIL, il a notamment été constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès ainsi qu’une gestion insuffisante des droits d’accès à l’application au niveau du prestataire.

Décision : la CNIL met en demeure le Ministère de se mettre en conformité sous trois mois en :

– supprimant les données conservées au-delà de la durée prévue

– mettant en place et un système de purge permettant de veiller au respect des durées de conservation

– adoptant toutes les mesures techniques et organisationnelles permettant d’assurer la sécurité et confidentialité des données et en adoptant une durée de conservation proportionnée à la finalité du traitement

– justifiant de ces démarches auprès de la CNIL.

La CNIL a décidé de rendre publique cette mise en demeure compte tenu :

– du nombre particulièrement important de personnes pouvant être impactées par ledit traitement
– du risque au regard de la vie privée s’agissant notamment de la collecte de données relatives aux déplacements des personnes.

Pour en savoir plus :

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445820&fastReqId=190592425&fastPos=2 et https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039445875&fastReqId=1838018625&fastPos=1


# 11/11/2019 – Découverte d’une fuite massive de données chez Genius, la solution de caisse enregistreuse tactile éditée par La Poste

L’application Genius, via Android, est un logiciel de gestion de caisse, de stocks et d’inventaire proposé par le groupe La Poste.

Une base de données de 15Go portant 23 millions de données concernant des vendeurs, clients et fournisseurs aurait été exposée sur le web en raison d’un manque de sécurisation des serveurs et de l’absence de règles d’authentification suffisantes.

Il s’agirait d’informations sur les paiements via l’application, d’adresses e-mails, noms, numéros de téléphone, factures, etc.

Cette faille a été détectée par les hackeurs éthiques de VPNMentor le 11 novembre et signalée à La Poste le 13. La Poste a averti la CNIL le 18 novembre et n’a mis fin à la violation de données que le 8 décembre.

La Poste répond en précisant que le nombre de données concernées serait plus faible qu’annoncé et ne concernerait pas des données sensibles.

Ce qu’il faut retenir : En cas de fuite de données, la responsabilité du responsable de traitement peut être engagée s’il n’avait pas pris les mesures techniques et organisationnelles pour assurer la confidentialité des données. Il est également impératif de mettre fin à la faille détectée de manière aussi immédiate que possible, d’alerter la CNIL et, dans certains cas, d’alerter les personnes concernées.


# 06/11/2019 – Pologne – Condamnation de la société ClickQuickNow Sp. z oo pour entrave à l’exercice du droit de retirer son consentement >> 201K PLN (environ 47K€)

Rappelons tout d’abord que tout traitement fondé sur le consentement de la personne concernée implique le droit pour cette dernière de pouvoir retirer son consentement à tout moment. Le retrait met alors fin au traitement concerné. Par ailleurs, le consentement doit pouvoir être retiré aussi facilement qu’il a été donné.

Les faits : En février 2019, la société ClickQuickNow Sp. z oo fait l’objet d’un contrôle d’office de l’Autorité polonaise de protection des données. A l’occasion de ce dernier, celle-ci est épinglée à l’égard de son process de gestion des demandes de retrait du consentement.

La société ClickQuickNow disposait d’un fichier de données personnelles collectées sur la base du consentement et traitées à des fins de publicité ciblée.

Tous les emails et SMS publicitaires envoyés par celle-ci contenaient un lien « retrait du consentement ».

En cliquant sur ce lien, l’utilisateur était redirigé vers le site de la société, où il lui était demandé d’indiquer la raison de son retrait (étape 1), sachant qu’il devait impérativement choisir entre deux réponses prédéfinies « A : je reçois des publicités qui ne m’intéressent pas » ou « B : je reçois trop souvent des annonces » afin de poursuivre sa demande.

Après avoir sélectionné l’une des deux options, l’utilisateur était redirigé vers une page intitulé « votre retrait de consentement aujourd’hui » (étape 2) avec un message le remerciant pour sa réponse et lui rappelant ses droits et la manière de les exercer (accès, rectification, suppression, limitation, portabilité, opposition, retrait du consentement et droit de déposer une plainte auprès d’une autorité de protection des données).

L’utilisateur devait ensuite suivre les indications figurant dans le message pour effectivement retirer son consentement (étape 3).

L’autorité polonaise constate plusieurs manquements dans cette procédure :

Manquement à l’obligation de fournir aux personnes concernées un exercice facile de leur droit de retirer leur consentement au traitement de leurs données personnelles

Le retrait du consentement ne devrait pas être conditionné à l’indication, par la personne concernée, des motivations de sa demande. Par ailleurs, la procédure de retrait imposée par la société ClickQuickNow était trop complexe et trop longue, avec plus de trois étapes pour retirer son consentement (alors que donner son consentement ne nécessitait a priori qu’une seule étape).

Violation du principe de transparence et de fiabilité dans l’exercice du droit de retrait du consentement

Le message intitulé « votre retrait de consentement aujourd’hui » qui était envoyé aux utilisateurs était trompeur. En effet, celui-ci laissait penser que la demande de retrait avait été traitée, alors même que ce n’était pas le cas et qu’une étape supplémentaire était nécessaire.

Violation du droit d’obtenir la suppression des données en utilisant la procédure de retrait du consentement

La société aurait dû supprimer les données à partir du moment où les personnes concernées avaient manifesté leur volonté de retirer leur consentement. Or, leurs données n’étaient effectivement supprimées que si les utilisateurs passaient par la 3ème étape, qui en pratique n’était jamais suivie, puisqu’elles étaient trompées par le message adressé en étape 2, « votre retrait de consentement aujourd’hui », qui leur laissait penser que le nécessaire était déjà fait.

Manquement au principe de licéité du traitement

En poursuivant le traitement des données alors même que les personnes concernées avaient exprimé leur volonté de retirer leur consentement, la société ClickQuickNow effectuait un traitement dépourvu de base légale.

Sanction :

– Amende de 201.000 zlotys (soit environ 47K€), tenant compte du fait que l’entrave au droit de retrait était manifestement intentionnelle, l’autorité polonaise ayant estimé que la société ClickQuickNow avait pleinement conscience de la complexité de sa procédure de retrait,

– Mise en demeure de remédier aux manquements sous 14 jours.

Publication de la décision : En raison de la gravité de la violation.

Ce qu’il faut retenir : Il est non seulement indispensable de prévoir une procédure d’exercice de leurs droits par les personnes concernées, mais également de faire en sorte que celle-ci soit la plus simple et efficace possible. Les entreprises ont intérêt, dans la mesure du possible, à prévoir une procédure de retrait du consentement qui soit automatisé, par exemple par le biais d’un bouton de retrait qui permette, en 1 clic et sans condition, d’exercer son droit.

Il est aussi primordial de gérer efficacement l’après : le retrait du consentement doit aboutir à la cessation du traitement voir à la suppression des données (si elles ne doivent pas être conservées pour une autre finalité légitime qui reposerait par exemple sur la nécessité d’exécuter une obligation légale ou contractuelle, ou sur un intérêt légitime du responsable de traitement).

Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPR.421.7.2019.


# 05/11/2019 – CNIL – Mise en demeure de la société Boutique.Aéro concernant son système de videosurveillance

Faits : La société Boutique.Aéro est spécialisée dans le commerce de gros de fournitures et équipement aéronautiques (7 salariés 1.7M€ de CA en 2017)

Elle fait l’objet en octobre 2018 d’un signalement par la DIRECCTE (Occitanie) auprès de la CNIL concernant la présence dans un de ses magasins de caméras qui filmeraient en continue les postes de travail des salariés.

Elle est donc contrôlée, sur place, par la CNIL qui constate la présence, notamment de deux caméras filmant en continu un poste de travail (caisse du magasin) et un emplacement pour la préparation de commandes, non ouvert au public et d’une autre caméra filmant une zone non ouverte au public correspondant à un couloir desservant plusieurs bureaux de salariés.

Elle constate également que les images des caméras de vidéosurveillance sont accessibles à partir d’un protocole http, en temps réel, depuis une connexion au logiciel de gestion accessible, en interne et en externe, par l’ensemble des salariés, à partir de chaque poste informatique du magasin au moyen de mots de passe préenregistrés depuis un compte générique et un compte individuel ou depuis une connexion à partir d’un poste informatique extérieur au moyen d’identifiants.

A l’occasion du contrôle, la société confirme que :

-elle a mis en place en 2010, dans sa boutique, un système de vidéosurveillance comportant 14 caméras

-la finalité du traitement consiste à prévenir les atteintes aux salariés et aux biens ainsi qu’à localiser les salariés

-aucun registre des traitements n’était tenu.

-le prestataire en charge de la maintenance informatique a connaissance des identifiants de connexion à ce logiciel et peut accéder aux images à distance.

-l’information relative à la présence d’un dispositif de vidéoprotection était délivrée aux salariés par une mention inscrite dans leur contrat de travail.

Manquement à l’obligation de minimisation

Un dispositif de vidéosurveillance destiné à la localisation et la surveillance permanente des salariés par le gérant n’est pas légitime ni proportionnée.

Manquement à l’obligation d’informer les personnes

L’information qui délivrée dans le contrat de travail des salariés est incomplète en ce qu’elle ne porte que sur la présence du dispositif de vidéoprotection à des fins de protection contre le vol et ne contient pas l’ensemble des mentions d’information prévues au RGPD.

Manquement à l’obligation de veiller à la sécurité des données personnelles traitées par un sous-traitant

La société n’a pas conclu de contrat, comprenant les obligations prévues au RGPD, avec le prestataire informatique (ayant connaissance des identifiants de connexion au logiciel permettant d’accéder aux images vidéo à distance.

Un manquement à l’obligation d’établir un registre des activités de traitement

L’obligation de tenir un registre de ses activités de traitement ne s’applique pas à une entreprise comptant moins de 250 employés, sauf si le traitement n’est pas occasionnel, ce qui n’est pas le cas ici.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’ensemble des salariés n’a pas à accéder aux images vidéo en temps réel.

Le pré-enregistrement de mots de passe et identifiants équivaut à une absence de mot de passe et d’identifiants.

L’accès aux images vidéo des caméras par la connexion au logiciel de gestion de la société doit se faire par une connexion chiffrée (protocole https).

Décision : Une mise en demeure de :

– Sous 10 jours : cesser de traiter les images issues vidéo pour localiser les salariés et ne traiter que des données pertinentes, adéquates et limitées à ce qui est nécessaire au regard de la protection des biens et des personnes (donc adapter le dispositif pour ne pas filmer en continu les salariés sur leur poste de travail, en supprimant ou réorientant les caméras) et sécuriser le traitement / l’accès aux flux vidéo des caméras, avec une restriction de connexion à des comptes individuels (via des identifiants et mots de passe qui ne soient pas pré-enregistrés) ayant des habilitations en fonction de leurs missions) et un protocole de chiffrement

– Sous 2 mois : établir un registre des activités de traitement, informer les personnes concernées, par exemple, via un document annexé au contrat de travail ou une note de service remise contre émargement ou le règlement intérieur mis à jour ; établir un contrat adéquat avec la société de prestation informatique ; justifier de ces démarches auprès de la CNILdans les délais impartis.

Publication de la décision : Compte-tenu de la gravité des manquements (caractère excessif du système de vidéosurveillance et insuffisance de l’information délivrée aux salariés) et à des fins de pédagogie.

Ce qu’il faut retenir : Le fait de filmer en continu le poste de travail d’un salarié est disproportionné, sauf circonstance particulière tenant, par exemple, à la nature de la tâche à accomplir (ex. Lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones).

Le responsable de traitement doit fournir, au moment où les données sont collectées, les informations relatives à son identité et ses coordonnées, celles du délégué à la protection des données, les finalités du traitement et sa base juridique, les destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.

Il est impératif d’encadrer la relation entre un responsable de traitement et son sous-traitant par une clause contractuelle conforme aux dispositions prévues par le RGPD.

L’absence de définition de profils d’habilitation afin de limiter les accès des utilisateurs aux seules données dont ils ont besoin ne permet pas d’assurer la confidentialité et la sécurité des données.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466203&fastReqId=105441404&fastPos=2 et https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039466238&fastReqId=1400270167&fastPos=1


# 31/10/2019 – Pologne – Première condamnation d’une entité publique polonaise >> 40K PLN (environ 9K€)

Les faits : en juin 2019, la mairie d’une ville polonaise fait l’objet d’un contrôle d’office de l’Autorité locale de protection des données. Ce dernier révèle plusieurs manquements au RGPD :

Manquement à l’obligation de régir par un contrat écrit ses relations avec ses sous-traitants de données personnelles

La mairie avait fait appel à un prestataire pour héberger les données contenues dans le bulletin d’information local (dont des données à caractère personnel). L’hébergeur était donc sous-traitant de données personnelles à l’égard de la municipalité. Or aucun contrat n’avait été conclu avec ce prestataire.

Manquement à l’obligation de conserver les données personnelles pour une durée limitée

La mairie avait omis de mettre en place un système permettant de tracer la date de collecte des données personnelles, et donc de calculer la date à laquelle elles devraient être supprimées. En conséquence, des déclarations foncières datant de 2010 étaient toujours disponibles dans le bulletin d’information local, alors que la règlementation applicable exigeait qu’elles ne soient pas conservées au-delà de 6 ans.

Manquement à l’obligation d’assurer l’intégrité et la confidentialité des données personnelles

Les documents enregistrés lors des réunions du conseil municipal n’étaient disponibles que via un lien vers une chaîne Youtube dédiée. Aucune copie n’était conservée par la municipalité, de sorte qu’en cas de perte des données stockées sur le réseau en question, celles-ci disparaitraient définitivement.

Manquement au principe de responsabilité

La mairie n’a mené aucune analyse des risques préalablement à la publication des données personnelles sur un réseau social, Youtube, accessible librement.

Manquement à l’obligation de tenir un registre de ses activités de traitement de données personnelles

Le registre de la municipalité était incomplet car il ne contenait ni les destinataires des données (y-compris les sous-traitants), ni leur durée de conservation.

Sanction :

– Amende de 40.000 zlotys (environ 9K€) tenant compte du fait que la municipalité n’a pas coopéré avec l’Autorité de contrôle et que, suite à celui-ci, elle n’a pris aucune mesure pour corriger ses manquements ni prévenir de futures infractions. La municipalité n’a donc pas pu bénéficier de circonstances atténuantes. Ceci étant, l’autorité polonaise a tenu compte, dans la fixation du montant de l’amende, de la nature d’entité publique de la mairie, et de son budget pour les années 2018 et 2019.

– Mise en demeure de remédier aux manquements sous 60 jours.

Publication de la décision : A des fins de prévention, pour encourager les responsables de traitement à faire preuve de diligences dans le respect de leurs obligations et pour dissuader tant la mairie condamnée que d’autres responsables de traitement, de violer la loi polonaise en matière de données personnelles.

Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPU.421.3.2019


# 24/10/2019 – Conseil d’État – Validation du décret du 24/05/2018 autorisant les responsables des entreprises de transport routier de marchandises et de voyageurs à consulter les données personnelles relatives aux permis de conduire de leurs conducteurs

Faits : Par une requête en date du 25 juillet 2018 ainsi qu’un mémoire complémentaire et en réplique en date des 25 octobre 2018 et 8 octobre 2019, la fédération des transports et de la logistique FO-UNCP a demandé l’annulation pour excès de pouvoir du décret du 24/05/2018 qui précise les conditions d’accès aux informations des traitements de données personnelles relatifs aux permis de conduire et à la circulation des véhicules, par les entreprises de transport. En effet, cette fédération considérait cette possibilité excessive alors qu’avant ce décret, les informations relatives à la validité du permis de conduire n’étaient directement consultables que par les autorités policières et judiciaires, les sociétés d’assurance et le titulaire du permis lui-même.

Décision : Le Conseil d’Etat considère que :

– Les autorisations d’accès conférées par le décret ne vont pas au-delà de ce qui est nécessaire pour répondre aux finalités poursuivies par le traitement (sécurité routière) et ne sont pas contraires à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, relatif au droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance,

– Le système national des permis de conduire poursuit notamment un objectif de sécurité routière aux fins de lutte contre les infractions routières qui justifie que certains personnels des entreprises qui exercent une activité de transport aient un accès direct à certaines informations dudit système afin de s’assurer de la validité du permis de conduire des personnes employées en tant que chauffeur,

– L’accès direct aux données personnelles du permis de conduire par ces personnes est limité à certaines informations ciblées : relatives à l’existence, la catégorie et la validité du permis de conduire, à l’exclusion du nombre de points affectés au conducteur et des éventuelles infractions pénales commises.

Le Conseil d’Etat a établi que la finalité de sécurité routière n’aurait pas pu être atteinte par le biais d’un accès indirect « compte tenu du volume potentiel des demandes qui seraient susceptibles d’être adressées à l’autorité administrative ». Seules les personnes habilitées et individuellement désignées au sein des entreprises de transport routier de voyageurs ou de marchandises auront un accès sécurisé aux données concernées.

Ce qu’il faut retenir : Bien que l’article 8 de la CEDH prime sur bon nombre de prérogatives régaliennes, il convient de garder à l’esprit que, comme le rappelle le Conseil d’Etat dans la présente décision, l’ingérence dans la vie privée des individus, constituée par la collecte, la conservation ainsi que le traitement de données personnelles, peut être autorisée si elle répond à des finalités légitimes et que « le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités ». Les finalités de traitement (leur justification et le juste équilibre entre l’accès aux données et leur utilité) restent donc le cœur du système.

Pour en savoir plus : https://www.legalis.net/jurisprudences/conseil-detat-10eme-9eme-ch-reunies-decision-du-24-octobre-2019/


# 23/10/2019 – Autriche – DSK – Amende pour le service postal autrichien >> 18M€

L’autorité Autrichienne de Protection des Données, la Datenschutzkommisson (DSK) a affirmé qu’après étude de plusieurs éléments de preuves, l’ÖPAG (service postal autrichien) avait commis plusieurs violations au RGPD :

  • Traitement de données personnelles en lien avec les convictions politiques des personnes concernées
  • Traitement ultérieur des données relatives à la fréquence des colis et des délocalisations à des fins de marketing direct

La sévérité de la décision est notamment prévue à titre préventif d’autres violations à venir.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_en


# 16/10/2019 : Le Conseil d’Etat autorise la CNIL à « laisser-faire » en matière de cookies et autres traceurs

Faits : Par un communiqué en date du 28 juin 2019, la CNIL annonce avoir élaboré un plan d’actions pour l’année 2019-2020 visant à préciser les règles applicables en matière de ciblage publicitaire en ligne et permettant d’accompagner les acteurs dans leur mise en conformité auxdites règles.

Par un autre communiqué publié sur son site le 18 juillet 2019, la CNIL a apporté des précisions sur sa délibération à savoir qu’elle engagerait une concertation pour permettre l’adoption d’une recommandation visant à préciser les modalités pratiques du recueil du consentement pour le dépôt des cookies et autres traceurs de connexion, prévue au premier trimestre 2020.

Enfin, elle prévoit une période d’adaptation de 6 mois après ladite recommandation destinée à permettre aux opérateurs d’intégrer ces nouvelles règles et de se mettre en conformité.

Les associations « La Quadrature du net » et « Caliopen » reprochent à la CNIL de demeurer dans un esprit de pédagogie et de refuser d’user de ses prérogatives pour sanctionner les manquements aux règles applicables en matière de cookies et traceurs, alors que le RGPD est applicable depuis 2018 et que les entreprises avaient 2 ans pour s’y préparer. Par requête en date du 29 juillet 2019, elles saisissent le Conseil d’Etat en demandant notamment :

  • L’annulation pour excès de pouvoir de la décision de la CNIL révélée les 28 juin et 18 juillet 2019 par des communiqués de presse,
  • Une injonction à la CNIL de publier un encart, sur la page d’accueil de son site web et sur les pages de ses communiqués des 28 juin et 18 juillet, sous astreinte de 500 €/jour de retard, faisant référence à la décision du Conseil d’Etat et indiquant que « la poursuite de la navigation » ne répond pas aux conditions de validité du consentement en matière de cookies et de traceurs en ligne,

Sur la fin de non-recevoir opposée par le CNIL : Il est établi que le plan d’action élaboré par la CNIL constitue une prise de position publique quant aux maniements des prérogatives dont elle dispose, notamment en matière répressive, qui a pour objet d’influer sur le comportement des opérateurs auxquels elle s’adresse. A cet égard, l’objet social de cette prise de position concerne la défense des libertés sur internet et la protection de la confidentialité des données personnelles, ce qui la rend dommageable pour les associations qui sont donc recevables à en demander l’annulation. La fin de non-recevoir est donc écartée.

Sur la légalité de l’acte attaqué : Le CE confirme que la CNIL a établi que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement » à un traitement de données personnelles.

Il rappelle par ailleurs que la CNIL dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir.

Elle est donc libre d’informer de sa pratique et a d’ailleurs souligné que pendant la période de transition envisagée elle continuera à contrôler le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage.

Le CE a été considéré que la période d’adaptation de 6 mois durant laquelle la CNIL ne mettra pas en mouvement son pouvoir répressif concernant la poursuite de la navigation comme expression du consentement permettra, à son terme aux opérateurs de respecter les principes de consentement et d’information préalable des internautes (sur les finalités de cookies et les moyens pour s’y opposer) en leur permettant d’être accompagnés dans l’objectif d’une complète mise en conformité d’ici l’été 2020.

Décision : Le Conseil d’Etat rend sa décision le 16 octobre 2019. La requête des associations y est rejetée, le Conseil d’Etat ayant décidé qu’en fixant, à échéance raisonnable, une obligation de mise en conformité que ses pouvoirs répressifs ne seraient pas susceptibles de faire respecter plus rapidement, la CNIL n’a pas porté atteinte au droit au respect de la vie privée et au droit à la protection des données personnelles. Le Conseil d’Etat confirme ainsi la liberté de la CNIL, dans son pouvoir d’appréciation de l’opportunité de sanctionner ou non et de ses méthodes pour parvenir au respect de la réglementation. A noter, par ailleurs, que la CNIL n’a pas exclu la possibilité de faire usage de ses prérogatives répressives notamment en cas d’atteinte particulièrement grave aux principes précités.

Ce qu’il faut en retenir : L’impact de cette décision pour les entreprises doit être mesuré car s’il est admis que la CNIL puisse décider de laisser davantage de temps pour la mise en conformité des bandeaux cookies (rappelons que le bandeau cookies du site de la CNIL est lui-même resté non conforme plusieurs mois après l’entrée en vigueur du RGPD…), on ne peut aucunement en tirer que la CNIL ne sanctionnera pas les comportements fautifs avant mi-2020.

Il y a sans doute un certain laxisme à permettre de ne pas sanctionner immédiatement la collecte illicite de cookies et traceurs (qui porte effectivement atteinte à la vie privée des internautes concernés), d’autant que dans une démarche de mise en conformité d’une entreprise, la revue du bandeau cookies et la mise en place d’un process adapté/légal ne fait pas partie des opérations les plus complexes.

Il est assez amusant et symptomatique de constater que la collecte de cookies sur le site même du Conseil d’Etat est, au moment de sa décision, basée sur un consentement du seul fait de la navigation sur le site …

Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-16-octobre-2019-plan-d-action-de-la-cnil-en-matiere-de-publicite-ciblee


# 01/10/2019 – Roumanie – ANSPDCP – Condamnation des sociétés Raiffeisen Bank S.A. and Vreau Credit S.R.L. >> 150K€ et 20K€

Faits : A la suite de la notification d’une violation des données à caractère personnel l’ANSPDPC a ouvert une enquête sur les traitements de Raiffeisen Bank SA.

En effet, 2 employés de Raiffeisen Bank SA, utilisant les données des documents d’identité de certaines personnes physiques, transmises par la société Vreau Credit SRL via l’application mobile WhatsApp, ont interrogé le système de crédit bancaire pour obtenir des données en vue de déterminer l’admissibilité au crédit de ces personnes, par le biais de 1194 simulations de présélection sur 1177 personnes. Ils ont également consulté la base de données de l’Agence nationale de l’administration fiscale pour 124 personnes. Les simulations de présélection ont été effectuées à l’aide de l’application informatique utilisée par Raiffeisen Bank SA dans le cadre de l’activité de crédit et la décision de crédit négative a été communiquée par les employés de Raiffeisen Bank SA aux employés de Vreau Credit SRL, sans respecter les procédures internes.

Décision : L’ANSPDPC sanctionne Raiffeisen Bank SA après avoir constaté que la société n’avait pas mis en œuvre :

– les mesures appropriées pour garantir que toute personne physique agissant sous son autorité et ayant accès aux données personnelles traite les données uniquement à la suite de sa demande

– les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité suffisant et n’a pas évalué les risques présentés par le traitement

Cette situation a entraîné un accès non autorisé aux données à caractère personnel traitées via l’application informatique utilisée par Raiffeisen Bank SA dans le cadre de l’activité de crédit et à la divulgation non autorisée de données personnelles par les employés de la banque.

L’ANSPDPC sanctionne également Vreau Credit SRL pour violation de la sécurité des données, mais également au motif que l’entreprise ne lui a pas notifié la violation alors même qu’elle avait eu connaissance de l’incident depuis décembre 2018.

Sanctions : Amendes de 150K€ et 20K€.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/romanian-supervisory-authority-fines-raiffeisen-bank-sa-and-vreau-credit-srl_en


01/10/2019 – CJUE – Dans l’affaire Planet49, la CJUE se prononce sur les conditions de validité du consentement

Les faits : La société Planet49 Gmbh a été poursuivie par la Fédération allemande des organisations des consommateurs car elle proposait sur le site Internet www.dein-macbook.de un jeu dont les conditions en termes de respect de la vie privée des internautes utilisateurs sont remises en cause dans cette affaire en ce qui concerne les modalités d’obtention du consentement et la nature des informations à communiquer aux personnes concernées.

En effet, les internautes souhaitant participer à ce jeu étaient dirigées vers une page web avec deux mentions accompagnées de cases dont :

  • la 1ère n’était pas cochée par défaut : destinée à accepter de recevoir de sponsors et partenaires des informations de promotions, par voie postale, téléphone, courrier électronique ou message SMS, (en cliquant sur un lien, l’utilisateur pouvait refuser son accord pour les sponsors et partenaires de son choix)
  • La 2nde était cochée par défaut : destinée à accepter l’installation de cookies sur le terminal de l’utilisateur, pour analyser ses navigations sur le web et ses visites sur les sites web des partenaires publicitaires et lui adresser de la publicité centrée sur ses intérêts.

La Fédération a gagné le procès en 1ère instance devant les tribunaux allemands, puis un appel et un pourvoi ont été formés devant la Cour Fédérale de justice allemande qui a décidé de surseoir à statuer afin de poser deux questions préjudicielles à la CJUE concernant :

– La validité du consentement en cas de case pré cochée ;

– Les informations à fournir, par la société, pour s’assurer du respect d’un consentement éclairé des internautes.

Décision : Conformément aux conclusions de l’avocat général, la CJUE affirme ici que le consentement n’a pas été recueilli de manière valable : libre, informé, univoque et spécifique.

Ce qu’il faut retenir :

1- La CJUE rappelle les dispositions très claires du RGPD selon lequel une action de l’utilisateur est nécessaire pour exprimer son consentement, ce qui implique nécessairement la manifestation d’une volonté par un comportement actif et non pas passif, ce qui ne peut être le cas au moyen d’une case cochée par défaut que l’utilisateur devrait décocher pour refuser de donner son consentement.

De même, le fait pour un utilisateur d’activer un bouton de participation/validation pour accéder à un produit ou un service ne peut suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies, le consentement devant être spécifique à une et à chaque finalité particulière.

2- En matière de cookies, la nécessité d’obtention du consentement doit être interprétée de la même manière lorsque les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet ne collectent pas de données à caractère personnel à proprement parler (en application de la Directive 2002/58), l’objectif étant de protéger l’utilisateur contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement terminal à son insu et contre toute ingérence dans sa vie privée. Il est rappelé que toute information stockée sur l’équipement terminal de l’utilisateur d’un réseau de communications électroniques relève de la vie privée de l’utilisateur, indépendamment du point de savoir si ces informations concernent ou non des données personnelles.

3- La CJUE confirme que la durée de fonctionnement des cookies (ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée) ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies font partie de l’information claire et complète devant être fournie à l’utilisateur.

4- Enfin, il est à noter que la Cour n’a pas été saisie ici de la question de savoir si le fait que le consentement d’un utilisateur au traitement de ses données personnelles à des fins publicitaires conditionne la possibilité d’accéder à un produit ou un service (ici participer à un jeu promotionnel), est compatible avec l’exigence d’un consentement « libre ».

La CJUE n’a donc pas examiné cette question, mais le seul fait qu’elle l’ait soulevée laisse à notre avis entrevoir qu’un tel consentement ne serait probablement pas considéré comme libre.

Pour en savoir plus : https://curia.europa.eu/juris/document/document.jsf;jsessionid=AD9241541A2CA0BEA56E43097D4FB548?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1978919


# 24/09/2019 – La CJUE précise les contours et conditions du droit au déréférencement

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms qui apparaissent à partir d’une recherche faite sur son identité. Il ne permet pas en revanche de demander l’effacement de l’information sur le site internet source.

Dans deux arrêts du 24/09/2019, la CJUE apporte d’importantes précisions sur ce droit.

Droit au déréférencement et informations sensibles

Le droit au déréférencement n’a pas un caractère automatique : les moteurs de recherche ne sont donc pas tenus d’accepter toutes les demandes de déréférencement, mais seulement celles qui leur semblent justifiées, après analyse et mise en balance du droit à la vie privée du demandeur et du droit à l’information des internautes.

La CJUE précise cependant que si la demande porte sur des liens menant vers des sites contenant des informations sensibles sur le demandeur, le droit à la vie privée est présumé avoir la primauté sur le droit à l’information. Il est donc en principe obligatoire pour le moteur de recherche de s’exécuter, sauf à démontrer que le lien en question s’avère strictement nécessaire pour protéger la liberté d’information des internautes.

Portée géographique du droit au déréférencement

Tandis que la CNIL, en 2016, avait estimé qu’une personne vivant en France devait bénéficier d’un droit au déréférencement de portée mondiale (couvrant toutes les informations accessibles sur celles-ci, quel que soit le lieu où la recherche est faite), la CJUE adopte une approche plus restrictive. Ce droit est ainsi limité en principe aux recherches effectuées depuis le territoire de l’Union européenne, à charge pour les autorités de contrôle des Etats membres d’obliger le moteur de recherche, si cela est justifié, à appliquer un déréférencement mondial. La CJUE a en effet reconnu aux autorités nationales un pouvoir d’appréciation en la matière : à l’issue d’une mise en balance entre protection de la vie privée et des données du demandeur, d’un côté, et droit à la liberté d’information, de l’autre, la CNIL (en France) pourrait obliger un moteur de recherche à déréférencer un contenu accessible à partir de l’ensemble des versions du moteur de recherche et pas seulement au niveau européen.

Pour en savoir plus :

https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=903295

https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=903374


# 20/09/2019 – Pologne – Condamnation de la société Morele.net pour manquement à l’obligation de sécurité >> 2,8 M PLN (environ 645K€) 

Les faits : Morele.net exploite une dizaine de sites e-commerce en Pologne et dispose à ce titre d’une base de données personnelles concernant 2,2 millions de clients.

En novembre 2018, des clients de Morele.net informent la société qu’ils ont reçu des SMS leur demandant un versement complémentaire pour valider leurs commandes. Le SMS contient un lien redirigeant vers une fausse plateforme de paiement en ligne. Le même mois, Morele.net signale à l’autorité de protection des données polonaise que les données de ses clients ont été violés, met en garde tous ses clients contre les SMS frauduleux et met en place des mesures de sécurité supplémentaires des données.

En décembre 2018, Morele.net signale une nouvelle violation de son fichier client : un accès non autorisé à celui-ci a été détecté.

L’autorité polonaise, après avoir enjoint la société à s’expliquer en janvier 2019, diligente un contrôle sur place à partir de juin 2019.

Décision : l’autorité polonaise constate que la violation a été rendue possible par un manquement de Morele.net à l’obligation d’assurer la sécurité et la confidentialité des données. Un système d’authentification inefficace a permis à des personnes non autorisées d’accéder aux données. Par ailleurs, Morele n’a pas anticipé le risque de phishing, pourtant prévisible, lors de l’évaluation de la sécurité du traitement et n’a donc pas mis en place les mesures de sécurité adéquates. Enfin, Morele aurait dû s’apercevoir de la violation dès le mois d’octobre 2018, son système informatique ayant détecté un trafic anormalement important sur ses serveurs, témoignant d’une intrusion.

Sanction : Amende de 2,8 millions de zlotys (environ 645 K€) tenant compte :

– des facteurs aggravants de l’affaire, en particulier le nombre important de personnes concernées (2,2 millions), l’inefficacité des mesures de sécurité complémentaires prises à la suite de la première violation, puisque celles-ci n’ont pas permis d’empêcher la seconde, l’absence de réaction à la détection d’un trafic anormal sur ses serveurs.

– des circonstances atténuantes, notamment la coopération de Morele, ses tentatives pour mettre fin à la violation de données, l’absence de condamnation antérieure de la société pour manquement à la protection des données et le fait qu’aucune preuve que les clients de Morele n’aient subi un préjudice matériel n’a été rapportée.

Ce qu’il faut retenir : La sécurisation des données nécessite de prendre en compte tous les risques potentiels et de mettre en œuvre les mesures techniques et organisationnelles appropriées pour les minimiser. Un risque aussi courant que le phishing ne doit pas être négligé. En cas de violation de données, le fait que les personnes concernées n’aient pas subi de dommage matériel ne permettra pas d’échapper à une sanction mais pourra faire baisser le montant de l’amende, ce qui encourage à une réaction rapide et efficace des responsables de traitement pour éviter que le dommage ne se produise.

Pour en savoir plus : https://uodo.gov.pl/decyzje/ZSPR.421.2.2019


#19/09/2019 – Belgique – APD – Condamnation d’un commerçant refusant la création d’une carte de fidélité pour toute personne ne présentant pas sa carte d’identité électronique >> 10K€

Les faits : L’autorité de protection des données Belge a reçu une plainte d’un client concernant les modalités de création d’une carte de fidélité chez un commerçant. La création d’une carte de fidélité lui avait été refusée par le commerçant puisqu’il ne souhaitait pas présenter sa carte d’identité électronique (eID). Le plaignant avait proposé au commerçant de lui transmettre, par écrit, les données nécessaires à la création du programme fidélité.

Manquement à l’obligation de minimisation des données : Le RGPD impose au responsable de traitement de ne récolter que les strictes données nécessaires au traitement, en limitant la quantité et la durée de conservation de ces dernières en fonction du but poursuivi.

L’APD a considéré qu’en imposant de recueillir la carte d’identité électronique des clients, ce dernier avait accès aux nom, prénoms, adresse, etc. mais également à la photo, au code-barres (lié au Registre national) qui constitue une donnée soumise à des règles strictes d’utilisation et de consultation.

Ledit traitement est donc considéré comme disproportionné compte tenu de l’objectif visé dans cette collecte, à savoir la création d’une carte de fidélité.

Absence de base légale valable du traitement : Le RGPD impose de fonder son traitement sur l’une des six bases légales prévues ; en l’espèce, le commerçant invoque le consentement.

L’APD rappelle les conditions dans lesquelles le consentement, pour être valable, doit être recueilli : libre, informé et spécifique.

Dans le cas d’espèce, le client n’avait pas le choix que de donner sa carte d’identité électronique afin de pouvoir bénéficier du programme fidélité et profiter des avantages et réductions accordés ; dans ce contexte, le consentement ne peut être considéré comme libre (aucune alternative ne lui étant proposée).

Décision : L’APD impose au commerçant une amende de 10K€ et de se mettre en conformité avec les exigences du RGPD.

Ce qu’il faut retenir : Les données collectées ne peuvent être que celles strictement nécessaires en fonction de la finalité du traitement. Avant toute collecte de données, l’entreprise doit donc nécessairement se poser la question de l’utilité de chaque donnée en rapport avec l’utilisation projetée et ne jamais collecter de données inutiles à défaut de quoi le traitement sera considéré comme disproportionné et illicite.

Pour en savoir plus : https://www.gegevensbeschermingsautoriteit.be/nieuws/GBA-sanctioneert-een-handelaar-voor-het-gebruik-van-de-eid-om-klantenkaart-aan-te-maken


#03/09/2019 – Lettonie – DSI (Data State Inspectorate of Latvia) – Condamnation d’un commerçant en ligne refusant de supprimer des données personnelles de sa clientèle en dépit d’une demande répétée et pour défaut de coopération avec l’Autorité de Contrôle lettone >> 7K€

Les faits : L’exploitant d’un eshop letton a refusé de supprimer les données personnelles d’un de ses clients et ce, malgré les demandes répétées de ce dernier depuis 2018. Il a par ailleurs continué à exploiter ses données, notamment son numéro de téléphone.

Interrogé par l’Autorité de contrôle nationale, l’e-commerçant n’a pas été coopératif, ne répondant pas à ses demandes d’informations et injonctions.

Manquement à l’obligation de réponse à l’exercice du droit à l’effacement de ses données personnelles par la personne concernée : Le RGPD impose au responsable de traitement de faire droit aux demandes des particuliers demandant la suppression de leurs données personnelles et de coopérer avec l’Autorité nationale en cas de contrôle (Art. 58(2) c et g). Dans cette affaire se rapportant à la Lettonie, la DSI, a constaté que le responsable d’un site de commerce en ligne avait violé le droit à l’effacement des données personnelles d’un de ses clients. Ses données personnelles ont ainsi fait l’objet de traitement contre sa volonté à plusieurs reprises.

Manquement à l’obligation de coopération en cas de contrôle par l’Autorité nationale Par ailleurs, la DSI a observé une absence caractérisée de coopération du Responsable de traitement avec ses services à l’occasion de ses opérations de contrôle.

Décision : La DSI condamne le commerçant letton à une amende de 7K€ et à se mettre en conformité avec les exigences du RGPD. La DSI a tenu compte pour la fixation du montant de l’amende de la nature, la gravité, la répétition et la durée de l’atteinte portée au droit du client, de la qualité de la coopération avec ses services et enfin du montant du Chiffre d’Affaires réalisé l’année précédente par l’e-commerçant.

Ce qu’il faut retenir : Les responsables de traitement ne peuvent ignorer les demandes d’effacement de données personnelles émanant du public et doivent y satisfaire, lorsqu’elles sont justifiées notamment dans les délais prescrits. La coopération avec les services de contrôle est également une obligation en tant que telle pour laquelle le manquement à lui seul peut justifier une amende.

Pour en savoir plus : https://www.dvi.gov.lv/en/news/data-state-inspectorate-of-latvia-imposes-a-financial-penalty-of-7000-euros-against-online-retailer/


# 02/09/2019 – CNIL – Clôture de la mise en demeure à l’encontre de l’Institut des techniques informatiques et commerciales (ITIC)

Faits : la CNIL avait accordé un délai à l’ITIC pour mettre en conformité son système de vidéosurveillance, qui avait été jugé excessif dans la mesure où certaines des caméras filmaient en permanence l’ensemble des salles de cours et lieux de vie des étudiants ou bien le poste de travail d’une employée, les images étaient conservées 49 jours, ce qui excédait le temps nécessaire pour atteindre l’objectif poursuivi, les personnes filmées n’étaient pas correctement informées et les images étaient accessibles à tous les étudiants et employés de l’ITIC depuis son intranet.

Mesures prises pour faire cesser le manquement :

– Retrait ou réorientation de certaines caméras de manière à ne plus filmer en continu les employés, les salles de cours et lieux de vie des étudiants,

– Sécurisation du système de vidéosurveillance pour éviter que les étudiants et le personnel non autorisé aient accès aux images via l’intranet de l’ITIC.

– Complément du panneau d’information affiché dans les locaux, des conditions générales d’inscription et des contrats de travail.

– Réduction de la durée de conservation des images à 30 jours maximum.

Sanction : Aucune, considérant que l’ITIC s’est mise en conformité dans le délai prescrit, la CNIL a clos cette procédure sans prononcer de sanction.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000039012270&fastReqId=303128926&fastPos=1

Pour plus d’informations sur cette affaire, consultez notre fil d’actualités RGPD au 02/07/2018


# Août 2019 – Allemagne – Fuite de données personnelles de près de 90.000 clients de Mastercard !

C’est un coup dur pour Mastercard ! Les données personnelles d’environ 90.000 clients allemands ont été piratées puis mises en ligne en août 2019. Leur point commun ? Les victimes étaient abonnées au programme « Priceless Specials », permettant notamment de faire bénéficier les détenteurs de cartes Mastercard de bonus et réductions en tout genre sur les services (shopping, location, etc.) et ont pu constater avec effroi l’accès au grand public de leurs nom, numéro de téléphone ou adresse, adresse email, coordonnées bancaires (complètes ou non).

Mastercard a réagi vite en fermant le site, en contactant les personnes concernées (au titre de l’obligation de notification de violation des données personnelles) et en décidant de mener une enquête.


21/08/2019 – Mots de passe hackés sur le site impôts.gouv.fr – Violation de données personnelles  

Les faits : Le Canard Enchaîné a publié un article faisant état d’une brèche dans la sécurité des données du Ministère de l’Economie sur son site impôts.gouv.fr en rapportant la violation de 2200 comptes personnels. Le Ministère de l’Economie a depuis publié un démenti officiel en expliquant que l’origine de la fraude est liée non pas à son site mais à la création et l’usage des mots de passe de certains utilisateurs qui ont été victimes de phishing : des hackers les contactaient par email ou téléphone en leur demandant de confirmer leur mot de passe et ainsi, une fois le sésame obtenu, les pirates avaient accès aux comptes et notamment aux données bancaires qu’ils pouvaient modifier à leur guise. Nul doute que l’objectif de ces pirates était de se voir reverser le solde du crédit d’impôt que Bercy a versé à ses administrés concernés mi-juillet.

Bercy a depuis indiqué avoir bloqué les 2200 comptes piratés, informé les personnes concernées ainsi que la CNIL et déposé une plainte auprès des autorités compétentes. Le Ministère de l’Economie a surtout publié un communiqué officiel rappelant les règles de sécurité de base en matière d’utilisation de mots de passe.

Ce qu’il faut retenir : La sécurité des données personnelles est aussi le fait des utilisateurs et de la bonne gestion de leurs mots de passe, lesquels doivent être complexes. Encore faut-il les pousser à choisir des mots de passe complexes en ne permettant pas d’activer des comptes avec des mots de passe trop simplistes. La CNIL est partageuse de recommandations pour adopter une politique de mots de passe sécurisée. Dans cette perspective, fin août, le système de protection des mots de passe du site impôts.gouv.fr devrait être encore renforcé par l’adjonction d’une question secrète posée aux administrés puis à terme par un système de double authentification fondé sur un mot de passe + un code sms à durée de validité limitée reçu sur le téléphone de l’utilisateur. Un système d’identification biométrique est également évoqué mais sans date connue à ce jour.

Pour en savoir plus : https://minefi.hosting.augure.com/Augure_Minefi/r/ContenuEnLigne/Download?id=BAC4ABB4-7197-4624-8E6A-03164BD6F4BC&filename=772%20-%20CP%20phishing%20piratage%20mail_DGFiP.pdf

https://www.ssi.gouv.fr/particulier/precautions-elementaires/dix-regles-de-base/


20/08/2019 – Suède – DPA – Condamnation de la municipalité de Skellefteå pour utilisation de reconnaissance faciale >> 200 000 SEK (environ 20K€)

A l’occasion de sa première amende en vertu du RGPD, l’autorité de protection des données suédoise rappelle que même lorsqu’un consentement est obtenu le traitement peut être illégal. 

Les faits : Un lycée du nord de la Suède, la High School Board de Skellefteå, a conduit un projet pilote utilisant des technologies de reconnaissance faciale par caméra en vue de surveiller l’absentéisme des étudiants. La phase de test était diligentée sur une classe spécifique choisie (22 étudiants) et pendant une période limitée (3 semaines).

Décision :

Base légale inadaptée : Le traitement des données était fondé sur le consentement mais la DPA a considéré qu’il ne s’agissait pas ici d’une base légale valable, compte-tenu du déséquilibre évident entre le responsable de traitement et les personnes concernées, les étudiants étant dans une situation de dépendance vis-à-vis de la commission scolaire.

Absence d’étude d’impact : S’agissant de données biométriques, donc sensibles et qui méritent une protection supplémentaire, la municipalité aurait dû conduire une étude d’impact préalable et consulter la DPA. Or l’Inspection des données a constaté que la reconnaissance faciale impliquait la surveillance par caméra des étudiants dans leur environnement quotidien, l’intrusion dans leur intégrité et que le contrôle de la présence pouvait être effectué par d’autres moyens qui violaient moins la vie privée que la reconnaissance faciale.

Sanction : Amende de 200 000 SEK (environ 20K€), assez réduite dans la mesure où le traitement a concerné peu de personnes et sur une courte période.

Ce qu’il faut retenir : Il peut sembler simple d’établir la preuve du consentement dès lors que l’on parvient à se procurer un accord écrit (ou la trace d’une case cochée par exemple) des personnes dont les données sont traitées. Pourtant il n’est pas toujours opportun de choisir cette base légale car le consentement doit répondre à certains critères ; il doit notamment être libre et cette condition ne sera pas remplie dès lors qu’il existera un déséquilibre significatif entre les parties : lien de dépendance, lien de subordination, fragilité, etc. Par ailleurs, s’agissant de nouvelles technologies particulièrement intrusives et traitant des données sensibles, il faudra toujours étudier la pertinence de leur utilisation et déterminer dans quelle mesure d’autres moyens de substitution moins indiscrets pourraient être préférés pour répondre à la finalité concernée.

https://www.datainspektionen.se/nyheter/sanktionsavgift-for-ansiktsigenkanning-i-skola/?utm_source=POLITICO.EU&utm_campaign=360ade166e-EMAIL_CAMPAIGN_2019_08_22_04_59&utm_medium=email&utm_term=0_10959edeb5-360ade166e-190359285


09/08/2019 – ICO (UK) – Mise en demeure de la société Hudson Bay Finance Ltd pour ne pas avoir répondu à une demande d’accès.

Les faits : Hudson est une agence d’assurance-vie et d’assurance générale (assurance-accidents, assurance-maladie, assurance de biens et assurances risques divers) appartenant à 100 % à la société canadienne Compagnie de la Baie d’Hudson (HBC).

N’ayant reçu aucune réponse à sa demande d’accès à ses données personnelles, exercée par courrier le 18 mai 2018, la personne concernée adresse une plainte auprès de l’ICO le 21 septembre concernant le manquement de la société Hudson à son obligation de répondre dans le délai maximum d’un mois.

Le 11 décembre, l’ICO, qui s’est saisi de la plainte, écrit à la société pour lui demander d’étudier la demande d’accès exercée par le plaignant. Le courrier ayant été retourné, il est envoyé par l’ICO de nouveau le 17 janvier 2019.

Sans réponse, l’ICO appelle la société à plusieurs reprises notamment pour se faire confirmer les coordonnées postales et discuter de la plainte. Face à la mauvaise volonté de son interlocuteur chez Hudson qui refuse de discuter et fini par raccrocher, l’ICO lui écrit de nouveau les 27 et 28 mars et cherche à le joindre au téléphone à plusieurs reprises courant juin sans succès.

Après avoir adressé à Hudson un avertissement lui enjoignant de répondre à la demande d’exercice des droits au plus tard le 26 juillet, et de nouveau sans réponse, l’ICO analyse la conformité du traitement de données opéré par Hudson dans le cadre de la plainte.

Exercice du droit d’accès : L’ICO considère que Hudson n’a pas respecté son obligation de répondre à la personne concernée sur le fait de savoir si la société traite ou non certaines de ses données personnelles et dans ce cas de lui communiquer les informations en question dans un format intelligible.

L’ICO reconnaît le préjudice subi par la personne en ce qu’elle a été privée de son droit de savoir quelles sont les données personnelles la concernant, traitées par la société Hudson.

Sanction : Mise en demeure de :

– informer la plaignante sur le fait de savoir si Hudson traite ou non des données personnelles la concernant

– lui adresser la copie des données personnelles faisant l’objet d’un traitement

Timing accordé pour la mise en conformité : 30 jours

Ce qu’il faut retenir : L’ICO a mis en œuvre de multiples démarches pour tenter d’obtenir une réponse du responsable de traitement. Vue l’attitude peu coopérative de la société, et si elle ne se conforme pas à la mise en demeure dans le délai prescrit, il y a fort à parier que cette affaire se solde par une sanction lourde qui pourrait porter sur le manquement de la société Hudson à la fois concernant son obligation de répondre au droits d’accès de la plaignante mais également concernant son obligation de coopérer avec l’autorité anglaise.

Pour en savoir plus : https://ico.org.uk/action-weve-taken/enforcement/hudson-bay-finance-ltd-en/


# 02/08/2019 – France – TGI Paris / référé – L’identification des adresses IP requiert d’opérer une collecte conforme au RGPD et un traitement licite – La société canadienne Mile High Distribution condamnée vs. Orange >> 8K€

Faits : La société Canadienne Mile High Distribution se présente comme étant le producteur de plusieurs centaines d’œuvres audiovisuelles commercialisées sur divers supports (notamment DVD) ou mises à disposition via une plateforme de téléchargement payant.

A la suite d’une constatation sur des plateformes d’échanges de fichiers en ligne de ses œuvres, offertes au téléchargement sans son autorisation, Mile High Distribution a mandaté une société allemande Media Protector pour procéder à la captation de plusieurs données de trafic sur les téléchargements prétendument illicites à savoir :

  • L’adresse IP
  • La date et l’heure du téléchargement
  • L’intitulé de l’œuvre téléchargée
  • Le nom du fournisseur d’accès à internet rattaché à l’adresse IP

Par ce biais, Mile High Distribution s’est constitué une liste de 895 adresses IP collectées sur la période de novembre 2017 à décembre 2018 qui seraient reliées à des opérations de téléchargements massifs et illégaux de ses œuvres.

Mile High Distribution a par la suite saisi le juge des référés afin que la société Orange, fournisseur d’accès, communique des informations sur l’identification des personnes par le biais des adresses IP récoltées, ce qu’Orange refusait de faire, jugeant cette requête illégale.

Détermination de la responsabilité et manquement à l’obligation de tenir un registre de traitement à jour : Pour être licites, la collecte et le traitement des adresses IP doivent être opérés dans le respect de la législation applicable en matière de données à caractère personnel. Mile High Distribution ne conteste pas avoir déterminé la finalité du traitement, concernant la gestion de contentieux dans les secteurs privés et publics, de sorte qu’elle apparait bien comme étant responsable de traitement. A ce titre, elle ne démontre pas avoir tenu à jour un registre des traitements qu’elle met en œuvre.

Manquement à l’obligation de désigner un DPO : Il est ajouté que la collecte des adresses IP dans un contexte particulier de lutte contre la contrefaçon sur internet constitue une collecte à grande échelle des données d’infraction, qui constituent des données sensibles, de sorte que le responsable de traitement est assujetti à une obligation de désigner un DPO (Art. 10 RGPD), ce qui n’a pas été fait par la société canadienne.

Manquement à l’obligation de sécurité et confidentialité des données & encadrement du transfert hors Union Européenne : Ici encore, la société canadienne ne produit aucun élément de nature à considérer qu’elle serait en conformité avec les dispositions du RGPD à l’aide notamment de mesures techniques et organisationnelles appropriées. Une simple déclaration de conformité auprès de la CNIL est insuffisante à démontrer le caractère licite du traitement des données à caractère personnel opéré dans le cas d’espèce.

Manquement à l’obligation d’effectuer une collecte conforme au RGPD / Empêchement légitime de communiquer des informations : Mile High Distribution n’ayant pas pu démontrer la licéité de son opération de collecte massive d’adresses IP, support de sa demande de communication auprès de la société Orange, les juges ont considéré qu’Orange avait un empêchement légitime de lui communiquer des informations précises relatives à l’identification des adresses IP.

Décision : La société Canadienne est déboutée de sa demande de communication d’informations auprès de la société Orange et sur la soi-disant résistance abusive d’Orange. Elle est condamnée à lui payer la somme de 8K€ au titre de l’article 700 du Code de Procédure Civile.

Ce qu’il faut retenir : Pas d’identification des adresses IP sans preuve du respect de la légalité de la collecte et du traitement de données. Une simple déclaration de conformité auprès de la CNIL n’établit pas pour autant que le traitement opéré est licite et conforme au RGPD. Une collecte est ici considérée à grande échelle tant en fonction du nombre de personnes concernées que de la nature des données collectées (ici en l’occurrence, il s’agissait de (895) données sensibles) …  Méfiance, il ne s’agit donc pas que du volume de données à prendre en compte.

Pour en savoir plus : https://www.legalis.net/jurisprudences/tgi-de-paris-ordonnance-de-refere-du-2-aout-2019/


30/07/2019 – Grèce – APD – Condamnation de la société PWC BS pour avoir basé le traitement des données de ses employés sur leur consentement >> 150 k€

A l’occasion de sa première amende en vertu du RGPD, l’autorité de protection des données hellénique rappelle non seulement que le consentement n’est pas toujours nécessaire, mais que le demander à tort peut coûter cher.

Les faits : l’autorité hellénique, saisie d’une plainte adressée par l’association des comptables de la région de l’Attique (l’ASPA) le 01/12/2017, a ouvert une enquête sur la société d’audit Price Waterhouse Coopers Business Solutions Sa (PWC BS).

Cette dernière avait transmis à tous ses employés une « déclaration d’acceptation des conditions d’utilisation de leurs données à caractère personnel » ainsi que de nouveaux contrats individuels comprenant des clauses sur le traitement de leurs données. Les salariés étaient priés de signer ces documents sans délai.  Ce faisant, ils donnaient leur consentement à PWC BS pour traiter leurs données et reconnaissaient que les informations personnelles détenues et traitées par leur employeur étaient pertinentes et appropriées et directement liées aux besoin de la relation de travail.

L’ASPA soutenait entre autres dans sa plainte que le consentement obtenu des employés n’était pas valable, compte-tenu du déséquilibre inhérent à la relation employeur-salarié.

Invitée à se justifier lors d’audiences, PWC BS a notamment fait valoir que les salariés qui n’ont pas signé les documents (à savoir 25 employés sur 415), n’ont fait l’objet d’aucune sanction et qu’elle a, depuis le dépôt de la plainte, remplacé la « déclaration d’acceptation » litigieuse par un document qui cette fois ne faisait qu’informer ses salariés sur le traitement de leurs données personnelles.

Décision : l’autorité de protection des données grecque constate que :

  • Le traitement par PWC BS des données de ses employés est illicite, dans la mesure où la société a utilisé une base légale – le consentement – inappropriée. En l’espèce, et comme dans la majorité des contextes de travail, les bases légales appropriées étaient la nécessité d’exécuter les contrats de travail, de respecter les obligations légales en matière sociale et de répondre à l’intérêt légitime de l’employeur d’assurer un fonctionnement harmonieux et efficace de sa société. Or, en demandant le consentement de ses employés alors que cela n’était pas approprié, PWC BS a violé les principes de transparence et de loyauté du traitement édictés par l’article 5 du RGPD. En effet, lorsqu’un traitement repose sur le consentement de la personne concernée, celle-ci est en droit d’y mettre fin en retirant son accord. Or les salariés n’avaient pas ce pouvoir en l’espèce, dans la mesure où leur employeur était en tout état de cause contraint de continuer à traiter leurs données pour exécuter leur contrat et remplir ses obligations légales.
  • PWC BS a violé le principe de responsabilité édicté par l’article 5 du RGPD, selon lequel le responsable du traitement doit être en mesure de prouver sa conformité. Non seulement la société n’était pas en mesure de documenter le choix de la base légale du traitement, mais elle a tenté de reporter sa responsabilité sur ses employés en leur demandant de reconnaître par écrit que les données détenues et traitées par leur employeur étaient directement liées aux besoins de la relation de travail/de l’organisation du travail, et qu’elles étaient pertinentes et appropriées.

Sanction : PWC BS doit prendre les mesures correctrices suivantes sous 3 mois :

  • Assurer le traitement des données personnelles de ses employés en conformité avec ce qu’elle a indiqué dans son document d’informations sur le traitement de données personnelles,
  • Rétablir l’application correcte des principes de responsabilité, de licéité, de loyauté et de transparence des traitements de données personnelles,
  • Par la suite, rétablir l’application correcte des autres grands principes édictés par le RGPD (limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité).

En outre, considérant que ces mesures correctrices ne sont pas suffisantes et compte-tenu des circonstances, l’autorité grecque décide d’infliger une amende de 150 K€ à la société PWC BS, correspondant à 0,3% de son chiffre d’affaires de l’année précédant la décision.

Ce qu’il faut retenir : la détermination de la base légale est une question cruciale, qu’il faut prendre soin de se poser avant de débuter le traitement de données personnelles, et également de documenter. En effet, c’est elle qui va permettre de déterminer si un consentement est nécessaire ou non et quels seront les droits des personnes dont les données sont traitées. Le choix d’une base légale inappropriée porte ainsi nécessairement atteinte à l’obligation de loyauté et de transparence, dans la mesure où le sujet concerné sera induit en erreur sur ce qu’il est en droit d’exiger.

Pour en savoir plus : https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/ENGLISH_INDEX/DECISIONS/SUMMARY%20OF%20DECISION%2026_2019%20(EN).PDF


29/07/2019 – CJUE – Gare au bouton « j’aime » de Facebook ! Un administrateur de site internet peut être considéré comme responsable de traitement

Faits : Fashion ID GmbH & Co. KG est une société de vente de vêtements de mode en ligne ayant mis sur son site internet le bouton « j’aime » de Facebook. Il a été constaté que tout utilisateur qui consulte ledit site internet verra ses données personnelles transmises à Facebook Ireland, sans que ce dernier n’en soit informé et indépendamment du fait qu’il soit membre du réseau social ou qu’il ait cliqué sur le bouton « j’aime ».

Une association de consommateurs, la Verbraucherzentrale NRW avait intenté une action contre Fashion ID afin qu’elle mette fin à ce procédé.

Question : La question qui se posait était de savoir si le gestionnaire d’un site web qui y insère ce bouton « j’aime », permettant en outre de collecter des données personnelles puisse être considéré comme responsable de traitement.

S’agissant des moyens, Fashion ID a inséré un module social sur son site (le bouton « j’aime ») en étant consciente que cela permettait la collecte et la transmission desdites données à Facebook.

Décision :

# Dans un premier temps, la CJUE confirme, selon l’article 80, paragraphe 2 du Règlement 2016/679 qu’une telle action peut être intentée par une association de défense des consommateurs.

# Concernant la co-responsabilité, la CJUE affirme que l’administrateur d’une page « fan » sur Facebook participe nécessairement à la détermination des moyens et finalités du traitement ce qui doit induire à la qualification de co-responsable de traitement avec Facebook.

Dans le cas d’espèce, s’agissant des finalités, Fashion ID assure la collecte et la transmission des données personnelles des utilisateurs de son site à Facebook Ireland via ce bouton « j’aime » à des fins d’optimisation de la publicité sur Facebook. La société recherchait donc un avantage commercial à insérer ce genre de bouton sur son site. Toutefois, Fashion ID n’a aucune maîtrise sur lesdites données après leur transmission à Facebook.

La société Fashion ID peut être considérée comme étant responsable de traitement de données personnelles, étant entendu que cela se limite aux opérations pour lesquelles la société détermine effectivement les finalités et moyens dudit traitement (collecte et communication par transmission des données personnelles).

Dans ce cas de figure, les co-responsables doivent poursuivre justifier d’une base légale licite pour pouvoir procéder au traitement en cause : dans le cadre des opérations dont Fashion ID détermine la finalité et les moyens du traitement, il lui est ici indispensable de recueillir le consentement des utilisateurs.

Pour en savoir plus : Consultez notre news du 19/12/18 sur les conclusions de l’avocat général dans cette affaire.

https://curia.europa.eu/juris/liste.jsf?language=fr&num=C-40/17


24/07/2019 – USA – Facebook condamné à une sanction historique pour avoir trompé ses utilisateurs sur la confidentialité de leurs données >> 5 milliards de dollars (environ 4,43 milliards d’euros)

L’autorité de la concurrence américaine, la Federal Trade Commission (FTC), vient de condamner Facebook à verser 5 milliards de dollars pour avoir méconnu la vie privée de ses utilisateurs.

Alors même que les Etats-Unis sont dépourvus de cadre juridique fédéral en matière de données personnelles, il s’agit de la plus lourde sanction jamais infligée pour une violation de données personnelles, très loin devant les 183 millions de livres que l’autorité britannique de contrôle à l’intention d’infliger à British Airways. Elle se fonde sur les textes locaux de protection des consommateurs : les pratiques de Facebook en matière de protection des données personnelles ont été jugées trompeuses.

L’affaire commence en 2012, lorsque la FTC poursuit Facebook pour avoir trompé ses utilisateurs quant à la mesure dans laquelle ils pouvaient garder confidentielles leurs données personnelles. Par exemple, Facebook promettait aux internautes qu’ils pouvaient choisir de ne rendre leurs données accessibles qu’à leurs « amis », alors même que les applications utilisées par ces « amis » étaient autorisées par le réseau social à accéder à leurs informations. A l’époque, un accord transactionnel avait été conclu entre la FTC et Facebook, au terme duquel le réseau social devait s’abstenir de futures tromperies des consommateurs sur la confidentialité de leurs données.

Pour la FTC, la plateforme sociale a violé cet accord en donnant à nouveau accès à des entreprises tierces, notamment Cambridge Analytica, à des informations que les utilisateurs du réseau avaient déclaré ne pas vouloir partager. Elle s’est par ailleurs rendue coupable de déclarations trompeuses sur la manière dont elle utilise la reconnaissance facile, les numéros de téléphone mobile et d’autres données personnelles des internautes.

Par exemple, Facebook avait déclaré à l’occasion d’une mise à jour de sa politique de confidentialité en 2018 que la reconnaissance faciale n’était utilisée que si l’utilisateur activait l’option. Or, pour plus de 10 millions de consommateurs, cette fonctionnalité était activée par défaut.

Par ailleurs, le réseau social proposait à ses utilisateurs de collecter leur numéro de téléphone afin de sécuriser l’accès à leur compte par le biais d’une double authentification, sans les informer que ce numéro serait également transmis à des annonceurs à des fins de publicité.

En conséquence et au terme d’un nouvel accord transactionnel conclu avec la FTC, Facebook devra verser la somme de 5 milliards de dollars au trésor américain. Au-delà de cette sanction financière, toute relative en comparaison des 55 milliards de chiffre d’affaires réalisés par l’entreprise en 2018, Facebook devra se soumettre à un programme de surveillance pour les 20 prochaines années.

Ce programme prévoit notamment que le statut de décideur de la société en matière de confidentialité sera retiré au PDG Mark Zuckerberg. Un comité indépendant du conseil d’administration de Facebook sera créé pour superviser les décisions concernant la confidentialité. En outre, Facebook devra mettre fin à ses pratiques trompeuses en matière de reconnaissance faciale et d’utilisation des numéros de téléphone mobile de ses utilisateurs, en les informant de manière transparente sur la manière dont seront traitées leurs données et en demandant leur consentement pour les finalités de publicité. Facebook devra également mettre en œuvre les mesures les plus strictes pour assurer la sécurité des données, y compris celles collectées via ses filiales, dont Instagram et WhatsApp.

Les prochains mois nous diront si la FTC a atteint son objectif : celui d’une refonte en profondeur des pratiques souvent controversées de Facebook en matière de confidentialité.

Pour en savoir plus : https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions


 L’autorité de la concurrence américaine, la Federal Trade Commission (FTC), vient de condamner Facebook à verser 5 milliards de dollars pour avoir méconnu la vie privée de ses utilisateurs.

 Alors même que les Etats-Unis sont dépourvus de cadre juridique fédéral en matière de données personnelles, il s’agit de la plus lourde sanction jamais infligée pour une violation de données personnelles, très loin devant les 183 millions de livres que l’autorité britannique de contrôle à l’intention d’infliger à British Airways. Elle se fonde sur les textes locaux de protection des consommateurs : les pratiques de Facebook en matière de protection des données personnelles ont été jugées trompeuses.

 L’affaire commence en 2012, lorsque la FTC poursuit Facebook pour avoir trompé ses utilisateurs quant à la mesure dans laquelle ils pouvaient garder confidentielles leurs données personnelles. Par exemple, Facebook promettait aux internautes qu’ils pouvaient choisir de ne rendre leurs données accessibles qu’à leurs « amis », alors même que les applications utilisées par ces « amis » étaient autorisées par le réseau social à accéder à leurs informations. A l’époque, un accord transactionnel avait été conclu entre la FTC et Facebook, au terme duquel le réseau social devait s’abstenir de futures tromperies des consommateurs sur la confidentialité de leurs données.

Pour la FTC, la plateforme sociale a violé cet accord en donnant à nouveau accès à des entreprises tierces, notamment Cambridge Analytica, à des informations que les utilisateurs du réseau avaient déclaré ne pas vouloir partager. Elle s’est par ailleurs rendue coupable de déclarations trompeuses sur la manière dont elle utilise la reconnaissance facile, les numéros de téléphone mobile et d’autres données personnelles des internautes.

Par exemple, Facebook avait déclaré à l’occasion d’une mise à jour de sa politique de confidentialité en 2018 que la reconnaissance faciale n’était utilisée que si l’utilisateur activait l’option. Or, pour plus de 10 millions de consommateurs, cette fonctionnalité était activée par défaut.

Par ailleurs, le réseau social proposait à ses utilisateurs de collecter leur numéro de téléphone afin de sécuriser l’accès à leur compte par le biais d’une double authentification, sans les informer que ce numéro serait également transmis à des annonceurs à des fins de publicité.

En conséquence et au terme d’un nouvel accord transactionnel conclu avec la FTC, Facebook devra verser la somme de 5 milliard de dollars au trésor américain. Au-delà de cette sanction financière, toute relative en comparaison des 55 milliards de chiffre d’affaires réalisés par l’entreprise en 2018, Facebook devra se soumettre à un programme de surveillance pour les 20 prochaines années.

Ce programme prévoit notamment que le statut de décideur de la société en matière de confidentialité sera retiré au PDG Mark Zuckerberg. Un comité indépendant du conseil d’administration de Facebook sera créé pour superviser les décisions concernant la confidentialité. En outre, Facebook devra mettre fin à ses pratiques trompeuses en matière de reconnaissance faciale et d’utilisation des numéros de téléphone mobile de ses utilisateurs, en les informant de manière transparente sur la manière dont seront traitées leurs données et en demandant leur consentement pour les finalités de publicité. Facebook devra également mettre en œuvre les mesures les plus strictes pour assurer la sécurité des données, y compris celles collectées via ses filiales, dont Instagram et WhatsApp.

Les prochains mois nous diront si la FTC a atteint son objectif : celui d’une refonte en profondeur des pratiques souvent controversées de Facebook en matière de confidentialité.

Pour en savoir plus : https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions


# 22/07/2019 – CNIL – Clôture de la mise en demeure à l’encontre de l’école 42 

Faits : la CNIL avait accordé un délai de 2 mois à l’école 42 pour mettre en conformité son système de vidéosurveillance, qui avait été jugé excessif dans la mesure où certaines des caméras filmaient en permanence les espaces de travail et lieux de détente des étudiants ou bien le poste de travail des employés, les personnes filmées n’étaient pas correctement informées, les images étaient accessibles à tous les étudiants et employés, les mots de passe des étudiants et du personnel leurs étaient adressés dans un email en clair et la typologie des mots de passe n’était pas assez contraignante.

Mesures prises pour faire cesser le manquement :

– Retrait ou réorientation de certaines caméras de manière à ne plus filmer les espaces de travail et lieux de détente des étudiants et les postes des personnels.

– Sécurisation du système de vidéosurveillance pour éviter que les étudiants et le personnel non autorisé aient accès aux images.

– Complément du panneau d’information affiché dans les locaux et des mentions du site internet de l’école 42.

– Modification de la politique des mots de passe en exigeant des étudiants et du personnel qu’ils choisissent des mots de passe suffisamment robustes et en prévoyant un renouvellement régulier des mots des passes des agents de sécurité, qui accèdent au système de vidéosurveillance.

Sanction : Aucune, considérant que l’association 42 s’est mise en conformité dans le délai prescrit, la CNIL a clos cette procédure sans prononcer de sanction.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038798623

Pour plus d’informations sur cette affaire, consultez notre fil d’actualités RGPD au 08/10/2018


18/07/2019 – CNIL – La société ACTIVE ASSURANCES condamnée pour manquement à l’obligation de sécurité et confidentialité des données >> 180K€ d’amende

Faits : La société ACTIVE ASSURANCES est spécialisée dans le domaine d’activité d’intermédiaire en assurance, concepteur et distributeur de contrats d’assurance automobile à des particuliers, en vente directe ou en ligne. Elle dispose d’une succursale à Madagascar.

Dans le cadre de son activité, la société édite le site web www.activeassurances.fr permettant aux personnes de demander des devis ou encore de souscrire des contrats d’assurance automobile.

Les 1er et 27 juin 2018, la CNIL a été informée par un client de la société ainsi que par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) que l’accès aux données personnelles des clients et utilisateurs du site web était possible sans authentification préalable. Elle a donc procédé à un contrôle en ligne le 28 juin 2018 lui permettant de constater la possibilité de cet accès sans authentification préalable, notamment aux nom, prénom, adresse postale et électronique, numéro de téléphone des utilisateurs. De surcroît, il était possible de télécharger des documents PDF concernant les personnes et notamment les pièces d’identité, des devis, des attestations d’assurance automobile et des contrats d’assurance. Enfin, l’accès aux comptes personnels d’autres clients était possible en modifiant simplement le numéro identifiant figurant dans l’une des adresses URL du moteur de recherche Duckduckgo.

La CNIL a informé ACTIVE ASSURANCES de l’existence d’un défaut de sécurité sur son site web et lui a demandé de prendre les mesures nécessaires afin de remédier à cela dans les plus brefs délais.

ACTIVE ASSURANCES lui a indiqué que des mesures de sécurité avaient été prises en ce sens dès le 29 juin 2018. Après de brèves vérifications, la CNIL a constaté qu’il était encore possible d’accéder aux données personnelles de clients et que les mesures élémentaires de sécurité concernant la politique des mots de passe n’étaient pas respectées.

Obligation de sécurité et confidentialité des données : la CNIL établit que des mesures élémentaires de sécurité n’avaient pas été prises en amont du développement du site web, permettant ladite violation et ce malgré les diligences de la société.

Elle considère en outre que :

-La violation de données était possible dès la conception du site web en 2014, puisque ACTIVE ASSURANCES n’avait pas mis en place les mesures minimales appropriées, ne nécessitant pas de développements techniques importants ;

-Le défaut de sécurité s’est vu amplifié de par l’indexation par les moteurs de recherche Duckduckgo, Bing, Qwant et Yahoo ;

-L’accès aux données des clients et utilisateurs du site web était possible via une simple manipulation ne nécessitant pas d’opération complexe ou de maîtrise particulière.

Politique des mots de passe : La CNIL reproche à ACTIVE ASSURANCES la faiblesse de sa politique de mots de passe ne permettant pas d’assurer la sécurité des données traitées.

-En effet, les mots de passe étaient transmis aux clients avec leurs identifiants par courriel non cryptés et affichés en clair dans le corps de l’e-mail.

-L’absence de robustesse des mots de passe ne permet pas d’empêcher des cyber-attaques : le login correspondait simplement au numéro cliente et le format des mots de passe était indiqué sur le formulaire de connexion au compte client, à savoir la date de naissance des utilisateurs, ce qui « facilitait considérablement une attaque par force brute », d’autant que les utilisateurs n’avaient pas la possibilité de modifier leur mot de passe par la suite

-Aucune mesure complémentaire pour l’authentification des personnes (limitation du nombre de tentatives en cas de mot de passe erroné, captcha, etc.) n’avait été mise en place.

-les recommandations de la CNIL en matière de politique de mot de passe sont connues et les entreprises régulièrement alertées par la CNIL sur ce type de mesure minimales de sécurité

Enfin, la transmission de ces derniers par courriel en clair peut conduire à leur interception par quiconque et de ce fait, l’accès aux informations qu’il contient.

Sanction : Une amende de 180K€ assortie de la publicité de la décision.

Publication de la décision : en raison :

-du nombre élevé de documents rendus accessibles (144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 RIB, 119 517 devis ou encore 36 068 copies de déclarations de cession de véhicules),

-de la nature particulièrement précise des données (nom, prénom, adresse postale, adresse électronique, date et lieu de naissance, coordonnées bancaires, immatriculation du véhicule ou encore des éléments relatifs à la suspension du permis de conduire et les motifs de résiliation de garantie de la part de la société),

– de la longue durée de l’infraction (plusieurs années) existant dès la conception défectueuse du site et du fait que des mesures de sécurité élémentaires n’avaient pas été mises en place,

-des vigilance et protection renforcées qui étaient nécessitées par certaines données compte tenu de leur nature (infractions commises par les personnes et leurs suites)

Ce qu’il faut retenir : La CNIL rappelle qu’elle n’a aucune obligation de mettre en demeure avant de prononcer une sanction pécuniaire.

Elle tient par ailleurs compte du fait que les responsables de traitement sont informés des bonnes pratiques en matière de vie privée par le biais de ses décisions et avis ; il est vrai que ses recommandations en matière de politique de mots de passe ont été publiés depuis longtemps et qu’elles sont régulièrement rappelées dans les décisions de la CNIL.

Elle constate le fait que le problème vient de failles connues par les développeurs web et se réfère à des guides de bonnes pratiques (Open Web Application Security Project) que la société n’a pas appliqué, pour affirmer qu’elle n’a pas pris les mesures minimales de sécurité nécessaires.

Il est donc essentiel de suivre de près les positions et décision de la CNIL et également de travailler avec des prestataires qui connaissent bien l’état de la technique en matière de sécurité informatique.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992


18/07/2019 – La CNIL publie de nouvelles lignes directrices en matière de cookies

La CNIL a publié des lignes directrices à jour du RGPD en matière de cookies. L’autorité française de protection des données y confirme notamment que :

– le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas un consentement valable,

– les paramétrages du navigateur ne peuvent valoir consentement de l’internaute au dépôt des cookies,

– le fait de bloquer l’accès à un site web ou à une application mobile à une personne qui refuse le dépôt des cookies (« cookie walls ») c’est-à-dire de conditionner l’accès au consentement, n’est pas conforme au RGPD,

– il est possible de proposer à l’internaute de consentir de manière globale au dépôt de tous les cookies à condition que cette possibilité s’ajoute, sans la remplacer, à celle de consentir spécifiquement à chaque cookie.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337


# News de l’ICO (UK) sur l’application du RGPD au Royaume-Uni en cas de Brexit sans accord

Le RGPD étant un texte européen, il ne devrait plus s’appliquer au Royaume-Uni en cas de Brexit sans accord particulier. Ceci étant, le gouvernement anglais a visiblement l’intention d’intégrer les dispositions européennes dans sa loi nationale qui sera applicable et il ne devrait pas y avoir de réelle différence sur les grands principes du RGPD.

Par ailleurs, pour tous les traitements de données personnelles de personnes établies en Union Européenne, les entreprises anglaises seront soumises aux règles du RGPD et elles devront assister leurs partenaires d’Union Européenne pour l’application de ce texte en cas de transfert des données au Royaume Uni ou si elles sont leur sous-traitant.

https://www.linkedin.com/posts/information-commissioner%27s-office_will-the-gdpr-still-apply-if-we-leave-the-activity-6565284100486254592-gKhO


09/07/2019 – UK – ICO –Le groupe Marriott, dans le viseur de l’autorité britannique, encourt lui aussi une amende record >> plus de 99 millions de livres (environ 110 millions d’euros)

 Après British Airways, c’est au tour du groupe hôtelier Marriott d’être menacé d’une amende record de plusieurs millions d’euros, un an après avoir révélé le vol massif de données de ses clients.

 Origine de l’enquête : En septembre 2018, les hôtels Starwood (groupe Marriott) révèlent dans un communiqué de presse avoir été victimes d’un gigantesque piratage : les données de 500 millions de clients à travers le monde, y compris des ressortissants de l’UE, seraient concernées : nom, adresse postale, numéro de téléphone portable, adresse mail, numéro de passeport, information de compte, date de naissance, genre, informations d’arrivée et de départ de l’hôtel, voir même des données de cartes bancaires.

En novembre 2018, Marriott signale officiellement l’incident à l’ICO qui débute une enquête approfondie en tant qu’autorité chef de file, pour le compte d’autres autorités de protection des données européennes.

Les faits : L’enquête de l’ICO révèle que le piratage a été rendu possible par une faille de sécurité informatique du groupe hôtelier Starwood qui remonterait à 2014. Lors du rachat de Starwood par Marriott en 2016, la vulnérabilité n’avait pas été décelée. 399 millions de fichiers contenant des données personnelles ont été exposés.

Déclaration de l’ICO : L’autorité britannique estime que Marriott est responsable de la violation des données, pour ne pas avoir pris les diligences requises pour sécuriser le système de Starwood. Le groupe aurait dû évaluer la fiabilité du système lors du rachat de Starwood. En conséquence, l’ICO a l’intention d’infliger une amende de plus de 99 millions de livres (environ 110 millions d’euros) à Marriott, qui a cependant coopéré avec l’autorité et amélioré, depuis lors, son système de sécurité informatique. Le groupe est invité à présenter ses observations pour tenter de réduire la sanction avant que l’ICO ne prenne sa décision finale.

 Situation aux Etats-Unis : Notons également que le groupe avait fait l’objet de plusieurs plaintes aux Etats-Unis fin 2018, suite à la révélation publique de la violation des données de ses clients. Cinq Etats américains enquêtent actuellement sur le piratage, de sorte que la sanction de l’ICO ne sera probablement pas la seule à laquelle devra faire face le groupe hôtelier.

Pour en savoir plus : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/


09/07/2019 – Belgique – APD –Le Service Public Fédéral de la santé SPF Santé Publique sanctionné pour n’avoir pas répondu à une demande d’exercice de droit d’accès >> 150K€

Les faits : Un professionnel de la santé, qui s’était vu refuser la nomination à un poste au sein de la Commission médicale provinciale du Limbourg, décide pour en connaître le motif de faire valoir son droit d’accéder à ses données personnelles auprès du Service Public Fédéral (SPF) Santé Publique. Sans réponse, il dépose fin 2018 une première plainte auprès de l’APD.

La Chambre Contentieuse de l’Autorité ordonne en octobre 2018 au SPF Santé Publique de répondre à la demande du plaignant, sans suite.

Le plaignant porte alors plainte une seconde fois en 2019.

Décision :

Manquement à l’obligation de répondre à un exercice de droits d’accès : Les parties ayant été auditionnées, le SPF Santé Publique a reconnu les faits et son silence, tentant de l’expliquer, à défaut de le justifier, par des problèmes de procédures internes. L’APD a conclu à la négligence du SPF Santé Publique

L’ADP estime également qu’il est important que le SPF Santé Publique mette en place à court terme des procédures internes permettant de gérer efficacement ses obligations en vertu du RGPD, sachant qu’il est entré en vigueur en mai 2016 et applicable depuis mai 2018.

Manquement au principe de responsabilité du responsable de traitement : L’APD affirme par ailleurs que SPF Santé Publique n’a pas non plus respecté le principe de responsabilité du responsable du traitement édicté par le RGPD en ne prenant pas les mesures nécessaires pour assurer la conformité de ses traitements en permettant l’exercice du droit d’accès aux personnes concernées.

Sanction : Amende de 150K€.

Ce qu’il faut retenir : Il est essentiel que les entreprises mettent en place des process internes (écrits pour pouvoir en justifier si nécessaire) pour pouvoir répondre dans le délai légal d’1 mois à une demande d’exercice des droits par la personne concernée ou son mandataire. Ce process doit idéalement inclure la désignation préalable d’une personne de contact claire pour les personnes, des typologies de vérifications et de réponses possibles en fonction des différentes situations.

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG05-2019_web.pdf


08/07/2019 – UK – ICO – British Airways menacée d’une amende record pour une violation de données >> 183 millions de livres (approximativement 204 millions d’euros)

Origine de l’enquête : En septembre 2018, British Airways signale à l’autorité de protection des données britannique avoir été victime d’une cyberattaque à la suite d’une faille informatique ayant entraîné le vol de données personnelles de ses clients. Parmi ces dernières, la compagnie révèle que les données de 380 000 cartes de paiement (numéro de carte, date d’expiration et code de sécurité) pourraient avoir été dérobées entre fin août et début septembre 2018. Fin octobre, British Airways ajoute que les données de 185 000 autres clients ont également été dérobées plus tôt, entre avril et juillet 2018.

Les faits : Au final, ce sont les données personnelles d’environ 500 000 clients qui ont été compromises lors de l’incident, incluant leurs informations de connexion, de carte de paiement et de réservation de voyage ainsi que leurs nom et adresse. L’enquête approfondie de l’ICO, agissant en tant qu’autorité chef de file pour le compte d’autres autorités de protection des données européennes, a révélé que l’incident avait été rendu possible par de mauvaise dispositions prises par British Airways en matière de sécurité.

Déclaration de l’ICO : L’autorité britannique a déclaré avoir l’intention d’infliger une amende de 183 millions de livres (approximativement 204 millions d’euros) à British Airways, soit environ 1,5% du chiffre d’affaires mondial de la compagnie. Cette amende serait la plus importante jamais prononcée depuis l’entrée en application du RGPD.

L’ICO doit encore entendre les observations de British Airways avant de prendre sa décision finale, sachant que la compagnie pourrait négocier une sanction moins lourde grâce à sa coopération avec l’autorité et l’amélioration de ses dispositions en matière de sécurité depuis l’incident.

Pour en savoir plus : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-ico-announces-intention-to-fine-british-airways/


05/07/2019 – Roumanie – ANSPD – Condamnation de la Legal Company & Tax Hub Srl en raison d’un manquement de sécurité et confidentialité >> 3K€

Les faits : A la suite d’un signalement indiquant qu’un ensemble de fichiers contenant des transactions reçues par le site Web avocatoo.ro, contenant le nom, le prénom, l’adresse postale, le courrier électronique, le téléphone, le travail et les détails des transactions effectuées étaient accessibles au public via deux liens, l’autorité roumaine a procédé un contrôle des activités de traitement de la Legal Company & Tax Hub Srl. Elle a alors constaté la divulgation et l’accès non autorisés, entre le 10 décembre 2018 et le 1er février 2019, aux données personnelles de personnes ayant effectué des transactions sur le site concerné.

Décision :

Manquement sur la mise en œuvre des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié : Le traitement des données était fondé sur le consentement mais la DPA a considéré qu’il ne s’agissait pas ici d’une base légale valable, compte-tenu du déséquilibre évident entre le responsable de traitement et les personnes concernées, les étudiants étant dans une situation de dépendance vis-à-vis de la commission scolaire.

Sanction : Amende de 3K€, sans doute assez réduite dans la mesure où le manquement a été constaté sur une courte période.

Ce qu’il faut retenir : L’autorité roumaine rappelle que le RGPD impose que des mesures de sécurité adaptées soient prises notamment via a) la pseudonymisation et le cryptage des données personnelles; b) la capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et des services de traitement; c) la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps utile en cas d’incident physique ou technique; d) un processus permettant de tester, d’évaluer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

https://bit.ly/2kqYwDg


02/07/2019 – Roumanie – ANSPD – Condamnation de WORLD TRADE CENTER BUCHAREST SA en raison de la divulgation de données clients par ses employés >> 15K€

Les faits : A la suite d’une notification de violation par la société WORLD TRADE CENTER BUCHAREST SA elle-même, l’autorité roumaine a mené une enquête et a constaté qu’une liste imprimée utilisée pour contrôler les clients participant au petit-déjeuner contenait les données personnelles de 46 clients hébergés dans l’hôtel appartenant à WORLD TRADE CENTER BUCHAREST SA, photographiée par des personnes extérieures à l’entreprise non autorisées, qui a conduit à la divulgation des données personnelles de certains clients par le biais de publications.

Décision :

Manquement sur la mise en œuvre des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié Le responsable du traitement des données a été sanctionné pour n’avoir pris aucune mesure visant à garantir que ses employés ayant accès à des données à caractère personnel ne traitent des données à caractère personnel qu’à la demande de celui-ci.

Sanction : Amende de 15K€.

Ce qu’il faut retenir : La mise en œuvre de mesures sécurisant les données personnelles traitées nécessite de sensibiliser ses propres employés à la confidentialité requise et exige de leur imposer une obligation contractuelle en ce sens, qui peut par exemple être mise en place par le biais des dispositions d’un contrat de travail ou d’un règlement intérieur.

https://bit.ly/2kg5evW


# Juin 2019 – France – 2000 comptes fiscaux victimes de piratage informatique

Couac pour l’administration des impôts ! En juin 2019, près de 2000 contribuables ont été victimes d’un piratage informatique par le biais duquel des milliers de feuilles d’imposition ont été trafiquées.

Les hackers ont pris d’assaut 2000 boîtes mails et ont pu récupérer les identifiants fiscaux et mots de passe personnels des contribuables, leur permettant par la suite et simplement, de se connecter sur les espaces personnels en question et de modifier les déclarations fiscales.

Le secrétaire national Solidaires finances publiques s’est inquiété de cet acte de cybercriminalité touchant à la fois les données personnelles des contribuables mais également potentiellement les coordonnées bancaires enregistrées sur le site des impôts, qui peuvent être sujettes à des modifications par les pirates.

Il convient de relativiser ce regrettable incident puisque ce piratage a très vite été neutralisé par la DGFiP (Direction Générale des Finances Publiques) et n’aurait pas eu de conséquences pour les victimes. En effet, le piratage a concerné près de 2000 sur les quelques 31 millions de comptes fiscaux en ligne, permettant aux agents du fisc de rapidement bloquer les comptes piratés et avertir les personnes concernées afin que ces dernières puissent réinitialiser leur compte.


26/06/2019 – Roumanie – ANSPD – Condamnation de UNICREDIT BANK SA pour défaut de sécurité >> 130K€

Les faits : L’autorité roumaine a mené une enquête à la suite d’un signalement. Elle a en effet constaté la divulgation de données personnelles concernant le numéro d’identification personnel et l’adresse des personnes effectuant les paiements à UNICREDIT BANK SA, via des transactions en ligne, dans les documents contenant le détail des transactions et mis à la disposition en ligne des bénéficiaires du paiement, pour 337 042 personnes concernées, entre le 25 mai 2018 et le 10 décembre 2018.

Décision : Manquement sur la mise en œuvre des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié.

Sanction : Amende de 15K€.

Ce qu’il faut retenir : La prise en compte de la sécurisation des données doit être réalisée dès la conception du système utilisé pour le traitement.

https://bit.ly/2lYqo29


19/06/2019 – USA – Youtube fait l’objet d’une enquête pour violation présumée de la vie privée des enfants

Youtube, visé par une enquête de l’autorité américain de la concurrence, le Federal Trade Commission (FTC), pourrait se voir infliger une amende. Cette enquête fait suite à plusieurs plaintes reprochant à Youtube de collecter les données personnelles d’enfants mineurs et de les utiliser pour afficher de la publicité ciblée. Or la loi américaine dite COPPA interdit de collecter les données d’internautes de moins de 13 ans ou d’utiliser ces données à des fins de ciblage.

https://www.washingtonpost.com/technology/2019/06/19/facing-federal-investigation-youtube-is-considering-broad-changes-childrens-content/?noredirect=on


13/06/2019 – CNIL – UNIONTRAD COMPANY : Sanction d’une société de traduction pour vidéosurveillance excessive des 9 salariés >> 20K€

Faits : La société UNIONTRAD COMPANY exerce une activité de traduction assermentée et libre de documents (traduction financière, juridique, état civil).

Ayant été saisie de quatre plaintes, la CNIL rappelle à la société les règles encadrant la mise en place d’un dispositif de vidéosurveillance et vidéoprotection sur les lieux de travail et lui demande de lui transmettre des informations complémentaires sur ce dispositif. La société a alors confirmé que ce dispositif s’inscrivait dans un souci de sécurité des personnes et des biens et non pour surveiller les activités du personnel.

Quelques mois plus tard, après quatre nouvelles plaintes faisant état d’une surveillance constante, la CNIL a procédé à un contrôle sur place et constate la présence de trois caméras dans les locaux de la société dont l’une installée dans le bureau des traducteurs, qui n’est pas accessible au public, et permettant de visualiser en continu les postes de travail. Elle note également que ce dispositif n’a fait l’objet d’aucune information formelle à destination des salariés, que la durée de conservation des images dépasse celle prévue pour la finalité du traitement et que la sécurité et confidentialité des données ne sont pas assurées lors de l’accès aux postes informatiques.

La CNIL a mis en demeure la société de se mettre en conformité dans un délai de 2 mois en déplaçant la caméra présente dans le bureau des traducteurs afin d’éviter de filmer de manière continue, en appliquant une durée de conservation maximale des enregistrements de 15 jours, en informant les salariés de la présence des caméras et en mettant en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la boîte de messagerie professionnelle.

Quelques mois plus tard, la CNIL a procédé à un second contrôle sur place lui permettant de constater que la société n’avait pas mis en place les mesures précitées.

Principe de proportionnalité et collecte nécessaire à l’objectif poursuivi : La CNIL reproche à UNIONTRAD COMPANY de n’avoir pas justifié, notamment par des impératifs de sécurité, le placement sous surveillance permanente de ses salariés. En effet, plusieurs éléments doivent être pris en compte lors de l’installation de ce système à savoir l’orientation, le nombre, l’emplacement, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les salariés. Par ailleurs, elle lui reproche de s’être mise en conformité tardivement, alors même que la mise en demeure qui lui était adressée établissait des rappels sur la nécessité de mettre en place un dispositif de vidéosurveillance proportionné au regard des finalités mises en œuvre.

Information des personnes : La CNIL a constaté qu’aucune information formelle n’avait été communiquée aux salariés concernant le dispositif mis en place mais a été informée que la société s’engageait à rédiger une note d’information. Toutefois, la CNIL reproche à la société le non-respect des mesures de mise en conformité énoncées ainsi que les diligences tardives.

Obligation de sécurité et confidentialité des données : La CNIL reproche à UNIONTRAD COMPANY l’emploi d’un identifiant et mot de passe uniques et partagés pour l’ensemble des salariés afin d’accéder à la boîte de messagerie ainsi que l’accès aux postes informatiques libres de toute authentification. Elle considère par ailleurs que la mise en conformité est arrivée trop tardivement compte tenu de la gravité des faits reprochés (plus d’un an après le premier contrôle sur place) et qu’aucune réponse n’a été apportée s’agissant des mesures visant à assurer la traçabilité des accès à la boîte de messagerie professionnelle générique.

Sanction : Une amende de 20K€ assortie de la publicité de la décision qui tient compte de la pluralité des manquements, leur persistance, leur gravité (en particulier le caractère disproportionné du dispositif de vidéosurveillance) et le manque de coopération et de diligence de la société pour remédier aux manquements constatés, et ce malgré les nombreux échanges effectués avec la CNIL depuis nombre d’années. La CNIL tient toutefois compte des mesures prises par la société au cours de l’instruction et de la procédure afin de se mettre en conformité ainsi que de sa taille et de sa capacité financière.

Ce qu’il faut retenir : Avant de mettre en place un dispositif de vidéosurveillance et vidéoprotection des locaux d’une entreprise, il convient de veiller à la proportionnalité compte tenu de la finalité poursuivie. De ce fait, sauf exceptions particulières, il n’est pas toléré de placer les salariés sous surveillance constante. Enfin, la CNIL considère visiblement que 15 jours est une durée maximale suffisante de conservation d’enregistrements de vidéo surveillance. Comme pour tout traitement de données personnelles, les individus concernés doivent être suffisamment informés sur le dispositif mis en place. Une fois encore, il est nécessaire de prévoir une sécurité suffisante des postes informatiques et accès.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038629823&fastReqId=946473298&fastPos=1


30/05/2019 – Publication du décret d’application finalisant l’adaptation du droit français en matière de vie privée

Le décret d’application n°2019-536 du 29 mai 2019 publié le 30 mai et entré en vigueur le 1er juin vient clore le travail d’adaptation et de modernisation de la loi « Informatiques et Libertés » du 6 janvier 1978.

Il s’inscrit dans une logique d’uniformisation de la législation nationale avec le droit européen et finalise le cadre juridique français déjà adapté via la loi du 20 juin 2018 modifiant la loi « Informatique et Libertés », son décret du 1er août 2018 et l’ordonnance du 12 décembre 2018.

La CNIL, qui a analysé et donné son avis sur ce texte, estime que la mise en cohérence avec le RGPD et la clarification du cadre juridique national sont ainsi assurés.

Pour en savoir plus : https://www.legifrance.gouv.fr/eli/decret/2019/5/29/JUSC1911425D/jo/texte


29/05/2019 – Belgique – APD – Condamnation du bourgmestre d’une commune flamande >> 2K€

Origine de l’enquête : Plainte auprès de l’APD concernant l’utilisation par un bourgmestre (équivalent du maire en Belgique) de données obtenues dans le cade de l’exécution de sa fonction à des fins de campagne électorale.

Faits : Les plaignants avaient, via leur architecte, contacté le bourgmestre de la commune au sujet d’une modification de lotissement. Dans l’e-mail de l’architecte destiné au bourgmestre, les plaignants étaient tous en « copie ».

A la veille des élections communales du 14 octobre 2018, le bourgmestre se servit de la fonction « répondre » afin d’envoyer un message électoral à l’ensemble des plaignants.

Détournement de finalité : Le 28 mai 2019 les deux parties furent entendues par la Chambre Contentieuse de l’APD qui a conclu que le bourgmestre avait bel et bien commis une infraction au RGPD.

En effet, l’APD explique que les données collectées par un responsable de traitement doivent être collectées pour des finalités déterminées et que ces données doivent toujours être traitées de manière à être compatible avec les finalités en question.

Au vu de cela, l’utilisation d’adresses e-mail à des fins de campagne électorale alors que ces mêmes adresses e-mail avaient été obtenues dans le cadre d’un projet urbain, constitue une infraction claire au RGPD. L’APD a expliqué combien ce principe de finalité est une règle cruciale du RGPD mais aussi que « Le respect du RGPD vaut pour tous les responsables de traitement, et très certainement pour les détenteurs d’un mandat public. »

Sanction : 2K€ – C’est la première sanction financière au titre du RGPD en Belgique. L’amende reste assez modérée en raison du faible nombre de personnes impactées.

https://www.autoriteprotectiondonnees.be/news/lautorite-de-protection-des-donnees-prononce-une-sanction-dans-le-cadre-dune-campagne


28/05/2019 – CNIL – Immobilier : Sanction lourde de la société SERGIC pour une atteinte aux données personnelles >> 400K€

Faits : Le groupe Sergic exerce son activité dans le domaine immobilier, notamment via son site web www.sergic.com, qui permet par exemple à l’internaute de compléter son dossier de demande de location de logement en téléchargeant les pièces justificatives nécessaires.

Après une plainte d’un utilisateur, la CNIL constate lors de son contrôle en ligne du site www.sergic.com que de nombre de ces pièces (RIB, relevés de comptes, copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, jugements de divorces, etc.) étaient accessibles librement. Ayant alerté Sergic de cette faille, la CNIL procède ensuite à un contrôle sur place et note que la société avait en fait connaissance de la faille depuis 6 mois et que les corrections n’ont été finalisées que 10 jours après le signalement de la violation par la CNIL.

Obligation de sécurité et confidentialité des données : La CNIL reproche à Sergic de n’avoir pas pris des mesures minimales de sécurité sur son site web à savoir une procédure d’authentification des utilisateurs du site de sorte que seules les personnes ayant téléchargé les pièces puissent y accéder aux pièces. La CNIL a par ailleurs considéré que manquement à cette obligation de sécurité était aggravé tant par la nature des informations que par le manque de diligence de la Sergic pour corriger la faille sachant qu’une telle violation aurait dû entrainer une mesure d’urgence pour en limiter les conséquences.

Durée de conservation : La CNIL a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location, donc au-delà de la durée nécessaire à l’attribution de logements. Par principe, la durée de conservation doit être limitée et être déterminée en fonction de la finalité du traitement. Lorsque cette finalité, ici la location d’un bien immobilier) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

Sanction : Une amende de 400K€ assortie de la publicité de la décision qui tient compte de la gravité de la violation (des données permettant l’identification directe des personnes et parfois très intimes, plus de 290.000 fichiers et près de 30.000 personnes concernées), de l’absence de diligence de la société à remédier à la faille mais également de sa taille et de la capacité financière de la société (CA 2017 : environ 43 millions d’€).

Ce qu’il faut en retenir : Les critères retenus pour caractériser une grave violation de données sont en particulier le nombre de données, leur caractère directement identifiant, leur caractère intime.

Une violation de telles données doit engendrer des mesures d’urgence par le responsable de traitement, pour limiter son ampleur comme par exemple ici le déplacement des fichiers concernés vers un répertoire temporaire ou la mise en place d’une mesure de filtrage des URL.

Pour en savoir plus : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1


25/05/2019 – Données personnelles de plus d’1 million d’influenceurs Instagram compromises

Pour en savoir plus : https://www.ladn.eu/adn-business/digital/reseaux-sociaux-digital/serveur-stockerait-milliers-informations-instagram-mot-passe/


10/05/2019 – UK – ICO – Mise en demeure de l’administration des impôts et des douanes Britanniques ; Her Majesty’s Revenue and Customs

 Origine de l’enquête : En janvier 2017, Her Majesty’s Revenue and Customs (HMRC) a décidé de mettre en œuvre un système d’authentification vocale (Voice ID) sur certaines de ses lignes d’assistance téléphonique. Le service permet à HMRC d’identifier l’appelant par sa seule voix, voix qui constitue une donnée biométrique. « Big Brother Watch  » a déposé une plainte auprès de l’ICO, et a fourni des enregistrements d’appels montrant l’expérience vécue par les clients.

Les faits : Les enregistrements partagés par ‘Big Brother Watch’ ont montré que les clients étaient informés que HMRC avait une nouvelle façon de vérifier leurs identités et qu’ils devaient répéter « ma voix est mon mot de passe », afin de s’inscrire. On ne leur a pas indiqué où ils pouvaient trouver de plus amples renseignements sur le service, ni s’ils avaient la possibilité de ne pas utiliser le service Voice ID.

Après avoir recueilli une quantité considérable de données biométriques, HMRC a émis un avis de confidentialité relatif au service d’identification vocale le 27 juillet 2018, puis, durant la semaine du 8 octobre 2018, HMRC a apporté des changements au système, notamment en donnant aux clients la possibilité de ne pas s’inscrire.

Malgré ces changements, HMRC avait déjà recueilli les données biométriques de 7 millions de clients sans avoir obtenu leur consentement explicite. Ils ont tenté de contacter leurs clients afin d’obtenir leur consentement rétroactif. Seulement 20 % d’entre eux ont répondu, dont 260 551 ont décidé de ne pas donner leur consentement. HMRC a effacé les données de ces personnes mais conserve toujours les données biométriques obtenues sans le consentement explicite des 5,5 millions de clients n’ayant pas donné suite à la tentative de contact de HMRC.

Décision : L’ICO a déterminé que le HMRC a contrevenu au RGPD en effectuant un traitement illicite, faute d’obtenir le consentement de la personne concernée.

L’ICO mentionne également le déséquilibre de pouvoir important entre les clients et le HMRC comme facteur aggravant.

HMRC dispose de 28 jours (à compter du 9 mai 2019) pour se conformer aux exigences suivantes.

– Supprimer toutes les données biométriques pour lesquelles aucun consentement explicite n’a été donné.

– Exiger que tous les fournisseurs impliqués dans le système d’identification vocale effacent toutes les données biométriques pour lesquelles ils n’ont pas obtenu de consentement explicite.

A défaut, le HMRC s’expose à une amende maximale de 20 millions d’euros ou de 4% de son chiffre d’affaires.

Ce qu’il faut retenir : il sera intéressant de suivre dans quelle mesure HMRC fera le nécessaire pour se mettre en conformité dans le délai imparti, sachant en tout état de cause que même les organisations gouvernementales les plus importantes se doivent aussi de respecter le RGPD, l’affaire étant ici d’autant plus importante qu’elles concernent un volume très élevé de données personnelles particulièrement sensibles (données biométriques).

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/

https://ico.org.uk/media/action-weve-taken/enforcement-notices/2614924/hmrc-en-201905.pdf


07/05/2019 – UK – ICO – Condamnation de Hall and Hanley Limited, société spécialisée dans les remboursements des assurances de protection emprunteur pour cause de SMS non sollicités : £120 000 (approximativement 135K€)

Note. Compte tenu de la date des faits, le RGPD ne s’appliquait pas encore

Origine de l’enquête : Plus de 1000 plaintes ont été déposées par l’intermédiaire du service 7726 de la GSMA* et 96 plaintes ont été adressées directement à l’ICO, toutes concernant Hall and Hanley Limited (H&H), une société de remboursement d’assurance emprunteur. Une première lettre d’enquête a été envoyée à H&H par l’ICO le 12 juillet 2018.

Les faits : H&H a reconnu avoir fait appel aux services de tiers qui, à sa demande, ont envoyé 3 560 211 SMS non-sollicités entre le 1 janvier 2018 et le 26 juin 2018. Il s’est avéré par la suite que ce chiffre représentait le nombre de messages distribués avec succès, tandis que près de 5 millions de messages avaient en réalité été envoyés par les prestataires de H&H.

Les prestataires engagés par H&H étaient chargés d’obtenir les données (en provenance de 4 sites web différents) et le consentement des individus, avant d’envoyer les messages de marketing direct, le tout au nom de H&H.

Bien que H&H n’envoyait pas elle-même directement les messages, elle en était clairement l’instigatrice par l’intermédiaire des tiers qu’elle avait engagés.

Décision : En étant responsable de la distribution (et donc responsable du traitement de données personnelles) de plus de 3 millions de SMS non sollicités pour lesquels aucun consentement valide n’avait été obtenu, entre le 1er janvier 2018 et le 26 juin 2018, H&H a agi en violation de la PECR (la loi britannique issue de la directive « vie privée et communications électroniques » de l’UE de 2002).

En tant qu’instigatrice des messages, H&H devait s’assurer que les tiers agissant au nom de l’entreprise avaient obtenu un consentement valide. 2 des sites Web sur lesquels les numéros de téléphone ont été obtenus ne mentionnaient pas du tout H&H, ce qui empêchait les utilisateurs de donner leur consentement éclairé. Les deux autres sites Web mentionnaient H&H mais ne permettaient pas aux utilisateurs de choisir spécifiquement les tiers par lesquels ils souhaitaient être contactés, ni de refuser toute communication provenant de tiers tout en gardant accès au site Web, empêchant ainsi les utilisateurs de donner un consentement libre et spécifique.

L’OIC a également mentionné que la promotion du respect de la PECR était un objectif sous-jacent dans sa décision d’infliger une sanction pécuniaire.

Sanction : Amende de 120 000 £ payable au plus tard le 5 juin 2019 et ramenée à 96 000 £ en cas de réception du paiement avant le 4 juin 2019.

https://ico.org.uk/media/action-weve-taken/mpns/2614866/hall-and-handley-ltd-mpn-201905.pdf

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/ico-fines-ppi-claims-company-120-000-for-millions-of-nuisance-texts/

*Le GSMA est un organisme mondial défendant les intérêts des opérateurs téléphoniques. Leur numéro 7726 permet aux utilisateurs de téléphone portable de signaler des SMS non-sollicités (spam).


23/04/2019 – Indemnisation du préjudice consécutif à une perte de données personnelles >> plus de 530K€

Faits : En janvier 2006, la société Haulotte confie la gestion de son système d’information à la société Euriware (rachetée plus tard par CAPGEMINI). A la suite d’un problème technique survenu en avril 2011, 200 000 fichiers sont perdus pour la société Haulotte et le système de sauvegarde se révèle défaillant. Haulotte fait alors appel à un autre prestataire pour chiffrer la reconstruction des données perdues sur la base d’une clause de réversibilité prévue dans son contrat avec Euriware et résilie alors ce dernier contrat pour faute grave. Haulotte demande également au Tribunal de Commerce de Lyon de nommer un expert pour chiffrer le préjudice subi à l’occasion de la perte de données. Une ordonnance est alors rendue en décembre 2012 par l’expert du Tribunal qui chiffre l’indemnisation due à Haulotte à 300K€. Euriware en fait appel auprès de la Cour d’appel de Lyon. Les magistrats remettent alors en cause le montant de cette indemnité par un arrêt de février 2014 en retenant que la société Haulotte ne peut avancer ce chiffre de façon certaine après la seule intervention de l’expert du Tribunal de Commerce. Toutefois le Tribunal de Commerce de Nanterre retient au contraire cette expertise et après avoir pris en compte le montant de l’expert, la demande d’Haulotte et l’existence d’un plafond contractuel pour le versement d’indemnités contractuelles, il fixe le montant du préjudice subi par la société Haulotte à la somme de 537 896,04€ et assortit son jugement de l’exécution provisoire.

Montant de l’indemnisation : 537 896,04€ + 15 000€ au titre de l’article 700 NCPC

Ce qu’il faut retenir : La sécurité des données personnelles exige une relecture et sécurisation si nécessaire, des contrats conclus avec les prestataires externes qui les manipulent.  Le RGPD a prévu à la charge des sous-traitants des obligations et une responsabilité propre en cas de manquement. Le présent jugement est intéressant car il expose un mode de calcul pour la définition du préjudice subi par la société victime de la perte de données.

Pour en savoir plus : https://www.legalis.net/jurisprudences/tribunal-de-commerce-de-nanterre-5eme-ch-jugement-du-23-avril-2019/


23/04/2019 – TGI Bordeaux (référé)– Pas de condamnation pour le compteur Linky !

Faits : La société Enedis est chargée de la gestion et de l’aménagement de 95% du réseau de distribution d’électricité en France et installe le compteur Linky qui a défrayé la chronique au sujet de l’intrusion de ce système dans la vie privée des utilisateurs, forcés de l’accepter.

Le 2 janvier 2019, plus de 200 personnes ont assigné Enedis devant le juge des référés du tribunal de grande instance de Bordeaux pour s’opposer à l’installation dudit compteur ou en demander le retrait.

Base légale : Les demandeurs soutenaient que le consentement au traitement des données était nécessaire et qu’il devrait donc être recueilli auprès des personnes concernées et en toute transparence (avec donc une possibilité de non consentement). Enedis s’est défendue en invoquant que la base légale de son traitement de données n’est pas le consentement puisqu’elle a une obligation légale et réglementaire de collecter des données de consommation mais également de les communiquer aux fournisseurs d’électricité pour l’exercice de leurs missions et répond aux obligations contractuelles acceptées par les utilisateurs.

Décision : Les juges ont pu établir que les demandeurs n’apportent aucune preuve d’une utilisation illicite ou à d’autres finalités (que la facturation de la consommation ou la gestion de la distribution) des données de consommation par Enedis qui s’est par ailleurs soumise au contrôle préalable de la CNIL (pendant les périodes de conception, test puis déploiement). Ils estiment que les compteurs Linky assurent une anonymisation des informations pendant leur transmission, par le cryptage ainsi que l’absence de toute référence d’identification nominative mais uniquement l’identification d’un « point de livraison ». De ce fait, les personnes habitant au foyer ne sont pas considérées comme des personnes identifiables au sens de l’article 4 du RGPD, ce qui exclut le recueil du consentement de chacun des occupants. Le 23 avril 2019, le Tribunal a donc débouté les demandeurs de toutes leurs prétentions au titre du RGPD.

https://www.legalis.net/jurisprudences/tgi-de-bordeaux-ordonnance-de-refere-du-23-avril-2019/


18/04/2019 – Nouvelle faille dans la sécurité des données détenues par Facebook / Instagram

Le 21 mars 2019, Facebook informe les internautes par un billet publié dans sa Newsroom que des dizaines de milliers de mots de passe d’utilisateurs d’Instagram ont été stockés sans cryptage sur ses serveurs internes. Quelques semaines plus tard, le 18 avril, Facebook revient sur sa déclaration en corrigeant l’ampleur de l’information puisqu’il s’agit en réalité de millions d’utilisateurs qui seraient concernés par cette faille.

Les mots de passe n’auraient pas été compromis et Facebook confirme qu’aucun usage malveillant de ces mots de passe n’a été repéré.

Cette nouvelle affaire est toutefois de nature à conforter la méfiance actuelle des internautes vis-à-vis du réseau social américain dont la gestion des données personnelles est déjà très controversée.

Pour en savoir plus : https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/


17/04/2019 – CNIL – Quand la CNIL réforme une sanction en prenant en compte le comportement du responsable de traitement

Note. Etant donné que cette décision réforme une précédente délibération en date du 07/05/2018 ( c/Optical Center), le RGPD ne s’applique pas ici

Origine de l’enquête : La CNIL a été informée d’un défaut de sécurité rendant librement accessibles des données à caractère personnel sur le site de la société.

Les faits : Un signalement a été reçu par la CNIL le 28 juillet 2017 faisant état de données à caractère personnel rendues librement accessibles sur le site de la société Optical Center.
Par un contrôle en ligne le 31 juillet 2017, la CNIL a constaté un défaut lors des commandes en ligne sur le site web : notamment l’accès possible à des centaines de factures de clients contenant des données personnelles (nom, prénom, adresse postale, données de santé et parfois date de naissance et numéros de sécurité sociale).
Le 2 août 2017, Optical Center déclare avoir corrigé avec son prestataire le défaut de sécurité affectant son site.
Lors d’un contrôle sur place effectué le 9 août 2017, la CNIL a constaté l’adjonction d’une fonctionnalité permettant de sécuriser l’accès aux comptes clients et aux données personnelles les concernant.
Malgré la collaboration active d’Optical Center pour résoudre la faille, la CNIL a prononcé une sanction de 250.000 euros ainsi que la publication de cette dernière car les données rendues accessibles étaient particulièrement sensibles et nombreuses (334.769 documents) et le nombre de clients touchés important et considérant que la restriction d’accès aux documents présents sur les espaces personnels est une précaution d’usage essentielle ; la société connaissait les risques de sécurité informatique, ayant déjà été condamnée en 2015 (à 50K€).

Par requête en date du 25 juillet 2018, Optical Center sollicite du Conseil d’Etat :
– L’annulation de la décision concernant l’amende et la publication de cette dernière ;
– A titre subsidiaire la réduction du montant de l’amende ;
– Le prononcé de la clôture de la procédure eu égard la mise en conformité du site litigieux ;
– De mettre à la charge de la CNIL la somme de 6.000 euros au titre de l’article L 761-1 du Code de justice administrative.
Optical Center considère s’être mis en conformité le 2 août 2017, soit 5 jours après le signalement reçu et 2 jours après le contrôle en ligne opéré par la CNIL.

Décision : La CNIL justifie sa décision en établissant que des précautions de sécurité suffisantes auraient pu être mises en place en amont de la mise en production du site internet afin d’éviter toute violation des données à caractère personnel de la part du responsable de traitement, qui constituerait un manquement à ses obligations de sécurité.
Sanction : Néanmoins, en retenant une sanction pécuniaire de 250.000 euros à l’encontre d’Optical Center, la CNIL n’a pas pris en compte la célérité avec laquelle ladite société à apporter les mesures correctrices de nature à remédier aux manquements précités ; la sanction pécuniaire est ramenée à un montant de 200.000 euros.

Ce qu’il faut retenir : La CNIL doit sanctionner en tenant compte de la nature, de la gravité et de la durée de ces manquements mais aussi du comportement du responsable de traitement.

https://www.legalis.net/jurisprudences/le-conseil-detat-10eme-9eme-ch-reunies-decision-du-17-avril-2019/


17/04/2019 – Italie – Garante – 1ère sanction pécuniaire en Italie au titre du RGPD avec la condamnation d’un sous-traitant, prestataire du parti politique « Movimiento 5 Stelle » (mouvement 5 étoiles) >> 50K€

Les faits : Plusieurs sites internet du parti politique Italien Movimiento 5 Stelle sont gérés par un sous-traitant, la plateforme Rousseau. En 2017, à la suite d’une violation de données subie par cette plateforme, l’autorité Italienne exige d’elle :

-la mise en place de mesures de sécurité supplémentaires

– et la mise à jour des mentions d’informations afin d’améliorer la transparence des traitements effectués.

Lors d’une visite d’inspection menée par l’autorité Italienne en novembre 2018, cette dernière s’aperçoit que les mentions d’information ont bien été mises à jour mais que contrairement à ce que l’autorité avait exigé, des mesures de sécurité suffisantes n’ont pas été mises en place.

Il est important de noter que même si la procédure avait démarré en 2017, l’autorité a pu sanctionner Rousseau au titre du RGPD après une mise en demeure effectuée après le 25 Mai 2018. Il est également important de constater que la Garante a condamné non pas le responsable de traitement Movimiento 5 Stelle mais bien le sous-traitant Rousseau, avec un montant d’amende aussi élevé que pour des sanctions de responsables de traitement.

Sanction : Amende de 50K€

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974


16/04/2019 – ICO – Une société de pompes funèbres est mise en demeure et reçoit une amende pour cause de démarchage téléphonique : £80 000 (approximativement 90K€)

 Note. Compte tenu de la date des faits, le RGPD ne s’appliquait pas encore

Origine de l’enquête : Le journal britannique (« Mail on Sunday ») a publié un article le 19 novembre 2017 faisant état d’appels indésirables provenant d’un centre d’appel du Cheshire géré par la société Plan My Funeral Avalon Limited (qui a depuis changé son nom en Avalon Direct Limited (ci-après ADL)). Ces appels s’adressaient principalement à des personnes âgées afin de faire la promotion de l’entreprise des pompes funèbres.

Les faits : Après une enquête auprès de l’entreprise, ADL a révélé avoir effectué un total de 5 413 396 appels entre le 1er mars 2017 et le 20 novembre 2017. Il a également été révélé que les numéros qui ne répondaient pas étaient ensuite appelés à nouveau par un système d’appels automatiques. L’ADL a expliqué qu’elle avait obtenu les numéros sur des sites Web tiers. Après consultation, il s’est avéré que ces sites Web n’ont pas identifié ADL assez clairement pour pouvoir obtenir un consentement valide.

L’ICO a ensuite poursuivi son enquête sur les appels et a constaté que 134 142 d’entre eux avaient abouti. 51 917 de ces appels ont été effectués vers des numéros enregistrés auprès du TPS. Le TPS est un organisme mis en place par l’ICO et auprès duquel les utilisateurs peuvent enregistrer leur numéro de téléphone afin d’éviter de recevoir des appels indésirables. Les entreprises de marketing direct sont alors tenues par la loi de s’assurer qu’elles n’appellent aucun numéro de la liste TPS, à l’exception de ceux pour lesquels elles ont obtenu un consentement valide.

Décision : En effectuant plus de 50.000 appels non sollicités vers des numéros inscrits sur la liste du TPS, l’ADL a agi en violation du PECR (la loi britannique dérivée de la directive « vie privée et communications électroniques » de l’UE de 2002). L’ICO considère que la société était parfaitement consciente de ses obligations et a donc agi en toute connaissance de cause. Le fait que les appels visaient des personnes fragiles (personnes âgées) est retenu comme un facteur aggravant.

Sanction : 80 000 £ d’amende payable avant le 15 mai 2019, réduite à 64 000 £ en cas de réception du le paiement avant le 14 mai 2019, ainsi qu’une mise en demeure avec un délai de mise en conformité de 35 jours. ADL doit s’assurer qu’elle cesse d’appeler les numéros appartenant à :

1) des individus qui ont déjà signifié à ADL qu’ils ne veulent pas être contactés

2) des individus inscrits sur la liste du TPS qui n’ont pas donné leur consentement valide à ADL

https://ico.org.uk/media/action-weve-taken/mpns/2614789/avalon-mpn-20190412.pdf

https://ico.org.uk/media/action-weve-taken/enforcement-notices/2614788/avalon-en-20190412.pdf

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/ico-fines-funeral-plan-firm-and-asks-public-to-help-elderly-relatives-to-report-nuisance-calls/


11/04/2019 – UK – ICO – Courtage de données de femmes enceintes et jeunes parents pour des opérations de marketing direct – La société Bounty condamnée : £400 000 (approximativement 450K€)

 Note. Compte tenu de la date des faits, le RGPD ne s’appliquait pas encore

Origine de l’enquête : Au cours d’une enquête sur les pratiques non conformes dans l’industrie du courtage de données, Bounty a été identifiée comme étant un fournisseur important de données personnelles à des tiers à des fins de marketing direct. En effet, Bounty est une entreprise qui se décrit comme un club de soutien pour les femmes enceintes ainsi que les jeunes parents. Elle fournit aux parents, avant et après la naissance, des  » packs  » d’échantillons en fonction d’abord de l’avancement de la grossesse et puis ensuite de l’âge de l’enfant. Elle propose également une application mobile permettant aux futures mamans de suivre leur grossesse. Enfin, elle opère un service de courtage de données permettant de fournir du marketing hébergé pour le compte de tiers et, jusqu’au 30 avril 2018, elle transmettait également des données à des tiers à des fins de marketing direct électronique.

Les faits : Bounty a collecté des données personnelles dans le cadre de son processus d’inscription (via son site web, son application mobile, les formulaires cadeaux « future maman » mais aussi directement auprès des mères venant d’accoucher à l’hôpital), à savoir : Nom, prénom, date de naissance des parents, adresse e-mail, adresse postale, code postal, état de grossesse, « maman pour la première fois ? » prénom, nom, sexe et date de naissance de l’enfant. L’application mobile a également recueilli des données de localisation. Les données étaient conservées indéfiniment, à moins qu’une personne concernée fasse une demande contraire par écrit.

Bounty a déclaré à l’ICO qu’entre le 1er juin 2017 et le 9 janvier 2018, elle a partagé 34 267 889 fiches de données personnelles appartenant à 14 315 438 individus, avec 39 organisations différentes.

La politique de confidentialité de Bounty mentionnait seulement que les données personnelles seraient partagées avec des « tiers soigneusement sélectionnés », mais ne mentionnait aucun nom spécifique. Une liste « nominative » a ensuite été mise en ligne le 9 janvier 2018 (non communiquée aux personnes s’inscrivant hors ligne – formulaires cadeaux, hôpital). Le 30 avril 2018, Bounty a cessé tout partage de données personnelles avec des tiers.

Décision :  L’ICO a constaté qu’à compter du 1er juin 2017 et jusqu’au 9 janvier 2018 pour les personnes s’inscrivant en ligne et jusqu’au 30 avril 2018 pour ceux s’inscrivant hors ligne, Bounty n’a pas traité de façon transparente les données des personnes concernées et les a empêchés de donner un consentement éclairé.

En se concentrant uniquement sur les 4 principales organisations avec lesquelles Bounty partageait des données (à savoir Sky, Acxiom, Indicia et Equifax), l’ICO a conclu que Bounty avait communiqué de manière illicite plus de 34 millions de dossiers de données personnelles. L’ICO a considéré la gravité de cette violation en raison du nombre extrêmement élevé de personnes concernées (14 millions – un nombre sans précédent dans les enquêtes de courtage de données de l’ICO) et sachant que l’enquête a porté uniquement sur une partie des partages de données par Bounty (le nombre total de personnes touchées étant donc potentiellement bien plus élevé). L’ICO estime également que les actions de Bounty étaient manifestement délibérées, car d’après les échanges de l’ICO avec l’entreprise les dirigeants de Bounty étaient au courant de l’infraction et avaient prévu des mesures pour se mettre en conformité (mesures qui n’ont finalement pas été prises).

Sanction : Amende de 400 000£ (environ 450 000€), payable au plus tard le 16 mai 2019, ramenée à 320 000£ en cas de réception du paiement avant le 15 mai 2019.

https://ico.org.uk/media/action-weve-taken/mpns/2614757/bounty-mpn-20190412.pdf


10/04/2019 – ICO – True Vision Production condamnée à une amende pour prises de vue illégales dans une clinique : £120 000 (approximativement 135K€)

 Note. Compte tenu de la date des faits, le RGPD ne s’appliquait pas encore.

Origine de l’enquête : Certain patients, dérangés par le fait qu’ils étaient filmés dans les salles d’examen de l’hôpital d’Addenbroke et d’autres, qui eux s’étaient clairement opposés au tournage, ont commencé à se plaindre dans les médias aux alentours du 29 novembre 2017. Les prises de vue ont cessé le 29 novembre 2017 et l’ICO a pris connaissance de l’affaire.

Les faits : Dans le cadre d’un documentaire sur les mortinaissances (enfants morts nés), True Vision Production (ci-après TVP) – une société de production télévisuelle – a installé des caméras dans certaines salles de la clinique 23 de la maternité d’Addenbroke’s géré par le Cambridge University Hospitals NHS Foundation Trust (ci-après « The Trust »).

La clinique 23 s’adressait tout particulièrement aux patientes sans rendez-vous qui étaient enceintes et se préoccupaient du bien-être de leur fœtus. De ce fait, les données capturées par les caméras étaient de nature particulièrement sensible et personnelle.

Obligation d’obtenir le consentement : La TVP n’informait pas directement et de manière spécifique les patientes qu’elles faisaient l’objet de prises de vue (le personnel de la TVP n’était présent à la clinique que 3 à 4 jours par semaine). De simples affiches de tournage ou lettres d’information avaient été installées près des caméras et dans la salle d’attente sans préciser de quelle manière les patientes pouvaient éviter d’être filmées tout en gardant la possibilité d’être examinés par les médecins (aucun moyen d’arrêter les caméras, possibilité de placer un sac sur la caméra si le patient ne souhaitait pas être filmé et que la seule chambre de la clinique 23 qui n’avait pas de caméra était déjà occupée). La TVP assure qu’aucun être humain n’a eu accès aux images et que lorsque celles-ci ne concernaient pas une mortinaissance ou que la personne concernée n’avait pas donné son consentement, les images étaient supprimées après 3 jours. Au total, 1990 individus furent concernés du 24 juillet 2017 au 29 novembre 2017.

Alors que la presse commençait à s’emparer de l’affaire, la TVP mis fin au tournage le 29 novembre 2017 avant de redémarrer un peu plus tard avec des caméras portables cette fois-ci.

Décision : Bien que la TVP ait insisté sur le fait qu’aucun être humain n’avait accès aux données, ses méthodes relevaient tout de même d’un traitement de données à caractère personnel.

L’ICO a déterminé que le traitement des données n’était pas licite dans la mesure où aucun patient ne peut s’attendre à ce qu’il y ait des caméras dans les salles d’examen et ce d’autant plus sans avoir été informé du tournage au préalable, les seuls avis affichés n’étant pas suffisant pour attirer leur attention notamment compte tenu de leur stress et anxiété. L’ICO confirme qu’il était par ailleurs impossible pour les patients d’avoir donné leur « consentement explicite », ainsi que la gravité de l’infraction est grave en raison de la nature des données personnelles concernées ainsi que du nombre d’individus touchés.

Sanction : Une amende de 120 000 £ payable au plus tard le 9 mai 2019, qui sera ramenée à 96 000 £ en cas de réception du paiement avant le 8 mai 2019.

https://ico.org.uk/media/action-weve-taken/mpns/2614746/true-visions-productions-20190408.pdf

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/ico-fines-production-company-120-000-for-unlawful-filming-in-maternity-clinic/


09/04/2019 – France – TGI Paris – Défaut de transparence – 430 clauses des Conditions d’utilisation de Facebook jugées illicites : une belle victoire juridique, une maigre sanction >> 30K€

Ce n’est pas sur la base des dispositions de la LIL (le RGPD n’existait pas encore au début de l’affaire 5 ans plus tôt) que l’Association UFC Que Choisir a choisi de se battre contre Facebook Ireland, dans sa bataille pour le respect de la vie privée des internautes par les réseaux sociaux, mais sur la base du code de la consommation.

Presque toutes les clauses émises par Facebook entre 2013 et 2016 dans ses différentes versions de conditions générales et soumises aux juges ont été considérées comme abusives et illicites, notamment sur les points d’utiliser gratuitement ou de revendre sans limite de durée les contenus créés par ses utilisateurs, de conserver indéfiniment les données de ses utilisateurs même après suppression de leur compte ou de suspendre ou supprimer un compte ou un contenu sans la permission de son auteur sans aucune justification ou recours.

La condamnation à 30K€ à verser à UFC Que Choisir en réparation du préjudice moral occasionné peut paraître faible pour une entreprise comme Facebook et en comparaison du million demandé par l’association. Cependant Facebook a également été condamné à afficher sur la page d’accueil de son site un lien menant vers le jugement, avec l’impact en matière de réputation et d’image d’un tel dispositif.

Pour en savoir plus : Jugement Facebook


05/04/2019 – UK – ICO – Condamnation d’un ex-directeur de cabinet médical : £120 (approximativement 135€)

 Note. Compte tenu de la date des faits, le RGPD ne s’appliquait pas encore.

Origine de l’enquête : Pour des raisons de continuité des activités, un membre de l’établissement de santé a eu accès au compte NHS (service de santé national au Royaume – Uni) de Shamim Sadiq et a constaté l’infraction. L’établissement de santé l’a ensuite signalée à l’ICO.

Les faits : Le 3 novembre 2017, Shamim Sadiq est suspendue de ses fonctions au Hollybrook Medical Center de Littleover, Derby, pour des raisons aucunement liées à l’affaire en question.

Le 4 novembre 2017, elle avait transféré un courriel de son compte e-mail du NHS (compte professionnel) vers son compte mail personnel sans raison professionnelle valable. Le courriel en question contenait les détails de candidatures soumises pour un poste vacant au centre médical plusieurs mois auparavant et comprenait des données personnelles telles que le nom, l’adresse électronique personnelle, l’adresse du domicile, le numéro d’assurance sociale des candidats ainsi que les données personnelles des postulants.

Le 5 Novembre 2017, elle reçoit sur sa boite professionnelle un e-mail confirmant sa candidature à un nouveau centre médical.

Sadiq a reconnu avoir accédé illégalement à des données personnelles.

Sanction : £120 d’amende, £364 (approximativement 410€) de frais en plus d’une sur-amende compensatoire de £30 (approximativement 34€) par victime.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/former-nhs-manager-fined-for-sending-personal-data-to-her-email-account/


04/04/2019 – UK – ICO –Condamnation de la mairie d’arrondissement de Newham (Londres) pour partage illicite d’une base de données de délinquants et suspects : £145 000 (approximativement 160K€)

 Note. En raison de la date des faits, le RGPD n’était pas encore applicable.

Origine de l’enquête : Au Royaume-Uni, le Metropolitan Police Service (MPS) compile et utilise une base de données regroupant les données personnelles d’individus appartenant à des gangs mais aussi d’individus suspectés d’appartenir à des gangs. Chaque base de données est unique au MPS de chaque arrondissement de police.

Dans l’arrondissement londonien de Newham (ci-après Newham), le MPS a pris l’habitude de partager tous les mois la base de données avec un groupe de travail du conseil d’arrondissement de Newham, la Young Offenders Team (YOT).

Le 16 mai 2017, toutefois, un membre de gang avéré a informé son agent de probation qu’il était en possession d’une photo montrant une copie physique de la Newham Gangs Matrix. La photo montrait des données personnelles appartenant à une cinquantaine de membres présumés de la bande.

Après avoir été informé de cette fuite et lancé une enquête, c’est le MPS lui-même qui a informé l’ICO.

Les faits : Le 23 janvier 2017, le MPS a envoyé au conseil de Newham une version complète de la base de données, incluant l’adresse du domicile, l’origine ethnique et les raisons du fichage de la personne.

Le 26 janvier 2017, un employé du conseil d’arrondissement de Newham a transmis la base de données à 44 destinataires incluant des membres du YOT, mais aussi des membres d’autres organismes partenaires possédant des accords de partage d’informations avec le conseil d’arrondissement de Newham. Il était d’usage de transmettre les données à ces organismes, mais lorsque ces données étaient utilisées uniquement par le YOT, ce dernier devait s’assurer que le fournisseur initial avait autorisé le partage de ces données en particulier.

L’employé a partagé la totalité de la base de données, qui comprenait des données personnelles relatives à 203 personnes.

Dans cette affaire, il a été constaté au cours de l’enquête de l’ICO que le MPS avait autorisé la YOT à partager avec un public élargi uniquement une base de données expurgée de certaines informations personnelles. Le MPS a insisté sur le fait que la version expurgée a été créée précisément afin de pouvoir partager la matrice sans compromettre les données personnelles des personnes concernées.

C’est alors qu’en mai et septembre 2017, deux membres de gangs ont informé leurs agents de probation que la matrice était en circulation sur le web. En cette même année 2017, Newham fut le théâtre de nombreux actes de violence liés aux gangs dans lesquels de nombreuses victimes étaient apparues sur la matrice des gangs qui avait fait l’objet d’une fuite. En particulier, la photo d’un individu apparaissant sur la Gangs Matrix a fuité et ce dernier a été tué par balle le 4 septembre 2017.

Décision : L’ICO n’a pas établi de lien de causalité entre la fuite de données et la violence, mais a conclu que le conseil d’arrondissement Newham, en tant que responsable de traitement des données, avait enfreint la DPA (loi britannique sur la protection des données). Plus précisément, elle a conclu que Newham n’avait pas pris les mesures nécessaires afin d’empêcher le traitement non autorisé ou illicite de données personnelles et la perte accidentelle de données personnelles.

L’ICO a particulièrement déploré le fait que le conseil d’arrondissement de Newham (plus précisément, la YOT) ait distribué la base de données non expurgée sans motif légitime et qu’il l’ait distribuée à un nombre excessif de destinataires. De plus, Newham n’avait pas de politiques écrites concernant le partage de ces bases de données particulièrement sensibles.

Dans l’ensemble, l’ICO a estimé que la violation était particulièrement flagrante en l’espèce.

Sanction : 145 000 £ payable jusqu’au 8 mai 2019 et ramenée à 116 000 £ en cas de réception du paiement avant le 7 mai 2019.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/04/london-council-fined-by-the-ico-for-disclosing-sensitive-personal-data-about-alleged-gang-members/

https://ico.org.uk/media/action-weve-taken/mpns/2614724/mpn-london-borough-of-newham-20190401.pdf


 Avril 2019– Allemagne – Berlin – BbfDuI – Condamnation de la plus grande fintech d’Europe, N26 >> 50K€

Origine de l’enquête : En 2018, un ancien client de la banque mobile N26 s’est aperçu que cette dernière avait conservé ses données alors qu’il n’était plus client.

Faits : L’enquête de l’autorité Berlinoise* de protection des données révèlera que N26 conservait en effet une « liste noire » contenant les données de tous ses anciens clients (afin de s’assurer de ne réabonner aucun ex-client).

Durée de conservation : La banque tente de se justifier en expliquant qu’elle était obligée de procéder ainsi afin d’être en règle avec les lois relatives à la lutte contre le blanchiment d’argent en Allemagne. Plus précisément, la banque mobile explique qu’elle était dans l’obligation de prendre des mesures à l’égard des personnes suspectées de blanchir de l’argent, mais qu’elle était actuellement incapable de différencier les ex-clients « suspects » de ceux qui ne l’étaient pas.

Il apparait donc qu’afin de respecter la règlementation en matière de lutte contre le blanchiment d’argent, N26 n’a pas respecté le RGPD car elle a classifié l’ensemble de ses clients comme étant « suspects ».

L’autorité berlinoise précise que les données appartenant à d’anciens clients devaient être supprimées ou – si l’entreprise se retrouvait dans l’obligation de les conserver – au moins rendues inaccessibles. L’autorité de protection ajoute que seuls les individus réellement suspectés de blanchiment d’argent ou ceux pour lesquels il existe des raisons valables de refuser la création d’un compte en banque peuvent être inclus dans un telle « liste noire ».

Sanction : Amende de 50K€

https://www.handelsblatt.com/finanzen/banken-versicherungen/datenspeicherung-schwarze-listen-so-bekam-n26-aerger-mit-datenschuetzern/24204544.html?ticket=ST-4889760-IGi5WzzxjuH5MtthbA2p-ap5

*à noter qu’en Allemagne, il y a une autorité pour chaque Land (équivalent de région en France). L’autorité fédérale allemande n’a pas de pouvoir sur les décisions qui sont prises par les autorités de chaque Land, mais sert uniquement à faire le lien entre les 16 autorités allemandes et les autorités de protection des autres pays (particulièrement les autres pays européens depuis l’entrée en vigueur du RGPD).


28/03/2019 – La CNIL publie un règlement type obligatoire sur la biométrie sur les lieux de travail

La CNIL a adopté un règlement type, obligatoire pour les employeurs qui mettent en œuvre des dispositifs de contrôle d’accès biométriques aux lieux, applications et outils de travail.

Rappelons que les données biométriques (empreinte digitale par exemple) sont des données sensibles dont le traitement est par principe interdit, sauf exceptions limitativement énumérées par l’article 9 du RGPD.

En vertu du règlement type de la CNIL, les employeurs qui ont recours/veulent recourir à des dispositifs de reconnaissance biométrique à l’égard de leurs employés devront notamment :

  • Limiter leur usage à des fins d’accès aux locaux, au matériel ou aux applications de travail,
  • Justifier et documenter des circonstances particulières qui justifient le recours à ce système plutôt qu’un autre dispositif de contrôle d’accès,
  • S’astreindre à des mesures de sécurité particulièrement rigoureuses,
  • Justifier et documenter chacun de leurs choix lors de la mise en place du dispositif,
  • Prêter une attention particulière à l’information du personnel sur le dispositif,
  • Réaliser une analyse d’impact afin d’évaluer les risques sur les droits et libertés des personnes aux fins de les identifier et si besoin les traiter.

Il faut retenir en particulier que les circonstances dans lesquelles un employeur pourra avoir recours aux traitements de données biométriques sur le lieux de travail sont limitées. La CNIL cite par exemple des contextes de manipulation de machines ou produits particulièrement dangereux, d’accès à des fonds ou objets de valeur ou encore à des produits faisant l’objet d’une règlementation spécifique (substances psychotropes, produits chimiques pouvant être utilisés pour la fabrication d’armes par exemple).

A noter également que le consentement des salariés n’est pas nécessaire dès lors que les conditions sont remplies pour mettre en œuvre le dispositif.

Le plus délicat sera sans doute de parvenir à démontrer l’existence de situations spécifiques justifiant l’usage de la biométrie plutôt qu’un autre moyen de contrôle d’accès.

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2019-001-10-01-2019-reglement-type-controle-dacces-biometrique.pdf


26/03/2019 – UK – ICO – Condamnation d’une société de retraite du Kent : £40 000 (approximativement 46K€)

NB. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Origine de l’enquête : L’ICO a été informé d’un problème potentiel concernant Grove Pension Solutions Limited (ci-après Grove) par la Financial Conduct Authority, qui a fait part de ses préoccupations concernant l’utilisation de courriers électroniques par la société à des fins de marketing direct. L’ICO a ensuite constaté que deux autres plaintes avaient été déposées via l’outil en ligne de l’ICO, concernant des courriers électroniques non sollicités faisant la promotion de Grove. L’ICO a décidé d’ouvrir une enquête le 2 octobre 2017.

Les faits : Grove a révélé avoir chargé un prestataire marketing de faire appel à des fournisseurs d’e-mails tiers pour mener des campagnes de marketing hébergé faisant la promotion des services de Grove. Au total, 1 942 010 courriels faisant la promotion des services de Grove ont été reçus par diverses personnes. Les fournisseurs de courriers électroniques auraient obtenu le consentement des personnes concernées par l’intermédiaire de plusieurs sites Web. Après vérification, le nom de Grove n’apparaissait pas sur les sites Web mentionnés par les fournisseurs, ce qui signifie qu’aucun consentement valide n’aurait pu être obtenu.

 Responsabilité : L’ICO a estimé que Grove n’avait pas obtenu le consentement des destinataires des e-mails publicitaires. Ce principe s’applique également dans des cas tels que celui-ci où l’entreprise utilise les services de tiers pour l’envoi de courriels.

L’ICO a reconnu que Grove avait pris certaines mesures pour s’assurer que ses activités de marketing étaient conformes à la loi, mais que les conseils reçus étaient inexacts et qu’en fin de compte, il incombait à Grove de s’assurer que les traitements de données étaient conformes à toutes les réglementations, Grove demeurant le seul responsable pour s’assurer du respect de cette loi.

Sanction : Amende de £40 000 (approximativement 46K€) à payer au plus tard le 24 avril 2019, réduite à £32 000 en cas de réception du paiement avant le 23 avril 2019.

Décision d’imposer une sanction pécuniaire :  L’ICO a déclaré qu’il y avait plusieurs facteurs atténuants qui auraient pu conduire à une pénalité plus faible. Toutefois, l’ICO a révélé que son objectif dans cette affaire était de promouvoir le respect de la réglementation et que l’envoi de courriels marketings non sollicités était une source de préoccupation publique majeure. Ils ont donc décidé d’infliger une sanction pécuniaire, car elle pourrait avoir un effet dissuasif sur d’autres entités mais également car Grove disposait des ressources financières nécessaires.

https://ico.org.uk/media/action-weve-taken/mpns/2614585/grove-pensions-mpn-20190326.pdf
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/03/ico-fines-kent-pensions-company-for-sending-nearly-2-million-spam-emails/


# 21/03/2019 – Nouveau scandale chez Facebook : des mots de passe en clair stockés et accessibles par ses employés pendant des années

Faits : Facebook n’en est pas à son dernier scandale. Après avoir été dans la ligne de mire des autorités de contrôle notamment pour avoir trompé ses utilisateurs sur la confidentialité des données – sanctionné à ce titre par une amende de 5 milliards de dollars (environ 4,43 milliards d’euros) – l’entreprise a reconnu avoir fait une énorme erreur en stockant les mots de passe de centaines de millions d’utilisateurs non chiffrés sur ses serveurs internes pendant des années.

Côté chiffres, on relate plusieurs centaines de millions d’utilisateurs pour Facebook Lite (version allégée pour les zones n’ayant pas une connexion internet optimale), des dizaines de millions d’utilisateurs pour Facebook et enfin des dizaines de milliers concernant Instagram. Par ailleurs, près de 20 000 employés de Facebook avaient accès auxdits mots de passe.

Facebook n’est pas parvenu à donner des explications mais a tenté de relativiser en affirmant que ce problème était réglé et a prévu de prévenir les personnes concernées et de leur conseiller un changement de mot de passe.

Pour l’heure, il ne semble pas que les autorités de contrôle se soient saisies de l’affaire de plus près afin de déceler d’éventuelles violations concernant le RGPD.

Pour en savoir plus : https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/


19/03/2019 – UK – ICO – Condamnation d’un artisan du Brexit, Vote Leave Limited : £ 40 000 (approximativement 46K€)

Note. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Origine de l’enquête : La GSMA est une organisation mondiale qui représente les intérêts des opérateurs de téléphonie mobile à travers le monde. Les utilisateurs de téléphones portables peuvent signaler les SMS publicitaires non sollicités au service de signalement des SPAM de la GSMA en transmettant simplement les messages non sollicités. L’ICO a alors accès à ces données.

Entre le 1er janvier 2016 et le 23 juin 2016 (pendant la préparation du référendum sur l’UE au Royaume-Uni), la GSMA a reçu 26 plaintes concernant des SMS non sollicités concernant Vote Leave (l’organisme de campagne en faveur du Brexit). 6 autres plaintes ont été adressées directement à l’ICO à l’aide de l’outil en ligne mis à disposition par l’ICO.

Les faits : Malgré le fait que Vote Leave ne fut pas immédiatement identifié par l’ICO comme étant à l’origine de ces messages, le Commissaire a rapidement compris que les SMS servaient les intérêts de Vote Leave puisqu’ils contenaient en grande majorité un lien vers un site Web exploité par Vote Leave : www.voteleavetakecontrol.org.

Au cours de l’enquête, il a été révélé que pas moins de 196 154 SMS avaient été envoyés au cours de la période allant du 1er janvier 2016 au 23 juin 2016.

L’ICO a demandé à Vote Leave de fournir les preuves que les individus ayant reçu les messages avaient donné leur consentement au préalable.

Obligation d’obtenir le consentement : Vote Leave a expliqué :

– avoir obtenu les données des personnes concernées via des formulaires de renseignement sur son site web et auprès des participants à un tournoi de football,

–  avoir effacé toutes les preuves de consentement après le référendum. Les représentants légaux de Vote Leave n’ont donc pas été en mesure de fournir de preuves de consentement pour un seul des 196 154 SMS envoyés par l’organisme politique.

L’ICO a donc conclu que Vote Leave contrevenait clairement à l’obligation d’obtenir le consentement avant d’envoyer une quelconque communication électronique et aurait du pouvoir fournir la preuve que le destinataire avait clairement notifié à l’expéditeur qu’il consentait à recevoir des messages provenant, directement ou indirectement, de l’expéditeur en question.

Sanction : Une amende de £ 40 000 (approximativement 46 000 €) payable au plus tard le 19 avril 2019, ramenée à 32 000 £ en cas de réception de la somme par l’ICO avant le 18 avril 2019.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/03/ico-fines-vote-leave-40-000-for-sending-unlawful-text-messages/
https://ico.org.uk/media/action-weve-taken/mpns/2614565/vote-leave-limited-monetary-penalty-notice.pdf


15/03/19 – UK – ICO (Information Commissioner’s Office) / Condamnation de 2 salariés à des amendes pour violation de données personnelles : £1000 & £200

  1. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

En dehors des responsables de traitement, des salariés peuvent également être condamnés pour violation de données personnelles.

Dans deux affaires distinctes, l’ICO, autorité anglaise pour la protection des données personnelles, vient de sanctionner deux salariés.

La 1ère, employée de the Heart of England NHS Foundation Trust (HEFT), avait accès à certaines données personnelles dans le cadre de ses fonctions mais une enquête a permis de détecter qu’elle avait accédé à des données qui n’étaient pas nécessaires à sa mission. Elle a ainsi violé la Loi anglaise.

La 2nde, employée de V12 Sports and Classics Ltd, avait transféré plusieurs e-mails professionnels contenant des données personnelles de clients et autres employés vers son adresse e-mail personnelle quelques semaines avant de démissionner de son poste. Les juges ont également considéré qu’elle avait violé la Loi anglaise

Sanctions : Une amende de £1000 (environ 1170€) + £50 par victime + £590 de frais de justice pour la 1ère.

Une amende de £200 (environ 230€) + £30 par victime + £590 de frais de justice pour la 2nde.

La réglementation sur les données personnelles serait ici un outil juridique supplémentaire en cas de litige entre employeur et salarié !

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/03/two-birmingham-workers-fined-for-data-protection-breaches/


# 12/03/2019 – Allemagne – BWDPA – Condamnation d’un hôpital (Rhineland-Palatinate) >> 105K€

Le contrôle de l’autorité allemande a permis de détecter des déficits structurels techniques et organisationnels dans la gestion des patients et de la vie privée de l’hôpital, à la suite d’interversion de patients au moment de leur admission à l’hôpital ayant entrainé des erreurs de facturation.

Sanction : Amende de 105K€, le BWDPA rappelant sa particulière vigilance en matière de données de santé, particulièrement sensibles, et son objectif d’amélioration de la gestion des données personnelles en tenant compte des efforts de l’hôpital pour perfectionner son système.

Pour en savoir plus : https://edpb.europa.eu/news/national-news/2019/fine-against-hospital-due-data-protection-deficits-patient-management_en


12/03/19 – UK – ICO (Information Commissioner’s Office) / Lancement de contrôles dans des entreprises suspectées de passer des millions d’appels automatiques importuns

L’ICO, autorité anglaise pour la protection des données personnelles, après un an d’enquête, vient de lancer des contrôles dans des bureaux de Brighton et Birmingham suspectés de passer des millions d’appels non sollicités (sur des sujets tels que les accidents de la route ou les assurances pour des appareils ménagers) vers des lignes fixes et mobiles au Royaume-Uni. Des ordinateurs et documents ont été saisis.

En effet, l’ICO a reçu plus de 600 plaintes sachant que les personnes contactées :

  • n’étaient pas en mesure d’identifier l’émetteur de l’appel
  • ni de se désinscrire de la liste d’appel, ce qui est tout à fait illégal.

Dans le domaine du marketing direct, l’entreprise doit toujours laisser la possibilité à l’individu de refuser d’être rappelé et que son numéro de téléphone soit supprimé des bases de données.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/03/ico-raids-businesses-in-brighton-and-birmingham-suspected-of-making-millions-of-nuisance-calls/


27/02/19 – UK – ICO (Information Commissioner’s Office) / Condamnation d’un ancien haut fonctionnaire local du gouvernement à une amende >> £660

NB. Compte tenu de la date des faits, le RGPD n’était pas encore applicable

L’ICO, autorité anglaise pour la protection des données personnelles, après un an d’enquête, vient de condamner un ancien haut fonctionnaire pour avoir transmis illégalement des données personnelles.

Ce dernier était employé du Conseil des districts de Nuneaton et Bedworth lorsque sa conjointe a postulé à un poste administratif au Conseil. Le haut-fonctionnaire n’a pas participé à la sélection pour ce poste compte tenu de ses relations avec elle mais a accédé à la plateforme de recrutement et transmis, à la fois sur sa boîte mail professionnelle et sur la boîte Hotmail de sa conjointe, les informations de neuf candidats rivaux et shortlistés, incluant leurs nom, adresse, téléphone, cv ainsi que les contacts de leurs références.

Sanction : Une amende de £660 (environ 771€) + £66 par victime. A noter qu’une fois la violation constatée, il a été mis fin au contrat de la conjointe qui avait eu le poste de manière peu orthodoxe et illégale. Le haut fonctionnaire a quant à lui démissionné.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/02/former-council-officer-fined-for-emailing-cvs-of-rival-job-applicants-to-his-partner/


25/02/19 – CNIL / Clôture de la mise en demeure à l’encontre de la société Vectaury

Faits : La CNIL avait accordé un délai de 3 mois à la société Vectaury pour se mettre en conformité concernant ses modes de recueil du consentement pour lequel elle avait noté un large défaut d’information préalable des personnes concernées par le traitement de leurs données personnelles de géolocalisation à des fins publicitaires et une activation de la collecte des données par défaut.

Mesures prises pour faire cesser le manquement :

  • Développement d’une bannière s’affichant au moment de l’installation des applications mobiles avant la collecte des données, qui permet aux utilisateurs de donner un consentement libre, spécifique, éclairé et positif avec les informations suivantes : finalité du traitement (la publicité ciblée géolocalisée), identité des responsables de traitement (les partenaires géomarketing) accessible facilement avec un lien, nature des données collectées (identifiant publicitaire du téléphone et données de géolocalisation), possibilité de retirer le consentement à tout moment, exercice de leurs droits (via un lien).
  • Absence de collecte en cas de refus par les utilisateurs que leurs données de géolocalisation soient traitées à des fins de publicité ciblée avec possibilité de continuer à utiliser l’application sans que la qualité du service ne soit altérée.
  • Vérification en amont de la validité du recueil de consentement par l’organisme qui lui transmet les données et traitement uniquement lorsque le consentement est valable.

Sanction : Aucune, considérant que Vectaury s’est mise en conformité dans le délai prescrit, la CNIL a clos cette procédure sans prononcer de sanction.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038162496&fastReqId=1080890629&fastPos=1

Pour plus d’informations sur cette affaire, consultez notre fil au 30/10/2018


12/02/2019 – TGI de Paris – Google condamné pour des clauses abusives dans les conditions d’utilisation et règles de confidentialité du réseau social Google + >> 30K€ de dommages & intérêts

Faits : l’UFC que choisir a assigné Google en justice, estimant que les clauses des conditions d’utilisation et de la politique de confidentialité de Google + ne respectaient pas la vie privée et les données personnelles des consommateurs.

L’association reprochait plus particulièrement à Google, par exemple, de ne fournir qu’une information générale ne permettant pas à l’utilisateur d’avoir pleinement consciences des finalités et de l’ampleur de l’utilisation de ses données personnelles, de chercher à dissuader les utilisateurs de s’opposer au dépôt systématique des cookies, de se laisser la possibilité, en l’absence de consentement exprès du consommateurs, de recouper l’ensemble de leurs données pour toute son offre de services et de prévoir que la seule utilisation des services de Google vaut acceptation des conditions d’utilisation.

Soumission à la loi informatique et libertés et au droit de la consommation : dans la mesure où Google vend auprès d’entreprises partenaires les données personnelles de ses utilisateurs en contrepartie des services qu’elle leur procure, ces services ne peuvent pas être considérés comme gratuits. L’ensemble des clauses des conditions d’utilisation et de la politique de confidentialité de Google sont donc soumis non seulement à la loi informatique et libertés mais aussi au droit de la consommation.

Sanction : 38 clauses sont jugées illicites ou abusives et annulées. Ceci étant, à la date du jugement, rendu 5 ans après le début de la procédure, ces clauses n’étaient déjà plus présentes dans les conditions de Google. L’entreprise est par ailleurs condamnée à verser 30K€ de dommages-intérêts, à publier le jugement sur la page d’accueil de son site et à verser 20K€ à l’UFC que choisir en remboursement de ses frais de justice.

Pour en savoir plus : https://www.legalis.net/jurisprudences/tgi-de-paris-jugement-du-12-fevrier-2019/


07/02/19 – UK – ICO (Information Commissioner’s Office) / Condamnation de Magnacrest Limited à une amende : £300

  1. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Le droit d’accès des personnes concernées est un droit fondamental en matière de données personnelles qui n’est pas né du RGPD.

Une personne qui avait exercé le 17/04/2017 son droit d’accès aux données la concernant auprès de la société Magnacrest Limited, promoteur de logement et n’avait reçu aucune réponse dans le délai légal de 40 jours (devenu 30 jours avec le RGPD !) a porté plainte auprès de l’ICO, autorité anglaise pour la protection des données personnelles.

Saisie de ce dossier, l’ICO a alors mis en demeure la société Magnacrest Limited de répondre à ses obligations légales et de fournir les informations requises au demandeur.

Restée sans effet, la mise en demeure a donc été suivi d’une poursuite pénale et Magnacrest condamnée.

Sanction Une amende de £300 (environ 350€) + £30 par victime + £1133.75 de frais de justice.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/02/housing-developer-fined-for-ignoring-data-request/


# Février 2019 – Le programme « bug bounty » lancé par le ministère de la Défense

L’Union Européenne a lancé une campagne de Bug Bounty afin d’améliorer la sécurité des outils « open source » en janvier dernier. Cela visait à récompenser de plusieurs dizaines de milliers d’euros (entre 25K€ et 90K€) les personnes ayant découvert des failles parmi une quinzaine de logiciels open source. Cette campagne avait pour but d’encourager tout amateur de cybersécurité à chercher des bugs pour les corriger avant que des personnes malintentionnées ne les exploitent.

C’est à présent au tour de l’armée française de mettre en œuvre ce programme afin de détecter ses vulnérabilités informatiques, un mois après le lancement de cette campagne par l’Union Européenne.

Il s’agit ici également de faire appel à des amateurs de la cybersécurité, en quelque sorte des « hackeurs », afin de repérer les failles présentes dans son équipement informatique.

Sachant le caractère secret défense de l’opération, ce programme est réservé aux hackeurs de la réserve de cyberdéfense.

La plateforme ayant conclu un partenariat afin de faire remonter les failles découvertes est Yes We Hack, acteur majeur en France dans le secteur des bug bounty.

Pour en savoir plus : https://www.clubic.com/antivirus-securite-informatique/actualite-850227-ouverture-prochaine-programme-bug-bounty-armee-francaise.html


21/01/19 – CNIL – Condamnation de la société Google LLC, 1ère amende française au titre du RGPD >> 50 Millions €

Faits : La société américaine Google LLC traite des données personnelles dans le cadre du système d’exploitation Android et des services fournis en lien avec la création d’un compte utilisateur Google lors de la configuration d’un téléphone mobile.

Les 25 et 28 mai 2018, dans la foulée de l’entrée en vigueur du RGPD, les associations autrichienne None Of Your Business (« NOYB ») et française La Quadrature du Net (« LQDN ») ont engagé des plaintes collectives auprès de la CNIL, reprochant à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

Compétence de la CNIL : Le mécanisme du « guichet unique » mis en place par le RGPD prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité « chef de file » du pays où est situé son « établissement principal » qui doit alors se coordonner avec les autres autorités nationales de protection des données.

Ici, dans la mesure où au moment des plaintes, Google Ireland n’avait pas de pouvoir de décision sur les traitements concernés (avec le système d’exploitation Android, la création d’un compte utilisateur Google lors de la configuration d’un téléphone mobile) les autorités européennes ont considéré que Google LLC ne disposait pas d’un établissement principal dans l’Union européenne, la CNIL, comme les autres autorités européennes étant alors compétentes.

Mode de contrôle : En septembre 2018, La CNIL a procédé à un contrôle et une analyse en ligne du parcours d’un utilisateur et des documents/informations auxquels il peut accéder en créant un compte Google en configurant son appareil mobile sous Android.

Obligation de transparence et d’information des personnes concernées : La CNIL a retenu la difficulté d’accès aux informations destinées au personnes concernées, notamment du fait que des informations majeures (finalités, durée de conservation, catégories de données) apparaissent sur plusieurs documents différents et nécessitent plusieurs (5 ou 6) actions de l’utilisateur pour y parvenir (de quoi décourager les utilisateurs…). La CNIL a par ailleurs considéré que l’information donnée

– n’était pas suffisamment compréhensible par l’utilisateur qui ne pouvait pas être averti que la base légale du traitement était son consentement (qu’il n’était donc pas obligé de donner) ni prendre la mesure de l’ampleur et des conséquences possibles du traitement effectué par Google (quantité et type de données traitées, combinaison des données par Google),

– était trop vague, notamment pour ce qui concerne les finalités et la nature des données concernées

– n’était pas complète puisque la durée de conservation n’était pas systématiquement indiquée.

Obligation d’un consentement éclairé, spécifique et univoque : Google précisait fonder son traitement de données sur la base légale du consentement. Cependant, la CNIL a considéré que ce traitement était illicite dans la mesure où le consentement n’était pas obtenu de manière conforme à la réglementation en se basant sur 3 critères :

– le consentement n’était pas éclairé : cette condition est directement liée au défaut d’information ci-dessus : si la personne concernée n’a pas facilement accès aux informations sur le traitement et que celles-ci sont trop vagues ou incomplètes, la personne ne peut évidemment pas consentir en toute conscience.

– le consentement n’était pas univoque : cela présuppose que l’utilisateur consente par un acte positif, or le choix de l’affichage d’annonces personnalisées était coché par défaut (avec donc uniquement une possibilité d’opt-out).

– le consentement n’était pas spécifique : cela nécessite que les finalités soient clairement définies (or elles étaient trop vagues) et que l’utilisateur consente de manière séparée à chacune et non de manière globale comme c’était le cas avec une mention d’acceptation générale, de la même manière que l’acceptation des CGU de Google.

Sanction : Une amende de 50 millions d’euros (destinée donc au Trésor public) avec la première application des plafonds prévus par le RGPD et la publication de la décision.

A cette occasion, la CNIL rappelle qu’elle est en mesure de décider de fixer une amende sans nécessairement avoir préalablement mis en demeure le responsable de traitement en lui laissant un timing de mise en conformité. D’ailleurs la CNIL précise que les traitements litigieux sont toujours en cours et que Google n’a pas profité de la période d’instruction de l’affaire pour modifier son comportement.

Cette décision est fondée en particulier sur

– la gravité des faits qui impactent directement les principes essentiels de la protection de la vie privée,

– le fait que l’activité de Google est principalement tournée vers le traitement de données personnelles (avec le ciblage publicitaire) ce qui le rend d’autant plus responsable et nécessite de sa part d’autant plus de prudence pour garantir le respect de la vie privée,

– le volume des données concernées et leur combinaison quasi-infinie,

Le montant de l’amende peut paraître élevé mais est en fait assez faible étant donné le Chiffre d’affaire annuel de Google qui dépasse les 110 milliards d’euros. En effet, les faits reprochés à Google portent sur les principes fondamentaux de la protection de la vie privée et sont passibles d’une amende allant jusque 4% du chiffre d’affaire mondial du responsable de traitement.

Ce qu’il faut en tirer : Il est essentiel :

– d’identifier au sein d’un groupe international quelle est l’entité qui a le pouvoir de décision sur les traitements de données personnelles, cet élément étant déterminant à la fois pour la qualification du responsable de traitement mais également pour la détermination de la compétence des autorités européennes,

– de fournir une information complète, claire, compréhensible et facilement accessible à l’utilisateur : 1 clic devrait suffire !

– de prévoir, pour que le consentement soit valable, un acte positif de la personne… on voit encore beaucoup de cases pré-cochées ou d’acceptation présumée (par exemple via une simple poursuite de navigation de l’utilisateur, notamment dans les paramétrages de cookies),

– de permettre que le consentement soit donné de manière séparée pour chaque finalité, qui doit être définie de manière suffisamment précise,

– de réagir rapidement et modifier les conditions de son traitement de données pour le mettre en conformité à la moindre alerte de la CNIL.

https://www.laquadrature.net/2019/01/21/premiere-sanction-contre-google-suite-a-nos-plaintes-collectives/

https://noyb.eu/exclusivite-la-cnil-sanctionne-google-a-hauteur-de-50-millions-deuros-suite-a-une-plainte-deposee-par-noyb/?lang=fr


12/01/2019 – Allemagne – Baden Württemberg – LfDI – Sanction pécuniaire la plus importante en Allemagne depuis l’entrée en vigueur du RGPD >> 80K€

Le 12 janvier 2019, Dr. Stefan Brink, le directeur de l’autorité de protection des données du Baden Württemberg révèle qu’en plus de l’amende de 20K€ imposée à Knuddels.de, une amende de 80K€ a été infligée par la LfDI à l’encontre d’une entreprise dont il refusera de révéler le nom.

La LfDI a tout de même révélé que cette affaire concernait des données de santé qui s’étaient retrouvées accessibles sur internet « par inadvertance ». Pour le rappel, selon l’article 9(1) du RGPD, les données de santé font parties de la catégorie « données sensibles » et en conséquence ne peuvent être traitées que dans certains cas exceptionnels et avec des mesures de sécurité plus importantes (notamment via des hébergeurs accrédités).

Nous savons également que cette sanction pécuniaire est la plus importante parmi toutes celles imposées par des autorités allemandes depuis l’entrée en vigueur du RGPD.

https://ddrm.de/baden-wuerttemberg-bussgeld-von-80-000-euro-verhaengt-weil-gesundheitsdaten-versehentlich-im-internet-landeten/


29/12/2018 – International / Brésil – Mesure provisoire sur l’application de la LGPD

Le 29 décembre a été adoptée une mesure provisoire (n°869/18) créant l’autorité brésilienne de protection des données personnelles : l’ANPD.

Cette mesure repousse également de 6 mois l’entrée en vigueur de la nouvelle loi de protection de la vie privée : initialement prévue pour le 15 février 2020, celle-ci a été décalée au 15 août 2020.

Pour mémoire, cette nouvelle réglementation s’imposera également à des sociétés non brésiliennes puisqu’elle s’appliquera :

– aux traitements réalisés au Brésil

– et à ceux réalisés à l’étranger lorsque les activités liées aux traitements consistent en l’offre de produits ou services destinés à des personnes situées au Brésil ou lorsque les données auront été collectées au Brésil.


28/12/2018 – CNIL – Principes à respecter avant de transmettre des données à des partenaires

Consentement, informations à communiquer aux personnes concernées, la CNIL rappelle les étapes à suivre, sans compter qu’i convient de cadrer juridiquement la relation avec le partenaire et ce qu’il est en droit de faire avec les données concernées.

https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-commerciaux-ou-des-courtiers-de-donnees-quels-sont-les


26/12/18 – CNIL – Condamnation de la société Bouygues Telecom : 250K€

NB. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Origine du contrôle : Le 2 mars 2018, la CNIL a reçu un signalement l’informant de l’existence d’un incident de sécurité lié aux données personnelles de clients de la marque B&You, détenues par la société Bouygues Telecom. Le 6 mars 2018, Bouygues Telecom, avisé de la violation de données par un message reçu sur son compte institutionnel Twitter, a notifié la violation de données à la CNIL.

Faits : Une vulnérabilité a été détectée, donnant accès à des contrats et factures de clients B&You (donc aux nom, prénom, date de naissance, adresse e-mail, adresse postale, numéro de téléphone mobile) par la simple modification d’une adresse URL sur le site web de Bouygues Telecom. L’impact a porté sur les données de plus de 2 millions de clients B&You pendant plus de 2 ans et 3 mois. Un contrôle dans les locaux de Bouygues Telecom a été effectué le 9 mars 2018 par la CNIL et Bouygues Telecom a rapidement corrigé la vulnérabilité de sorte que les données personnelles des clients n’étaient déjà plus librement accessibles au moment du contrôle.

Obligation d’assurer la sécurité et la confidentialité : Le défaut de sécurité provenait de l’oubli de réactiver sur le site, après une phase de test à la suite d’une fusion des bases de données et système informatiques correspondant aux marques Bouygues Telecom et B&You, la fonction d’authentification à l’espace client qui avait été désactivée pour les seuls besoins de ces tests. Il s’agit donc visiblement d’une erreur humaine. La CNIL a malgré tout considéré que, compte tenu du choix de Bouygues Telecom de mettre en place une unique mesure de sécurité et aucune mesure complémentaire, il lui appartenait d’être particulièrement vigilante quant à l’effectivité de ce seul mécanisme d’authentification. Elle a également retenu que même si Bouygues Telecom justifiait avoir mis en place des tests d’intrusion réguliers, directement ou par le biais de prestataires, ces tests n’étaient pas adaptés aux spécificités de la base de données et n’étaient donc pas efficaces. Bouygues Telecom aurait donc dû prévoir une revue manuelle du code portant sur l’élément critique constitué par ce mécanisme d’authentification, ce qui était rendu possible par les moyens de la société et nécessaire vu le nombre de personnes concernées par le risque. La CNIL reconnait que Bouygues Telecom ne peut totalement se prémunir d’une erreur humaine mais aurait dû mettre en place des mesures permettant de détecter cette erreur humaine.

Sanction : Une amende de 250K€ : Le rapporteur avait au départ proposé à la CNIL une amende de 500K€ puis ayant pris connaissance des observations de Bouygues Telecom a proposé de la réduire à 250K€. La gravité de la violation a été prise en compte (nombre de données et de personnes concernées, durée de la faille) ainsi que la grande réactivité de Bouygues Telecom dans la résolution de l’incident de sécurité et des nombreuses mesures mises en place pour limiter les conséquences de la faille (ex. rappel de bonnes pratiques et fiches conseil pour ses clients, lutte contre le phishing, surveillance du dark web, formation des salariés).

Publication de la décision : Au regard du nombre très important de données et de personnes concernées, de la durée de la faille, du contexte de multiplication des incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037856073&fastReqId=2004200385&fastPos=1


19/12/18 – CNIL – Condamnation de la société Uber France SAS : 400K€

Nota : Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Faits :

En novembre 2017, la société américaine Uber Technologies Inc. (ci-après Uber Inc.) a révélé dans la presse … avec un an de retard… que deux individus avaient piraté fin 2016 les données personnelles de 57 millions d’utilisateurs de ses services dont celles de 600 000 chauffeurs.

Avaient ainsi été volés les noms et prénoms des utilisateurs ainsi que leurs adresses électroniques, ville, pays de résidence, numéros de téléphone mobile et statut (chauffeur / passager). Uber avait gardé secret ce vol pendant douze mois ce qui constitue une violation de la loi américaine sur la sécurité informatique et a fait l’objet d’un important buzz négatif contre Uber fin 2017, d’autant qu’Uber aurait versé 100 000 dollars aux hackers afin qu’ils ne divulguent pas l’existence de cet incident et détruisent les informations collectées. Une pratique que tous les experts en informatique préconisent de bannir.

Le G29 a créé un groupe de travail pour coordonner les procédures d’enquêtes des autorités européennes de protection des données qui ont permis de comprendre l’attaque :

  • Accès par les pirates à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ».
  • Utilisation de ces identifiants pour accéder à un serveur de stockage des données
  • Téléchargement des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.

Responsabilité :  La responsabilité de Uber B.V. n’a pas été contestée. En revanche Uber Inc. invoquait sa position de simple sous-traitant sur la base d’un contrat signé avec Uber B.V. encadrant sa marge de manœuvre vis-à-vis du traitement de données. La CNIL n’a pas retenu cet argument considérant que c’était bien Uber Inc. qui déterminait les éléments essentiels des moyens du traitement de données.

En particulier, la CNIL retient que :

  • le responsable de traitement ne peut être dessaisi de la gestion des conséquences d’une violation de données
  • la multitude de champs d’actions d’Uber Inc. (rédaction des lignes directrices concernant la gestion des données et appliquées par l’ensemble des sociétés du groupe, formation des nouveaux employés, signature de contrats avec des tiers fournissant des outils essentiels au service) confirme son rôle déterminant dans la détermination des finalités et moyens du traitement.

La co-responsabilité de Uber B.V. et de Uber Inc. est retenue.

La CNIL décide que l’amende sera destinée à Uber France SAS en tant qu’établissement des responsables de traitement Uber B.V. et de Uber Inc., sachant qu’Uber dispose par ce biais de locaux stables en France et exerce une activité en France (à vocation de support des conducteurs/clients et de réalisation des campagne marketing en France).

Obligation d’assurer la sécurité et la confidentialité : Ce piratage n’aurait pas abouti si certaines mesures élémentaires en matière de sécurité avaient été mises en place et en particulier :

  • même si cela ne correspondait pas aux recommandations (mais à une simple possibilité) de la plateforme collaborative de développement « Github », Uber aurait dû prévoir que ses ingénieurs se connectent à « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone). En pratique, leur accès se faisait avec leur simple adresse e-mail personnelle et un mot de passe configuré par eux-mêmes et aucune procédure de retrait d’habilitation n’était prévue lorsqu’un ingénieur quittait la société ;
  • Uber n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
  • pour l’accès aux serveurs contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.

Dans ces conditions, la formation restreinte a estimé que la société avait manqué à son obligation de sécurité des données personnelles. Elle a condamné la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400 000 euros.

Sanction : Une amende de 400K€

Publication de la décision : Au regard du nombre très important de personnes concernées et de la nécessité de sensibiliser les opérateurs

NB. Le 06/11/18, l’autorité néerlandaise de protection des données a prononcé une amende de 600K€ à l’encontre d’UBER pour manquement à l’obligation de notification de la violation de données. Le 26/11/18, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données. 

NB. Rappelons que l’usage de la plateforme Ghitub avait déjà été lié en juillet 2018 à la condamnation de la société Dailymotion pour manquement à l’obligation de sécurité (voir Infra dans le Fil d’actu !). 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037830841&fastReqId=413824161&fastPos=1


 19/12/18 – Cour de Cassation – Mediapost – Géolocalisation des salariés

Faits : Mediapost est une filiale du groupe La Poste qui distribue des publicités ciblées en boite aux lettres. Elle a mis en place un système « Distrio » qui enregistre toutes les 10 secondes la localisation des distributeurs de courriers, avec le temps de distribution et leur immobilité éventuelle. Ce système fonctionne par le biais d’un boîtier mobile qu’ils portent sur eux pendant leur tournée et qu’ils activent eux-mêmes. La finalité ici recherchée par Mediapost est le contrôle de la durée du travail des postiers. Le syndicat Sud PTT considérant ce système de contrôle illicite assigne Mediapost. La Cour d’appel de Lyon juge ce système de localisation en vue du contrôle du temps de travail des postiers licite puisque justifié par le travail à accomplir et proportionné à la finalité recherchée par Mediapost.

Décision : Le 19 décembre 2018, la Cour de cassation casse l’arrêt de la cour d’appel de Lyon et renvoi les parties devant cette même Cour pour que l’affaire soit réexaminée. La Cour de cassation lui reproche en effet d’avoir pris sa décision sans « caractériser que le système de géolocalisation mis en œuvre par l’employeur était le seul moyen permettant d’assurer le contrôle de la durée du travail de ses salariés ».

L’article L 1121-1 du code du travail prévoit deux conditions cumulatives dans lesquelles des restrictions peuvent être apportées au droit des salariés notamment sur leur vie privée, incluant le fait de les géolocaliser :

– ces restrictions doivent être justifiées par la nature de la tâche à accomplir par l’employé

– elles doivent aussi être proportionnées à la finalité recherchée par l’employeur

La Cour de cassation affirme ici que le système de géolocalisation mis en place comme moyen de contrôle de la durée du travail doit pour être licite être le seul moyen permettant ce contrôle. Elle précise aussi que ce type de système ne peut être justifié dès lors que l’employé dispose d’une certaine liberté dans l’organisation de son travail.

Ce qu’il faut en tirer : Avant de mettre en place un système de géolocalisation de ses employés (qui porte par nature atteinte aux libertés de la personne), en vue de contrôler leurs horaires de travail, une entreprise doit impérativement rechercher si d’autres moyens pourraient être utilisés (même si ces moyens sont moins efficaces) et s’assurer qu’il est justifié d’appliquer un contrôle aux employés concernés en fonction de leur latitude dans l’organisation de leurs tâches.

https://www.courdecassation.fr/jurisprudence_2/arrets_publies_2986/chambre_sociale_3168/2018_8506/decembre_9075/1844_19_41017.html


19/12/18 – CJUE – Conclusion de l’avocat général dans l’affaire Fashion ID –  Responsabilité conjointe du traitement entre un réseau social et l’entreprise qui propose sur son site un bouton de partage vers ce réseau ?

Faits : la société de vente en ligne d’article de mode Fashion ID GmbH & Co. KG a intégré un « plug‑in » sur son site Web : le bouton « j’aime » de Facebook. Ainsi lorsqu’un internaute se rend sur le site Web de Fashion ID, des informations sur son adresse IP et la chaîne de caractères de son navigateur sont transmises à Facebook. Cette transmission s’opère automatiquement lorsque le site Web de Fashion ID est chargé, indépendamment du fait que l’utilisateur ait cliqué ou non sur le bouton « j’aime » de Facebook et qu’il dispose ou non d’un compte Facebook.

Une association allemande de protection des consommateurs a intenté une action en cessation à l’encontre de Fashion ID au motif que l’utilisation de ce plug-in était contraire aux lois sur la protection des données à caractère personnel.

Plusieurs questions préjudicielles sont posées à la Cour par le tribunal allemand, dont en substance :

– Lorsqu’une entreprise insère dans son site web un code programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et ainsi de transmettre au tiers des données à caractère personnel, l’entreprise soit-elle être considérée comme « responsable du traitement » ?

– si dans ce contexte un consentement de l’internaute est requis, à qui doit-il être donné (l’entreprise ou le tiers) ?

– Sur qui repose l’obligation d’informer la personne concernée notamment du traitement des données et de sa finalité (l’entreprise gestionnaire du site ou le tiers) ?

Position de l’avocat général : Elle n’est pas vraiment en faveur des éditeurs de site web qui proposent des plug-in de tiers.

En effet l’avocat général propose de conclure que toute personne qui insère sur son site Web plug-in de tiers qui collecte et transmet des données à caractère personnel doit être considéré comme un responsable conjoint du traitement, cette responsabilité étant limitée aux seules opérations pour lesquelles il est effectivement codécideur des moyens et des finalités du traitement des données à caractère personnel. Il s’agirait ici pour Fashion ID du stade de la collecte et de la transmission des données à caractère personnel à Facebook. Même si la finalité pour Fashion ID et pour Facebook n’est pas identique, elle est unitaire : commerciale et publicitaire dans les deux cas, puisque le choix de Fashion ID d’insérer le plug-in de Facebook sur son site Internet est fondé sur une volonté d’améliorer la visibilité de ses produits via Facebook.

En conséquence, le consentement de l’internaute doit être donné au gestionnaire du site Web qui y a inséré le contenu d’un tiers et ce avant la collecte et le transfert des données.

En conclusion : On se souvient de l’arrêt de la CJUE du 5 juin 2018 confirmant que l’administrateur d’une page fan est responsable conjoint du traitement avec le réseau social, Facebook en l’occurrence. (Voir plus bas notre commentaire à ce sujet). Ces nouvelles questions, si la position de l’avocat général est suivie par la Cour risquent de charger encore davantage la responsabilité des entreprises agissant sur le web qui devront modifier leur politique de confidentialité et les informations fournies aux internautes.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=4701752


18/12/2018 – Polémique et controverse sur l’ouverture par Facebook d’un accès à certaines données de ses utilisateurs pour des géants du web (GAFAMS / NATU)

https://www.solutions-numeriques.com/facebook-a-laisse-des-geants-du-web-acceder-aux-donnees-de-ses-utilisateurs/

https://www.solutions-numeriques.com/divulgation-de-messages-prives-facebook-ce-nest-pas-vrai-se-defend-le-reseau-social/

https://www.blogdumoderateur.com/facebook-lire-supprimer-messages-prives/?utm_source=blogdumoderateur&utm_medium=email&utm_campaign=newsletter_hebdomadaire


14/12/2018 – Nouvelle faille de sécurité annoncée par Facebook

Le réseau social vient d’annoncer une faille de sécurité dans les fonctions de partage de profil Facebook avec 1500 applications, concernant les photos téléchargées (et publiées ou non) par 6,8 millions d’utilisateurs sur la plateforme, du 13 au 25 septembre dernier.

L’autorité irlandaise de protection des données personnelles enquête sur la conformité des traitements opérés par Facebook.

https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/


# 03/12/2018 – Entrée en application du règlement UE interdisant le geoblocking

Le règlement (UE) 2018/302 visant à contrer le blocage géographique est entré en vigueur.

Le blocage géographique est une pratique consistant, pour un professionnel dans un territoire de l’UE, à bloquer ou limiter l’accès à son site ou son application mobile aux clients qui sont originaires d’un autre Etat membre ou résident dans un autre Etat membre ou à leur appliquer des conditions différentes (notamment des prix différents).

Cette pratique est mise en œuvre via le traitement des données personnelles de l’internaute (son adresse IP, son adresse de livraison ou de facturation, le pays d’émission de son moyen de paiement).

Le règlement (UE) 2018/302 interdit désormais cette pratique avec une exception : il restera possible de rediriger l’internaute vers une version locale du site en fonction du lieu où il se trouve, sous réserve que cette redirection ait été expressément acceptée (elle ne peut plus être automatique).

Pour en savoir plus :

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32018R0302


29/11/2018 – CNIL – Clôture des mises en demeure contre Fidzup et Singlespot

Faits : Mises en demeure du 25 juin 2018 et du 8 octobre 2018 par la CNIL avec délai de mise en conformité de 3 mois

Mesures prises pour faire cesser le manquement : les deux sociétés ont pris les mesures suivantes :

Affichage de bannières lors de l’installation des applications mobiles, permettant aux personnes de recevoir communication préalable des informations obligatoires sur le traitement

– Possibilité pour les personnes concernées d’accepter ou de refuser que leurs données de géolocalisation soient traitées à des fins de publicité ciblée, préalablement à la collecte, sans que le refus entraîne l’altération de la qualité du service,

Singlespot a également pris les mesures suivantes :

– Mise en place d’un système de purge automatique des données à l’expiration du délai de conservation

– Mise en place d’une politique de mots de passe contraignants pour l’accès à la base de données

Sanction : Aucune

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037661296&fastReqId=2113517222&fastPos=1

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037661430&fastReqId=1031394638&fastPos=1

En complément, consultez dans cette rubrique nos brèves des 25/06/18 sur l’affaire Fidzup et 8 &30/10/18 sur l’affaire Singlespot


26/11/18 – UK – ICO (Information Commissioner’s Office) / Condamnation solidaire des sociétés Uber BV et des établissements Uber au UK (Uber London Ltd, Uber Britannia Ltd, Uber Scot Ltd, Uber NIR Ltd) : £385 000

NB. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Faits : En novembre 2017, la société américaine Uber Technologies Inc. (ci-après Uber Inc.) a révélé dans la presse … avec un an de retard… que deux individus avaient piraté fin 2016 les données personnelles de 57 millions d’utilisateurs de ses services. Avaient ainsi été volés notamment les noms et prénoms des utilisateurs ainsi que leurs adresses électroniques, ville, pays de résidence, numéros de téléphone mobile et statut (chauffeur / passager). Les données de 82 000 chauffeurs et 2,7 millions de clients britanniques ont été concernées.

Responsabilité :  L’ICO considère qu’Uber B.V. est co-responsable de traitement avec les établissements britanniques, dans la mesure où ces sociétés affiliées sont établies au Royaume-Uni, exercent leurs activités (ventes et opérations marketing) à destination du public britannique et que Uber B.V. exerce une activité véritable et stable au Royaume-Uni via ces établissements, qui donne lieu au traitement de données objet de l’affaire. En revanche l’ICO ne remet pas en question le statut de sous-traitant de Uber Technologies Inc. aux Etats-Unis.

Obligation d’assurer la sécurité et la confidentialité : L’ICO considère qu’Uber n’a pas mis en place des mesures de sécurité adéquates :

– Accès des ingénieurs d’Uber à la plateforme collaborative de développement « Github », simplement avec leur adresse e-mail personnelle et un mot de passe configuré par eux-mêmes ;

– Aucune procédure de retrait d’habilitation prévue en cas de départ d’un ingénieur de la société ;

– Stockage en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur.

L’ICO reproche également à Uber d’avoir traité la violation comme un « bug bounty » (récompense accordée à une personne ayant détecté et signalé une faille) alors qu’il s’agissait visiblement d’un piratage, les pirates ayant subtilisé des données personnelles.

La loi britannique en vigueur (contrairement au RGPD applicable depuis mai 2018) ne prévoyait pas d’obligation de notifier l’autorité ou les personnes concernées d’une faille de sécurité mais l’ICO reproche malgré tout à Uber ce manque d’information et le considère comme aggravant la violation.

Sanction : Une amende de £385 000 (434 341€) à régler au plus tard le 03/01/2019, réduite à £308 000 en cas de paiement reçu le 02/01/2019, à moins d’un appel de la décision.

uber-monetary-penalty-notice-26-november-2018


22/11/2018 – Amazon, des noms et emails de ses clients divulgués par erreur

Amazon a révélé un bug informatique qui a accidentellement divulgué sur son site internet les noms et adresses de certains de ses clients. Le géant du commerce en ligne a assuré avoir réglé le problème et informé les clients affectés.

https://www.solutions-numeriques.com/amazon-des-noms-et-emails-de-ses-clients-divulgues-par-erreur/


21/11/2018 – ALLEMAGNE – Baden-Württemberg Data Protection Authority  (BWDPA) – Nouvelle amende au titre du RGPD – Condamnation du réseau social Knuddels.de >> 20K€

Faits : Le 8 septembre 2018, le réseau social Knuddels.de adresse à l’équivalent de la CNIL dans le land  Baden-Württemberg une notification de violations de données. La société avait découvert qu’une attaque informatique datant du mois de juillet 2018 avait permis le vol des données personnelles d’utilisateurs de son réseau social : plus de 800 000 adresses emails et près de 2 millions de noms d’utilisateurs et de mots de passe.  Dans une volonté de transparence parfaite vis-à-vis de l’autorité de protection des données, la société révèle que les mots de passes des utilisateurs étaient stockés en clair (c’est-à-dire non chiffrés ni modifiés).

Violation des principes en matière de données personnelles : Manquement à l’obligation d’assurer la sécurité et la confidentialité des données. Le chiffrement des données sur un site web est l’une des exigences minimales en matière de sécurité.

Sanction : Une amende de 20K€ pour avoir stocké les mots de passe de ses utilisateurs en clair. Cette sanction peut paraître faible au regard des amendes maximales prévues par le RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires). Cette clémence s’explique par la coopération et la transparence dont a fait preuve Knuddels.de, qui a signalé la violation immédiatement après en avoir pris connaissance, avec force de précisions et n’a pas hésité à révéler elle-même qu’elle ne chiffrait pas les mots de passe. L’autorité de protection des données a également retenu la grande diligence de la société dans la mise en place de mesures correctrices.

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/


06/11/18 – NL – AP (Autoriteit Persoonsgegevens) – Condamnation solidaire des sociétés Uber BV et Uber Technologies, Inc : 600K€

NB. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Faits : En novembre 2017, la société américaine Uber Technologies Inc. (ci-après Uber Inc.) a révélé dans la presse … avec un an de retard… que deux individus avaient piraté fin 2016 les données personnelles de 57 millions d’utilisateurs de ses services. Avaient ainsi été volés notamment les noms et prénoms des utilisateurs ainsi que leurs adresses électroniques, ville, pays de résidence, numéros de téléphone mobile et statut (chauffeur / passager). Les données d’environ 174 000 Néerlandais ont été concernées.

Responsabilité :  La responsabilité de Uber B.V. n’a pas été contestée. En revanche Uber Inc. invoquait sa position de simple sous-traitant sur la base d’un contrat signé avec Uber B.V. le 31/03/2016 définissant les rôles de chacun : Uber B.V. responsable de traitement et Uber Inc. sous-traitant. L’AP n’a pas retenu cet argument considérant que Uber Inc. et Uber B.V. déterminaient conjointement les éléments essentiels des moyens du traitement de données, la politique de sécurité des données, les décisions sur le stockage des données, le développement de l’offre et de l’application Uber et que Uber Inc. était le fournisseur de l’application à l’Apple App Store et au Google Play Store. Une responsabilité conjointe a été retenue par l’AP.

Obligation de notifier les violations de données : L’AP reproche à Uber de ne pas l’avoir informée ni les personnes concernées, dans les 72 heures suivant la découverte de la fuite, mais seulement le 21/11/2017, alors que le piratage avait eu lieu fin 2016 et que Uber en a eu connaissance par les pirates eux-mêmes le 14/11/2016.
Sanction : Une amende de 600K€ (sachant que l’amende maximum sous la loi néerlandaise en vigueur était de 800K€), payable sous 6 semaines, à moins d’un appel de la décision.

boetebesluit_uber


06/11/2018 – Microsoft certifié hébergeur de données de santé en France

Microsoft a annoncé lors des Microsoft Expériences 2018 au Palais des Congrès de Paris, avoir obtenu la certification Hébergeur de données de santé (attribué par l’organisme spécialisé BSI)

Cette certification s’applique à l’ensemble des services cloud de l’éditeur proposés en France : Azure et Office 365.

Si Microsoft est le premier parmi les grands fournisseurs de cloud public à bénéficier de cette certification c’est notamment pour récompenser sa capacité à gérer efficacement et rapidement les incidents de sécurité.

En effet, parmi les conditions pour obtenir une telle certification, il est nécessaire de respecter certaines normes :

  • ISO 27001 sur la sécurité des systèmes d’information,
  • ISO 27018 autour du respect de la vie privée,
  • ISO 20000, qui définit les exigences organisationnelles requises pour assurer la qualité des services de traitement de l’information.

Concrètement, cette certification va permettre le développement de solutions de santé personnalisée, permettant un décloisonnement du parcours de soins (partage de données de manière sécurisée) ouvrant la porte à la télémédecine.
Microsoft peut ainsi développer des solutions collaboratives avec des Etablissements de santé.

https://www.lemondeinformatique.fr/actualites/lire-microsoft-certifie-hebergeur-de-donnees-de-sante-en-france-73347.html?utm_source=ActiveCampaign&utm_medium=email&utm_campaign=NL+LMI+Quoti+07112018&ep_ee=141403a097bed23379fe40773267bf6537742427


06/11/2018 – Les systèmes informatiques de la FIFA  piratés

Après un nouveau piratage de leurs systèmes informatiques, les dirigeants de la FIFA affirment mettre progressivement en place des mesures préventives telles que la sensibilisation du personnel à une vigilance critique contre le phishing en l’informant des différentes techniques d’hameçonnage, et modes opératoires.

Ceci étant, il est clair que les procédures de cybersécurité doivent être revues en plus d’actions de sensibilisation pour éviter ce genre de piratage.

L’application stricte des règles du RGPD aurait pu permettre de détecter plus rapidement la fuite de données et inciter la FIFA à une vigilance plus poussée.

https://www.lemondeinformatique.fr/actualites/lire-les-systemes-informatiques-de-la-fifa-encore-pirates-73344.html?utm_source=ActiveCampaign&utm_medium=email&utm_campaign=NL+LMI+Quoti+07112018&ep_ee=141403a097bed23379fe40773267bf6537742427


06/11/18 CNIL– Publication d’une liste (non exhaustive) des traitements pour lesquels une analyse d’impact est requise

A noter notamment :

les critères utilisés pour déterminer si une étude d’impact est requise : collecte de données sensibles, personnes concernées dites « vulnérables » (employés, enfants, personnes âgées, patients, demandeurs d’asile, etc.), évaluation ou notation, surveillance systématique, croisement ou combinaison d’ensembles de données, prise de décision automatisée avec effet juridique ou effet similaire significatif, usage innovant ou application de nouvelles solutions technologiques, données traitées à grande échelle.

certains exemples de traitements concernés : traitement de lutte contre la fraude aux moyens de paiement (qui sont utilisés par nombreux sites web marchands), combinaison de données opérée par des courtiers en données, traitement visant à personnaliser les publicités en ligne, application mobile permettant de collecter les données de géolocalisation des utilisateurs à grande échelle.

https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pour


30/10/18 CNIL– Application du RGPD – Mise en demeure de la société Vectaury

Faits : La CNIL a contrôlé la société VECTAURY qui a recours à des technologies permettant de collecter des données personnelles via les mobiles multifonctions et de réaliser des campagnes publicitaires sur les mobiles.

Cette société a recours à des outils techniques dénommés « SDK » intégrés dans le code d’applications mobiles de ses partenaires. Ils lui permettent de collecter les données (identifiant publicitaire des mobiles et données de géolocalisation) des personnes des utilisateurs des mobiles même lorsque ces applications ne fonctionnent pas.

Ces données sont ensuite croisées avec des points d’intérêts déterminés par les partenaires (enseignes de magasins) afin d’afficher de la publicité ciblée sur les terminaux des personnes à partir des lieux qu’elles ont visités.

La société VECTAURY traite également, à des fins de profilage et de ciblage publicitaire, des données de géolocalisation qu’elle reçoit via des offres d’enchères en temps réel initialement transmises dans le but de permettre à la société d’acheter un espace publicitaire. La société VECTAURY est mise en demeure de recueillir le consentement effectif de tous les utilisateurs concernés et de supprimer les données qu’elle avait indûment collectées.

Base légale et obligation d’information :

# Manquement à l’obligation de recueil du consentement sur les données provenant des SDK :

– les personnes ne sont pas systématiquement informées, lors du téléchargement des applications mobiles, qu’un « SDK » collecte leurs données de localisation

– au moment de l’installation, l’utilisateur n’est informé ni de la finalité de ciblage publicitaire, ni de l’identité du responsable de ce traitement

– l’information dans les CGU des applications n’est pas préalable au traitement des données

– il n’est pas toujours possible, pour l’utilisateur, de télécharger l’application mobile sans activer le « SDK » et dans ce cas, l’utilisation des applications entraîne la transmission automatique de données à la société VECTAURY.

– le système de recueil du consentement (Consent Management Provider – CMP) mis en place pour renforcer l’information n’est pas systématiquement implanté dans les applications et l’information qui y est donnée à l’utilisateur est insuffisante

– la collecte des données de géolocalisation est activée par défaut.

# Manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire

– le consentement n’est pas recueilli avant le traitement des données pour du profilage publicitaire

– les informations données à l’utilisateur n’expliquent pas les finalités de traitement (système d’enchères en temps réel, puis conservation pour définir un profil commercial.

– la collecte des données est activée par défaut.

Risque pour les personnes : Risque particulier pour la vie privée puisque les données sont révélatrices des déplacements des personnes et de leurs habitudes de vie.

Exercice des droits :  les traitements sont opérés sans que les personnes concernées n’en soient conscientes, et sans qu’elles puissent exercer les droits prévus par le RGPD.

Délai de mise en conformité : 3 mois

Publication de la décision : compte-tenu de la nature des manquements, du nombre de personnes concernées (plus de 5 millions via les SDK et plus de 42 millions via le système d’enchères) et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037594451&fastReqId=974682228&fastPos=2


24/10/18 CNIL– Clôture de la mise en demeure contre Direct Energie

Faits : Mise en demeure du 5 mars 2018 par la CNIL avec délai de mise en conformité de 3 mois

Mesures prises pour faire cesser le manquement :

– Offres commerciales laissant au consommateur le choix des données qu’il veut partager (suivi détaillé, suivi standard, pas de suivi)

– Pas de collecte des données par défaut

– Information aux personnes claire et non équivoque : possibilité d’accepter le relevé de la consommation d’électricité journalière ou à la demi-heure sans penser qu’il s’agit d’une conséquence obligatoire de la pose du compteur connecté ; possibilité de retirer le consentement à tout moment, via l’espace client ; mise en place d’une méthode d’information spécifique à la passation d’un contrat par téléphone : communication orale des mentions d’information puis avec un SMS ou un courriel envoyé pendant l’échange avec le téléopérateur.

Sanction : aucune

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037523308&fastReqId=1830596627&fastPos=1

Lire aussi


16/10/2018 – International / Turquie – Communications marketing par e-mail, sms ou appel téléphonique

Le 15 août 2018, la Cour turque de protection des données personnelles (Kişisel Verileri Koruma Kurulu) a rendu une décision concernant les communications marketing via e-mail, sms ou appels téléphoniques, décidant que les responsables de traitement et leurs sous-traitants arrêtent immédiatement ce type de communication à moins d’avoir obtenu le consentement explicite des personnes destinataires ou de pouvoir justifier que le traitement concerné est exempt de l’obligation légale de recueillir le consentement préalable. Elle rappelle également que les responsables de traitement doivent prendre toute mesure technique et organisationnelle pour assurer un niveau de sécurité adéquat des données et garantir leur protection et que les sous-traitants sont conjointement responsables s’agissant de s’assurer que ces mesures sont bien mises en place.


11/10/2018 – CNIL – Adoption de deux référentiels de certification des compétences du DPO

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données (DPO) et inversement, ni pour être déclaré comme tel auprès de la CNIL. Elle permet simplement de justifier de compétences et de savoir-faire.

La CNIL a ainsi adopté :

– un référentiel de certification qui fixe les conditions de recevabilité des candidatures et la liste des compétences / savoir-faire attendus pour être certifié en tant que DPO,

– un référentiel d’agrément qui fixe les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO : en effet, la CNIL ne délivrera pas elle-même de certification.

Pour le moment, la CNIL n’a pas encore délivré d’agrément à des organismes certificateurs.

https://www.solutions-numeriques.com/certification-des-dpo-la-cnil-pose-les-regles/


11/10/2018 – PORTUGAL – CNPD (Comissão Nacional de Proteção de Dados) – 1ère amende en Europe au titre du RGPD– Condamnation du centre hospitalier de Barreiro-Montijo >> 400K€

Faits : Au mois de juin 2018, suite à une alerte émise par l’ordre des médecins, la CNPD (équivalent de la CNIL au Portugal), effectue un contrôle auprès du centre hospitalier de Barreiro-Montijo. A cette occasion la CNPD relève d’abord que 9 membres des personnels administratifs du centre ont accès aux dossiers cliniques des patients, accès qui devrait être réservé aux médecins. Puis la CNPD constate que 985 médecins disposent d’un compte leur donnant accès aux dossiers cliniques des patients, alors que le personnel de l’hôpital ne compte que 296 médecins. L’écart s’explique par la création d’un compte pour chaque vacataire de l’établissement, sachant que ces comptes ne sont pas supprimés ou désactivés à la fin de leur mission (datant parfois de 2 ans). Plusieurs autres lacunes dans la politique de création et de gestion des comptes sont également constatées. En particulier, en créant un simple compte test, les experts du CNPD ont eu accès à des données sensibles de patients qui n’étaient plus traités dans l’établissement de Barreiro-Montijo.

Violation des principes en matière de données personnelles : la CNPD retient 3 violations du RGPD :

– non-respect des principes d’intégrité et de confidentialité des données,

– manquement à l’obligation de limiter l’accès aux données (pas de prise en compte des profils des employés)

– incapacité pour le responsable du traitement des données à garantir l’intégrité des données.

Défense de l’établissement de santé : le centre invoquait notamment le fait que c’est le ministère de la santé portugais qui gère les habilitations pour accéder aux données des patients et son insuffisance de moyens informatiques pour assurer la bonne gestion des données. Les arguments du centre hospitalier sont balayés par la CNPD qui retient la responsabilité de l’établissement dans les manquements constatés.

Sanction : Le centre est condamné à une amende de 400K€, soit 150K€ pour chacun des deux premiers manquements relevés et 100K€ pour la 3ème violation constatée.

Rappelons toutefois que les amendes maximales prévues par le RGPD peuvent grimper jusqu’à 20 millions d’euros pour ce type de manquement, de sorte que l’amende prononcée semble relativement clémente en comparaison, d’autant plus vue la nature sensible des données concernées, liées au domaine médical.

https://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos


09/10/2018- L’autorité belge souhaite un droit à l’oubli à portée mondiale

La Commission pour la Protection de la Vie privée Belge (CPVP) a reçu une plainte en juillet 2016 concernant des URLs disponibles sur un moteur de recherche et reprenant des informations calomnieuses et diffamantes qui associaient les plaignants à des faits graves dans lesquels ils n’étaient pas impliqués et pour lesquels ils n’ont jamais été inquiétés.

Les plaignants ont donc adressé des demandes de déréférencement auprès du moteur de recherche en question mais en vain car de nouveaux liens réapparaissaient sans cesse renvoyant vers un contenu identique mais avec des URLs légèrement modifiées.

Par ailleurs, le déréférencement s’était avéré partiel et inefficace car il :

  • ne portait pas sur l’ensemble des extensions du moteur de recherche depuis l’ensemble des territoires où il est accessible.
  • se limitait aux seules clés de recherche contenant le nom et le prénom des plaignants ; ainsi, dès l’ajout d’un terme spécifique associé aux nom et prénom, les résultats préalablement déréférencés réapparaissaient.

Les plaignants demandent donc à la CPVP que le déréférencement porte sur l’ensemble des versions du moteur de recherche et qu’il ne soit plus limité géographiquement, et que les modalités d’exercice de leur droit au déréférencement soient adaptées via, par exemple, la mise en place d’un système de filtrage.

Cette plainte a été accueillie favorablement par la CPVP qui estime notamment que les différentes extensions d’un moteur de recherche ne peuvent être considérées autrement que comme autant de chemins d’accès techniques à un seul et même moteur de recherche, permettant un seul et même traitement. Les URLs du moteur de recherche ne peuvent dès lors faire l’objet de décisions de blocages différenciées selon les origines de localisation territoriale artificielles.

La limitation territoriale aboutit ainsi selon la CPVP, à priver d’effets utiles l’exercice du droit à la protection de la vie privée.

Une affaire semblable portant sur la portée territoriale du droit au déréférencement consacré par l’arrêt « Google Spain» du 13 mai 2014 au détour de trois questions préjudicielles est actuellement pendante devant la CJUE pour laquelle la décision de la Cour devrait être rendue dans les mois à venir.

L’avocat général a d’ailleurs présenté ses conclusions le 10 janvier dernier dans lesquelles il précise ne pas être favorable à une interprétation si large des dispositions du droit de l’Union qu’elles auraient des effets au-delà de frontières territoriales des 28 Etats membres.

Ceci étant, il n’écarte pas la possibilité dans des cas spécifiques d’imposer à un moteur de recherche d’entreprendre des actions de déréférencement au niveau mondial.

https://www.droit-technologie.org/actualites/lautorite-belge-souhaite-droit-a-loubli-a-portee-mondiale/

https://www.juridiconline.com/actualites-juridiques/propriete-intellectuelle-a-nouvelles-technologies/108-internet/25427-cjue-portee-territoriale-du-droit-au-dereferencement.html


08/10/2018 – CNIL – Mise en demeure contre l’école 42 – Système de vidéosurveillance 

Faits : Dans le cadre d’un contrôle en février 2018, la CNIL constate que les espaces de travail des étudiants, les bureaux administratifs ainsi que des lieux de vie comme la cafétéria sont filmés en permanence, avec un accès instantané des films aux étudiants via le réseau intranet. 

Vidéosurveillance excessive ; Manque d’information aux personnes concernées ; Accès aux données qui doit être limité à des personnes habilitées d’après la finalité du traitement. 

Publication de la décision : Vu le caractère intrusif du traitement, pour responsabiliser les responsables de traitement et informer les nombreux étudiants concernés. 

Délai de mise en conformité : 08 décembre 2018 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037537391&fastReqId=1466136022&fastPos=4 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037537453&fastReqId=1466136022&fastPos=3 


08/10/2018 – Faille de sécurité du réseau social Google +

Le Wall Street Journal a révélé le 8 octobre dernier qu’une faille de sécurité dans l’interface de programmation de Google + avait mis en danger les données personnelles des utilisateurs pendant 3 ans de 2015 à 2018 avant que Google ne s’en aperçoive lors d’un audit interne. Google aurait hésité à rendre publique la découverte de cette faille mais l’a finalement confirmée peu de temps après.

Google estime que 500 000 comptes étaient concernés par cette vulnérabilité et 438 applications tierces (API) avaient potentiellement accès à ces données.

Parmi les données concernées : le nom, l’adresse de messagerie, l’emploi, l’âge et le genre des utilisateurs.

Google a annoncé dans la foulée la fermeture de Google + pour le grand public très prochainement en grande partie en raison de ce problème.

Malgré tout, Google affirme qu’aucune collecte ou mauvaise utilisation de ces données n’a été constatée.

Google a depuis corrigé cette faille et rendu plus limité l’accès aux informations personnelles depuis les API.

https://www.lemonde.fr/pixels/article/2018/10/08/google-va-fermer-google-apres-la-decouverte-d-une-faille-de-securite-ayant-affecte-les-donnees-d-au-moins-500-000-utilisateurs_5366530_4408996.html#xtor=AL-32280270


# 03/10/18 CNIL– Clôture de la mise en demeure à l’encontre de la société Teemo  – géolocalisation à des fins de ciblage publicitaire

Faits : Contrôle effectué par la CNIL sur des traitements de données de la société TEEMO permettant d’effectuer des campagnes de ciblage publicitaire vers des téléphones mobiles sur la base des données de géolocalisation suivie d’une mise en demeure pour remédier aux divers manquements : défaut de recueil de consentement des personnes au traitement de leurs données de géolocalisation à des fins publicitaires ; durée de conservation excessive des données de localisation.

Réponse rapide et mise en conformité par la société Teemo avec :

– développement de bannières s’affichant lors de l’installation des applications mobiles avant la collecte des données, pour recueillir un consentement libre, spécifique et éclairé des personnes,

– information complète communiquée aux personnes : finalité du traitement (publicité ciblée géolocalisée), identité des responsables de traitement (sociétés de géomarketing et leurs partenaires marketing) accessible grâce à un lien cliquable, données collectées (géolocalisation, identifiant publicitaire du téléphone), retrait possible et à tout moment du consentement, accès grâce à un lien cliquable à une information plus complète notamment sur leurs droits et les durées de conservation des données.

– possibilité pour les personnes d’« accepter » ou de « refuser » que leurs données de géolocalisation soient traitées à des fins de publicité ciblée. En cas de refus, non collecte des données et possibilité de continuer à utiliser l’application sans que la qualité du service ne soit altérée.

– mise en place de nouvelles durées de conservation des données proportionnées aux finalités du traitement (3 périodes distinctes au cours desquelles les données de géolocalisation sont de plus en plus dégradées rendant ainsi la géolocalisation de moins en moins précise).

Sanction : aucune

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037460321&fastReqId=1007310657&fastPos=1


8 & 30/10/2018 – Premières mises en demeure de la CNIL en application du RGPD, quels enseignements peut-on en tirer ?
Focus sur les affaires SingleSpot et Vectaury

Depuis l’entrée en vigueur du RGPD en mai 2018, plusieurs décisions ont été rendues par la CNIL sous l’empire de l’ancienne loi.

Leur analyse met en particulier en avant le fait que les manquements les plus fréquents concernent :

  • la licéité des traitements de données personnelles illicites (données non minimisées, finalités détournées, défaut de consentement de la personne concernées),
  • l’obligation d’information des personnes et l’obligation de sécurité (confidentialité des données).

Dans ces affaires, la CNIL a porté le montant des amendes entre 10 et 50K€ et accordé des délais de mise en conformité entre 1 et 3 mois. D’une manière générale, la CNIL décide de rendre publiques ses décisions en fonction de la gravité de l’atteinte, du nombre de personnes concernées et dans une volonté pédagogique de sensibiliser les acteurs du traitement de données personnelles.

Ceci étant, les premières décisions rendues sous l’empire du RGPD étaient attendues. Des amendes rendues publiques, qui permettraient d’apprécier la façon dont la CNIL va appliquer les montants prévus de 10 à 20 millions d’€ ou 2 à 4% du Chiffre d’affaires, n’ont pas encore été prononcées. En revanche, la CNIL a fait paraître deux mises en demeure déjà riches d’enseignements pratiques et concrets pour la mise en application du RGPD par les entreprises.

Les deux affaires portant sur le même type de traitements et ayant en commun plusieurs manquements, il est intéressant de les analyser conjointement.

Lire la suite


28/09/2018 – 50 millions de comptes Facebook piratés

Le réseau social vient d’annoncer le piratage, détecté 3 jours plus tôt, de 50 millions de comptes de Facebook en réseau d’une faille dans le code informatique de la fonction « aperçu de mon profil ». Facebook indique ne pas savoir si les pirates ont extrait les informations de ces comptes ou ont pris le contrôle des comptes.

Facebook a corrigé cette faille sous 2 jours et, par précaution, déconnecté environ 90 millions de comptes de ses utilisateurs (y-compris européens).

Facebook a présenté ses excuses publiquement et a d’ores et déjà notifié cette violation de données auprès de l’autorité irlandaise de protection des données personnelles

https://newsroom.fb.com/news/2018/09/security-update/


25/09/18 CNIL– Mises en demeure de société d’assurance Grand Est Mutuelle, Humanis Assurances, Mutuelle Humanis Nationale, Auxia, Malakoff Médéric Mutuelle

Faits : Au titre du programme annuel des contrôles défini par la CNIL au en 2017, des contrôles ont été réalisés en février et mars 2018 dans les locaux des groupes Humanis et Malakoff-Médéric qui interviennent dans tous les domaines de la protection sociale, pour les entreprises et les particuliers. Parmi leurs activités, ces groupes et les sociétés qui les composent sont chargés de mettre en œuvre les régimes de retraite complémentaire en réalisant des opérations de gestion. À ce titre, ils ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite.

Ces groupes et les sociétés qui les composent sont mis en demeure par la CNIL de cesser certains traitements de données celles-ci étant détenues pour d’autres finalités.

Responsabilité : En utilisant à des fins commerciales des données à caractère personnel détenues dans le cadre de leurs missions d’intérêt général, les sociétés ont déterminé de nouvelles finalités et de nouveaux moyens de traitement, elles se sont ainsi comportées comme responsables de traitement et doivent donc être considérées comme tels.

Interdiction d’utiliser les données pour des finalités non initialement prévues : Les sociétés des groupes Humanis et Malakoff-Médéric utilisent les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de ces groupes (campagnes de démarchage téléphonique). Or, ni les institutions de retraite complémentaire ni les groupes de protection sociale n’ont été autorisés par l’AGIRC-ARRCO à réutiliser les données à caractère personnel issues du système d’information de la retraite complémentaire (les instructions sur le traitement sont claires sur ce point et rappelées à plusieurs reprises). Il s’agit donc d’un détournement de finalité.

Délai de mise en conformité : 1 mois

Publication des décisions : compte-tenu du grand nombre de personnes concernées (plusieurs centaines de milliers de personnes) et de la gravité du manquement relevé.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037503232&fastReqId=1952933718&fastPos=2

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037503275&fastReqId=2026075249&fastPos=3

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037503313&fastReqId=1180780234&fastPos=2

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037503353&fastReqId=1150226650&fastPos=2

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037503159&fastReqId=32363101&fastPos=2


08/10/2018 – UK – ICO (Information Commissioner’s Office) / Violation des données chez Heathrow Airport Limited (HAL) : £120,000

Faits : Le 16 Octobre 2017, une clef USB perdue par un employé du HAL a été retrouvée par un membre du public, qui a regardé son contenu (76 dossiers et plus de 1000 fichiers contenant des données personnelles d’employés, non encryptés ou protégés par un mot de passe). Cette clef a été vue et transmise à un journal national qui en fit une copie. L‘ICO a été informé par les médias.

Sécurité des données : Les entreprises doivent veiller à ce que des normes, formations et procédures adéquates soient mises en place afin de minimiser la vulnérabilité des données personnelles. A HAL, seulement 2% des employés étaient formés en protection des données et les employés utilisent des supports médias amovibles en violation du règlement d’HAL. Les contrôles et règles étaient insuffisants. Des mesures organisationnelles et techniques appropriées doivent être prises contre des traitements non-autorisés/illicites et pertes.

Sanction :  Le cas n’a pas été examiné selon les dispositions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu. Ceci étant, le HAL a été condamné à une amende de £120000 (environ 136K€) conformément au Data Protection Act 1998, compte tenu de la gravité des faits (données sensibles, mesures inappropriées et taille du HAL) et pour promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/heathrow-airport/


28/09/2018 – UK – ICO (Information Commissioner’s Office) / Violation de données chez Bupa Insurance Services Limited (Bupa) : £ 175000

Faits : Un employé a pu extraire les informations (tel que le nom, date de naissance, adresse email, nationalité) de 547 000 clients et par la suite les a vendues sur le dark web. L’ICO a été mis au courant par des plaintes des clients de la société Bupa.

Sécurité des données : Bupa a manqué à ses obligations d’évaluer le risque et de mettre en place des mesures effectives de sécurité afin de protéger les informations de ses consommateurs. Le contrôleur des données doit prendre des mesures organisationnelles et techniques appropriées contre des traitements non-autorisés et illicites.

Sanction : Le cas n’a pas été examiné selon les provisions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu (en 2017). Ceci étant, Bupa a été condamné à une amende de £175000 (environ 197K€) conformément au Data Protection Act 1998, compte tenu de la gravité des faits et pour promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/bupa-insurance-services-ltd/


20/09/2018 – UK – ICO (Information Commissioner’s Office) / Violation des données chez Equifax Ltd : £500000

Faits : La branche américaine de l’entreprise Equifax Ltd a subi une cyberattaque en 2017, affectant 146 millions de clients dans le monde, dont 15 millions de britanniques.

Sécurité des données : La branche britannique d’Equifax Ltd était responsable des données personnelles de ses clients britanniques, et a manqué à ses obligations de prendre des mesures appropriées afin d’assurer que le sous-traitant, la branche américaine, protègerait ces données (noms, dates de naissance, adresses, mots de passes, permis de conduire, informations financières).

Violation des principes en matière de données personnelles : manquement à son obligation d’assurer la sécurité des données personnelles, médiocrité des pratiques de rétention des données (les données ayant été conservées pour une durée plus longue que nécessaire), absence de but légitime, absence de base légale pour le transfert international des données de citoyens britanniques.

Sanction : Ce cas n’a pas été examiné selon les provisions et seuils maximum de pénalités du RGPD en raison du moment où les faits ont eu lieu (en 2017). Ceci étant, Equifax Ltd a été condamné à une amende de £500000 (environ 562K€) conformément au Data Protection Act 1998, ce qui représente le niveau maximum de sanction financière sous cette loi (compte tenu du nombre de victimes, du type de données exposées aux risques, et de l’attitude inexcusable d’Equifax Ltd), en vue de promouvoir le respect de la règlementation en matière de vie privée.

https://ico.org.uk/action-weve-taken/enforcement/equifax-ltd/


17/09/2018 – Enquête d’Amazon sur la possible revente de données par ses employés

https://www.lemonde.fr/entreprises/article/2018/09/17/des-employes-d-amazon-auraient-revendu-des-donnees-confidentielles_5355969_1656994.html?xtref=https://news.google.com/


08/09/2018 – Violation de données chez le groupe hôtelier Marriot

Faits : Les hôtels Starwood (groupe Marriot) révèlent dans un communiqué de presse avoir été victimes d’un gigantesque piratage : les données de 500 millions de clients seraient concernées et porteraient sur les informations des clients telles que nom, adresse postale, numéro de téléphone portable, adresse mail, numéro de passeport, information de compte, date de naissance, genre, informations d’arrivée et de départ de l’hôtel, voir même des données de cartes bancaires chiffrées (mais dont les clés de chiffrement auraient été volées). La faille pourrait exister depuis 2014. Des investigations sont en cours pour identifier l’auteur des faits et fixer l’ampleur exacte de la faille.

Le groupe a informé les personnes concernées par email et publié un communiqué officiel, pour répondre à l’obligation de notification de faille de sécurité aux personnes concernées. Marriott a également mis en place un site web et un centre d’appel. Quelques heures après de premières plaintes sont déposées, en Oregon et dans l’Etat du Maryland, visant le statut de recours collectif.

https://answers.kroll.com/


06/09/18 CNIL– Condamnation pour l’association Alliance Française Paris Ile-de-France >> 30K€

Faits : En novembre 2017, la CNIL est informée de l’existence d’un incident de sécurité sur le site internet de l’association conduisant à rendre librement accessibles les données des personnes suivant des cours de français.

Constat par le biais d’un contrôle en ligne en décembre 2017 qu’en modifiant un numéro d’identifiant contenu dans une URL correspondant à l’espace utilisateur, il est possible de télécharger des documents contenant des données personnelles (factures, certificats d’inscription ou récapitulatifs des cours suivis. Constat au cours d’un contrôle au sein des locaux de l’association début 2018 que la violation de données persiste et donne accès à 413 144 documents. Constat par un second contrôle en ligne quelques semaines plus tard que les documents sont toujours accessibles. L’association informe la CNIL qu’elle a mis fin à la violation de données début mars.

Obligation de sécurité : Les mesures élémentaires de sécurité auraient dû être mises en place (procédure d’identification ou d’authentification des utilisateurs du site internet, dispositif permettant d’éviter la prévisibilité des URL (exemple : URL composée d’une chaîne de caractères aléatoires et ne comportant pas de numéro d’identifiant).

Manque de diligence dans la résolution de la violation.

Responsabilité du responsable de traitement : le fait qu’une violation de données ait pour origine, comme cela été invoqué en l’espèce, une erreur commise par un sous-traitant, ne dispense pas le responsable de traitement d’assurer un suivi rigoureux des actions menées par celui-ci.

Sanction : 30K€

Publication de la décision : en raison de la gravité du manquement précité, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitement et les internautes quant aux risques pesant sur la sécurité des données.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037435170&fastReqId=279071783&fastPos=1


06/09/2018 – Vol de données chez British Airways

British Airways vient d’annoncer que des données personnelles et financières de clients utilisateurs de son site web et de son application de réservation en ligne ont été piratées entre le 21 août et le 5 septembre. Les informations volées portent sur le nom, l’adresse, l’adresse email des clients et surtout toutes leurs données de cartes bancaires, à savoir le numéro, la date d’expiration et le code sécurisé à trois chiffres : 380.000 cartes de paiement pourraient être concernées.

La compagnie a confirmé que la faille était réparée et que l’utilisation de son site et de son application était revenue à la normale. Elle a présenté ses excuses et prévoit d’indemniser ses utilisateurs pour tout dommage financier qu’ils auraient pu subir.

https://www.britishairways.com/fr-fr/information/incident/data-theft/latest-information


04/09/2018 – UK – ICO (Information Commissioner’s Office) / Injonction signifiée au London Borough of Lewisham.

Faits : Les demandes d’accès aux données personnelles par les personnes concernées faites au London Borough of Lewisham n’ont pas été traitées en temps utiles en raison de l’inefficacité des systèmes internes, des procédures et politiques de traitement de ce genre de demandes.

Exercice du droit d’accès : Dès lors qu’une demande d’accès aux données personnelles est faite par la personne concernée, le contrôleur des données doit y répondre sans retard excessif. De plus, les moyens employés pour répondre à ces demandes doivent être adéquats.

Injonction : L’ICO a donné un délai au 15 octobre pour que le London Borough of Lewisham réponde aux 19 personnes ayant fait une demande d’accès à leurs données personnelles avant le 25 Mai dernier, avec un reporting hebdomadaire des actions engagées.

https://ico.org.uk/action-weve-taken/enforcement/london-borough-of-lewisham-en-sep/


31/08/2018 – Violation de données chez Abbyy

Faits : Défaillance d’un serveur ayant rendu accessible près de 200.000 documents scannés d’un seul client de la société russe.

Information par le biais d’un communiqué (sans doute pour éviter le bad buzz possible et rassurer).


28/08/2018 – Violation de données chez Système U (site de location de voitures)

Faits : Piratage ayant entrainé une violation de données (identification, coordonnées, informations sur les réservations, pas de données de paiement)

Notification de la violation à la CNIL et par le biais d’un communiqué.


27/08/2018 – Violation de données chez T-Mobile US

Faits : Faille de sécurité potentielle détectée et rapidement corrigée, ayant pu entrainer la violation de données de probablement plus de 2 millions de victimes potentielles (nom, code postal de facturation, numéro de téléphone, adresse e-mail, numéro de compte et type de compte, pas de données de paiement)

Notification par le biais d’un communiqué.


15/08/2018 – International / Brésil – Adoption de la LGPD

Le 15 août 2018 a été adoptée la 1ère loi brésilienne sur la protection des données personnelles (LGPD), inspirée du système européen et qui entrera en vigueur le 15 février 2020. Une période transitoire de 18 mois a donc été prévue pour mettre en place les différentes mesures assurant la des traitements de données personnelles. Cette nouvelle réglementation s’imposera à des sociétés non brésiliennes puisqu’elle s’appliquera :

– aux traitements réalisés au Brésil

– et à ceux réalisés à l’étranger lorsque les activités liées aux traitements consistent en l’offre de produits ou services destinés à des personnes situées au Brésil ou lorsque les données auront été collectées au Brésil.


09/08/2018 – CNIL – Plaintes reçues concernant l’étude effectuée par EU DisinfoLab sur certains messages publiés via Twitter sur l’affaire BENALLA

Faits : Vue l’ampleur des posts sur l’affaire BENALLA (4.5 millions de tweets en français par moins de 250.000 twittos, en moins de 3 semaines), l’ONG belge EU DisinfoLab a conduit une analyse de cette hyperactivité pour tenter d’établir s’il s’agissait de partages militants ou d’un gonflage numérique par de la désinformation. Elle a ainsi établi un profil des acteurs de ces tweets répartis en 4 catégories selon leurs opinions politiques, avec une analyse comportementale par profil. Dans un premier temps les données brutes de l’analyse ont été mises à disposition (fichiers avec des listes de pseudonymes, le nombre de tweets et des informations de positionnement politique). La Cnil a été saisir de nombreuses plaintes et les instruire dans le cadre de la coopération européenne mise en place par le RGPD.

https://www.cnil.fr/fr/etude-realisee-partir-de-messages-postes-sur-twitter-la-cnil-est-saisie-du-dossier


03/08/2018 – Publication du décret n°2005-1309 venant compléter la LIL

Fixation des délais et procédures applicables aux missions de la CNIL et précision sur certaines dispositions de la loi (données médicales, moyens d’information des personnes concernées, etc.)


31/07/2018 – CNIL – Lancement d’une enquête concernant la durée de conservation des images de vidéosurveillance par la Préfecture de police de Paris

Dans le cadre de l’affaire Benalla, la CNIL a déclenché une procédure de contrôle afin de vérifier les modalités de conservation des vidéos par la Préfecture de police de Paris. Il semble en effet que la durée de conservation de maximum 30 jours ne soit pas respectée par la Préfecture.

https://www.solutions-numeriques.com/affaire-benalla-la-cnil-reproche-a-la-pp-de-paris-de-conserver-plus-de-30-jours-les-videos/


27/07/2018 – USA – Réflexion sur l’adoption d’un cadre juridique fédéral pour la protection des données personnelles

Quelques mois après l’entrée en application du RGPD, l’administration américaine engage des discussions avec les géants du web, les acteurs du secteur des nouvelles technologies et des télécoms sur ce qu’il pourrait et devrait faire en matière de protection de la vie privée. Certains évoquent la possible adoption d’un texte fédéral fixant un cadre juridique unifié pour la protection des données personnelles, à la fois proche du RGPD et moins stricte que ce dernier.

https://www.washingtonpost.com/gdpr-consent/?destination=%2ftechnology%2f2018%2f07%2f27%2ftrump-administration-is-working-new-proposal-protect-online-privacy%2f%3fnoredirect%3don%26utm_term%3d.4e150b8266f5&noredirect=on&utm_term=.43c8396bfa86


24/07/2018 CNIL – Sanction pour Dailymotion : 50K€

Faits : Violation de données chiffrées lors d’une attaque par l’accès aux identifiants d’un compte administrateur stockés en clair sur la plateforme collaborative de développement « Github » et exploitation d’une vulnérabilité dans le code de la plateforme Dailymotion sur « Github » : 82,5 millions d’adresses e-mails et 18,3 millions de mots de passe concernés.

Obligation de sécurité des données personnelles : des mesures élémentaires auraient pu éviter la violation : ne pas stocker en clair dans le code source des identifiants relatifs à un compte administrateur ; mettre en place des systèmes de filtrage des adresses IP ou un VPN (réseau virtuel privé) lorsque des personnes extérieures à la société peuvent se connecter à distance à un réseau informatique interne.

Sanction : elle aurait certainement été plus élevée si les données violées n’avaient pas été chiffrées.

Publication de la décision : Pour responsabiliser les responsables de traitement et vu le nombre très important de données en cause


24/07/2018 CNIL – Sanction pour l’Office Public de l’Habitat de Rennes Métropole Archipel Habitat : 30K€

Faits : Plainte reçue concernant l’utilisation par la Présidente de l’OPH (aussi Maire de Rennes) du fichier des locataires de logements sociaux pour leur transmettre un courrier politisé au sujet des APL et de la position du gouvernement.

Traitement licite : les données personnelles collectées ne peuvent être traitées pour d’autres finalités que celles qui ont justifié la collecte (ici la gestion des demandes de logement social et du parc immobilier). Si une finalité de communication externe était possible, il ne s’agissait pas ici d’une lettre d’information vu le contenu polémique du courrier (critique d’une annonce gouvernementale).

Publication de la décision : Pour rappeler à tous les acteurs du secteur social l’interdiction d’utiliser les données hors de la finalité initiale et en raison de la méconnaissance par l’OPH d’un principe fondamental de la LIL.


17/07/2018 CNIL – Clôture de la mise en demeure contre Genesis Industries Limited

A la suite de la mise en demeure de la CNIL, les réponses apportées par Genesis et les contrôles ultérieurs de la CNIL ont permis de vérifier que la reconnaissance vocale, nécessaire pour que les jouets répondent aux questions posées par les enfants, n’est plus utilisée. Les discussions avec les jouets ne sont plus transférées vers les serveurs d’une société tierce hors UE et l’utilisation des jouets ne conduit plus à mettre en œuvre un traitement de données personnelles.


16/07/2018 – CNIL- Adoption de nouvelles mesures de simplification pour les recherches dans le domaine de la santé

De nouvelles méthodologies de référence sont mises en place par la CNIL et permettent d’éviter la soumission à la CNIL d’une demande d’autorisation préalable au traitement de données personnelles

https://www.cnil.fr/fr/recherches-dans-le-domaine-de-la-sante-la-cnil-adopte-de-nouvelles-mesures-de-simplification


02/07/2018 Communiqué de la CNIL – Quels contrôles pour 2018 ?

Les contrôles de la CNIL en 2018 suivront les mêmes grandes lignes que précédemment avec des investigations sur la base des réclamations et signalements adressés à la CNIL, des vérifications effectuées à la suite de clôtures, mises en demeure ou sanctions, des missions réalisées en fonction des sujets d’actualité et du programme annuel des contrôles sur les thématiques spécifiques retenues. Pour 2018, il s’agit des traitements de données personnelles liées au recrutement (notamment les outils d’évaluation), à l’immobilier locatif (sur les pièces justificatives demandées par les agences) et au stationnement payant réalisés avec des outils connectés.


01/07/2018 – International / Brésil – La LGPD devrait entrer en vigueur d’ici 18 mois

Après 8 ans de travail et inspirée de la Directive européenne de 1995, la 1ère loi brésilienne sur la protection des données personnelles (LGPD) va entrer en vigueur. Elle crée et uniformise un système global de protection avec 10 bases légales permettant de justifier un traitement de données personnelles (dont le consentement), une protection renforcée pour les données dites sensibles (ex. origine ethnique, opinions politiques et religieuses, préférences sexuelles et données génétiques), la création d’une autorité dédiée (ANPD), la mise en place d’une fonction de responsable de la vie privée au sein des entités publiques et privées, des obligations de notification de violation des données, des amendes pouvant grimper jusque 50 millions de real brésiliens (environ 10 millions d’euros) avec une possible interdiction des traitements incriminés.


28/06/2018 Communiqué de la CNIL – Les négligences les plus courantes en matière de sécurité des sites web

Les écueils assez faciles à éviter et pourtant les plus souvent rencontrés concernant la sécurité des sites web sont en particulier : une authentification par un mot de passe trop souple, l’absence de règles d’authentification à un compte (la seule url incrémentale suffisant à y accéder), l’absence de chiffrement des données, l’indexation des données dans un moteur de recherche.


25/06/2018 – CNIL – Mise en demeure des sociétés Fidzup et Teemo

Faits : la CNIL a contrôlé les sociétés Fidzup et Teemo, qui ont recours à des technologies permettant de collecter des données personnelles via les smartphones et de réaliser des campagnes publicitaires géolocalisées sur les mobiles.

Ces deux sociétés ont recours à des outils dits « SDK », qui sont intégrés dans le code d’applications mobiles de leurs partenaires, et qui leur permettent de collecter des données des personnes des utilisateurs des smartphones, même lorsque ces applications ne fonctionnent pas.

Ces outils « SDK » permettent à la société Teemo de collecter l’identifiant publicitaire des smartphones et les données de géolocalisation des personnes, environ toutes les cinq minutes. Ces données sont croisées avec des points d’intérêt déterminés par les partenaires (enseignes de magasins), ce qui permet d’afficher de la publicité ciblée sur les smartphones des personnes à partir des lieux qu’elles ont visités.

Quant à Fidzup, les SDK lui permettent de collecter les identifiants publicitaires et adresses MAC des smartphones. Les points de vente de ses partenaires sont équipés de dispositifs particuliers qui permettent de collecter des données relatives à l’adresse MAC et à la puissance du signal WIFI des smartphones. Ces données sont croisées, ce qui permet d’effectuer de la prospection publicitaire sur les smartphones des personnes lors de leur passage à proximité d’un point de vente client de la société Fidzup.

Manquement aux obligations de recueil du consentement et d’information préalable :

– s’agissant de la société Teemo, les personnes ne sont pas informées, lorsqu’elles téléchargent des applications mobiles partenaires, qu’un SDK permettant de collecter leurs données y est intégré,

– s’agissant de la société Fidzup, au moment de l’installation des applications partenaires, l’utilisateur n’est pas informé que ses données seront traitées à des fins de ciblage publicitaire, ni de l’identité du responsable de traitement. Par ailleurs, les personnes concernées ne reçoivent d’information sur le traitement de leurs données qu’après leur collecte, alors que le consentement suppose une information préalable,

– concernant les deux sociétés, l’utilisateur ne peut pas télécharger les applications partenaires sans le SDK, donc il n’est pas possible d’utiliser l’application sans transmettre ses données à Teemo et Fidzup,

– enfin il est demandé aux personnes de consentir aux traitement de leurs données de géolocalisation lors de l’installation des applications mobiles des partenaires de Teemo et Fidzup. Ceci étant, cela ne concerne que l’utilisation des données par l’application en question. En conséquence, le consentement ne vaut pas pour la collecte des données à des fins publicitaires via les SDK.

Manquement à l’obligation concernant la durée de conservation : la durée de conservation des données de localisation appliquée par Teemo, de 13 mois, est considérée comme disproportionnée par rapport à la finalité du traitement qui a justifié la géolocalisation, notamment concernant les données collectées qui ne concernent pas des zones géographiques où la société effectue des campagnes marketing.

Manquement à l’obligation d’assurer la sécurité et la confidentialité des données / de conclure un contrat écrit avec le sous-traitant prévoyant des obligations en matière de sécurité et confidentialité : les données collectées par Teemo étaient intégrées dans la base de données Matcher2, hébergée via les services de Google Cloud. Or, le contrat conclu entre Teemo et Google ne prévoyait pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données.

Risque pour les personnes : la géolocalisation est particulièrement intrusive car elle permet de suivre des personnes en temps réel.

Délai de mise en conformité : 3 mois

Publication des décisions : compte tenu de la nature des manquements, du nombre de personnes concernées par ces traitements et de la nécessité de sensibiliser les professionnels du secteur sur les enjeux liés au recours à ce type de technologie.

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037217051

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037217124&fastReqId=1928029948&fastPos=4


21/06/2018 – L’âge de la majorité numérique en France est fixé à 15 ans.

Un mineur peut consentir seul au traitement de ses données personnelles à partir de quinze ans. Avant cet âge, le consentement supplémentaire des parents est nécessaire. (Art. 20. Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles)

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037085952&dateTexte=&categorieLien=id


21/06/2018 – Promulgation de la Loi n°2018-493 du 20 juin 2018 modifiant la LIL

Mise à jour de certaines dispositions vis-à-vis du RGPD, exercice des manœuvres nationales prévues au RGPD (ex. âge de la majorité numérique) et transposition de la Directive 2016/680 « Police Justice ».

D’après la CNIL, une ordonnance de réécriture complète de la loi « Informatique et Libertés » est prévue, dans un délai de six mois, afin de permettre une lisibilité du cadre juridique actuel (La LIL actuelle comporte encore des dispositions qui, d’après le RGPD, ne sont plus applicables ou ne mentionne pas certains nouveaux droits et obligations prévus par le RGPD.


21/06/2018 CNIL – Sanction pour l’association pour le développement des foyers : 75K€

Faits : Signalement adressé à la CNIL qui effectue un contrôle en ligne et alerte l’ADEF d’une violation de données personnelles (modification du chemin de l’URL affichée dans le navigateur permettait d’accéder à des documents enregistrés par d’autres demandeurs : avis d’imposition, passeports, cartes d’identité, titres de séjour, bulletins de salaires, attestations de paiement de la CAF, NIR, IBAN, etc. des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association) et lui demande d’y remédier. Quelques jours plus tard, la CNIL constate que, malgré que l’ADEF ait demandé à la société ayant développé son site web d’intervenir, les données sont toujours accessibles.

Obligation de sécurité et confidentialité des données personnelles : des mesures élémentaires en amont du développement du site auraient pu éviter la violation : mettre en place un dispositif permettant d’éviter la prévisibilité des url et d’une procédure d’authentification des utilisateurs du site web.

Sanction : elle aurait certainement été plus élevée si l’ADEF n’avait pas coopéré avec la cnil.

Publication de la décision : compte-tenu de la gravité de la situation liée au libre accès et au volume de documents (42652) et vu le caractère intime et complet des données concernées


CJUE 10/07/2018 – Le RGPD s’applique aux communautés religieuses

Co-responsabilité d’une communauté religieuse (témoins de Jéhovah) et de ses membres prédicateurs : la prédication par le porte-à-porte n’est pas une activité exclusivement personnelle et domestique de chaque prédicateur, qui permettrait d’échapper à la règlementation, puisqu’elle dépasse leur sphère privée. La responsabilité conjointe ne présuppose pas nécessairement que chaque acteur ait accès aux données personnelles : la communauté organisant, coordonnant et encourageant la prédication par ses membres participe à la détermination de la finalité et des moyens du traitement.


Référé TGI Grenoble 04/07/18 – Transfert de données personnelles hors UE, mieux vaut ne pas se tromper de destinataire !


02/07/2018 – Vidéosurveillance – La surveillance constante des salariés ou des étudiants est exclue

Est excessif tout système qui revient à surveiller en permanence des salariés ou des étudiants, c’est-à-dire de filmer à la fois les accès à l’établissement, les lieux de circulation et les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles.

L’obligation d’information des personnes filmées peut être remplie par des mentions dans les conditions générales d’inscription, un affichage et la diffusion aux salariés (note d’information/contrat de travail).

Lorsque la finalité du traitement est de protéger des biens et des personnes (vols, agressions, dégradations) et éviter les débordements des étudiants, une durée de conservation adéquate serait d’un mois.


13/06/18 Cour de Cassation – Pas de condamnation pour Air France

Conformité : le logiciel de suivi de l’activité des pilotes est conforme à la LIL (hors quelques manquements mineurs signalés) : collecte loyale des données (information des personnes concernées de l’existence du traitement, de ses finalités, des destinataires et de leurs droits par le biais d’un mémo papier et sur l’intranet dédié), pas de détournement de la finalité du traitement (les données contenues dans ce logiciel ne sont pas croisées avec celles prises en compte pour le suivi de la carrière des pilotes).

Nature des données : Les informations concernant les arrêts maladie ne sont pas des données sensibles car le motif de l’arrêt n’est pas indiqué et il ne s’agit donc pas de données de santé.


28/06/2018 CEDH – Quand des condamnés au pénal il y a plus de 20 ans se voient refuser l’anonymat dans les médias » Le droit à l’oubli n’est pas absolu

Pour déterminer si le droit à l’oubli doit être mise en œuvre, il faut rechercher l’équilibre entre le respect de la vie privée et les libertés d’expression et d’information du public.


Conseil d’Etat 06/06/18 – Condamnation pour challenges.fr à 25K€

Base légale du traitement : Les cookies publicitaires même s’ils seraient nécessaires à la viabilité économique du site web nécessitent un consentement de l’internaute préalable à leur dépôt.

Obligation d’information : Il est essentiel d’informer l’internaute des cookies qui peuvent être déposés en précisant ceux qui sont obligatoires ou soumis à son consentement, ainsi que les conséquences d’une éventuelle opposition de sa part. La seule proposition à l’internaute de paramétrer son navigateur n’est pas un mode valable d’opposition.

Durée de conservation : Cookies / 13 mois

Obligation de coopérer avec la CNIL : il appartient à la société ayant fait l’objet d’une mise en demeure de la CNIL de lui démontrer qu’elle a fait le nécessaire pour remédier à ses manquements.


05/06/18 – CJUE – Arrêt Wirtschaftsakademie Schleswig-Holstein GmbH – Responsabilité conjointe du traitement >> Désactivation d’une page fan sur le réseau social Facebook 

Responsabilité : Lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents Etats membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de la directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet Etat membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit Etat membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre Etat membre.

Même si le Réseau social est responsable à titre principal, l’administrateur d’une page fan est responsable conjoint du traitement :

Il apporte une contribution active et volontaire (action de paramétrage) à la collecte par le RS des données personnelles des visiteurs de sa page et bénéficie de statistiques en résultant, à des fins de gestion de la promotion de son activité (connaissance du profil des visiteurs qui apprécient la page fan ou utilisent ses applications, afin de pouvoir leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage…).

Même si ces statistiques sont reçues par l’administrateur sous une forme anonymisée, le traitement lui-même ne l’est pas et il n’est en pratique pas nécessaire que l’internaute ait un compte sur le RS pour que ses données soient traitées.

https://curia.europa.eu/juris/celex.jsf?celex=62016CJ0210&lang1=fr&type=TXT&ancre=


25/05/2018- L’entrée en application du RGPD tant attendue…. et tant redoutée

La semaine d’entrée en application du nouveau règlement européen sur les données personnelles aura vu nombre d’entreprises se précipiter autour de cette date butoir pour assaillir d’e-mails leurs clients et contacts.

» Plusieurs constats : la majorité de ces e-mails visait demander un (nouveau) consentement aux personnes ; la majorité des personnes n’a pas lu ces mails reçus en pagaille et encore moins confirmé un consentement.

» Plusieurs réflexions : il semble que dans la plupart des cas, la base légale du traitement des données n’avait pas à être le consentement (rappelons qu’une entreprise peut sur la base d’un intérêt légitime adresser des offres à ses clients naturellement intéressés par ses produits et services) ; en adressant en masse cette demande les entreprises se sont elles-mêmes obligées à obtenir un consentement ; quand bien même un consentement était nécessaire, il est loin d’être certain qu’il le fallait réellement pour le 25 mai ; le résultat de cette précipitation est très certainement une perte massive des données d’entreprise et de la valeur qui l’accompagne.

La CNIL a annoncé qu’elle resterait assez souple dans le cadre de ses contrôles jusque fin 2018. Il est donc encore temps de poser sa réflexion juridique en amont et de vérifier au cas par cas quelles sont les obligations de l’entreprise et les démarches de mise en conformité à mettre en œuvre en fonction de sa situation.


07/05/18 CNIL– Condamnation pour Optical Center : 250K€

Contrôle en ligne puis sur place

Obligation de sécurité : Défaut lors des commandes en ligne sur son site web : accès possible à des centaines de factures de clients contenant des données personnelles (nom, prénom, adresse postale, données de santé et parfois date de naissance et numéros de sécurité sociale).

Sanction : 250K€ malgré la collaboration active d’Optical Center pour résoudre la faille, car : la restriction d’accès aux documents présents sur les espaces personnelles est une précaution d’usage essentielle ; la société connaissait les risques de sécurité informatique, ayant déjà été condamnée en 2015 (à 50K€).

Publication de la décision : car les données rendues accessibles étaient particulièrement sensibles et nombreuses (334.769 documents) et le nombre de clients touchés important.


TGI Paris 10/04/18 – Suppression de la fiche Google My Business d’un chirurgien dentiste sous astreinte ⇒ Mieux vaut répondre à une demande d’effacement


09/03/2018 Conseil d’Etat – Confirmation de la non destitution par la CNIL d’un Correspondant Informatique & libertés (CIL)

L’information des clients d’un établissement bancaire sur le risque financier qu’ils prennent en contractant un emprunt de relève pas des devoirs du CIL qui n’a donc pas manqué à ses obligations.


05/03/18 CNIL– Mise en demeure contre Direct Energie

Contrôles de la CNIL en octobre 2016 et février 2018

Base légale : Consentement : absence de consentement libre, éclairé et spécifique à la collecte des données de consommation issues du compteur communicant LINKY.

La société DIRECT ENERGIE est un fournisseur d’électricité. Dans le cadre de cette mission et afin de rendre possible la facturation, la société dispose des données mensuelles de consommation : A l’occasion de l’installation du compteur communicant LINKY, la société a demandé au gestionnaire du réseau de distribution, la société ENEDIS, de lui transmettre les données de ses clients correspondant à leur consommation journalière d’électricité ainsi que les données de consommation à la demi-heure.

Or, lors de l’information sur la mise en place du compteur Linky, DIRECT ENERGIE demande à ses clients leur accord simultanément sur deux points :

  • sur la mise en service du compteur Linky ;
  • et sur la collecte des données de consommation horaires (à la demi-heure), qui est présentée comme le corollaire de l’activation du compteur et comme permettant au client de bénéficier d’une facturation au plus juste.

Et, si l’installation d’un compteur LINKY revêt un caractère obligatoire, sa mise en service ne dépend pas de la société DIRECT ENERGIE : le client a donc l’impression, erronée, qu’il choisit d’activer le compteur alors qu’il ne consent, en réalité, qu’à la collecte de ses données de consommation.

Pas d’intérêt légitime : cette collecte de données n’est pas une conséquence nécessaire de l’activation du compteur et la finalité de « facturation au plus juste », affichée lors du recueil du consentement, n’est pas exacte puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire.

Enfin, la cadence précise de la remontée des données de consommation, par demi-heure, n’est pas indiquée au client.

Publication de la décision : Vu le nombre de clients concernés (plusieurs centaines de milliers en février 2018), pour sensibiliser les personnes quant à leurs droits et leur capacité de maîtrise sur leurs données de consommation énergétique (informations relatives à la vie privée : heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement).

Délai de mise en conformité : 3 mois

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036742604&fastReqId=1245816250&fastPos=2


26/02/2018 – Publication du Décret n° 2018-137 relatif à l’hébergement de données de santé à caractère personnel

Le décret précise le champ des activités d’hébergement de données de santé à caractère personnel qui sont soumises à un agrément délivré par le ministre chargé de la santé ou à une certification.

Il détermine les conditions d’application de l’obligation, pour toute personne physique ou morale à l’origine de la production ou du recueil de ces données de santé, de recourir à un hébergeur certifié ou agréé lorsqu’il externalise la conservation des données dont il est responsable.

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=C59DBA171D17FA75087498F2C0697A68.tplgfr27s_3?cidTexte=JORFTEXT000036650041&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000036649859&t=1&cn=ZmxleGlibGVfcmVjc18y&refsrc=email&iid=28ca2557cf80403d909db096b4abc99f&fl=4&uid=529644646&nid=244+272699400


20/02/2018 – Référé Conseil d’Etat –Mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup »

Plusieurs syndicats étudiants demandaient la suspension d’un arrêté autorisant la mise en œuvre d’un traitement automatisé de données personnelles « Parcoursup » considéré comme illégal. Après une mise en balance des intérêts en cause, le Conseil d’Etat a estimé que la suspension de « Parcoursup » engendrerait une atteinte à l’intérêt général (bon déroulement de la procédure de préinscription pour l’enseignement supérieur) excédant les inconvénients invoqués par les syndicats requérants vu notamment le caractère limité du traitement. La gravité et la condition d’urgence n’ont pas été retenues.


14/02/2018 TGI Paris – Atteinte à la vie privée et malveillance » 2K€ D&I, 2K€ art.700, suppression de la page web

Si les décisions de justice sont publiées en intégralité, les bases de données librement accessibles qui les reproduisent doivent les anonymiser.

Identifier sur une page web une personne condamnée (pour exercice illégal de la pharmacie, commercialisation de médicaments sans AMM, non-respect des règles de publicité sur les médicaments et fraude fiscale) en publiant les décisions de justice anonymisées, en mettant en avant des faits très anciens et sans alimenter le débat par des éléments nouveaux est une levée d’anonymat malveillante et répréhensible.


20/11/2017 CNIL – Mise en demeure contre Genesis Industries Limited

Mise en demeure de procéder dans un délai de 2 mois à la sécurisation de jouets connectés la poupée « My Friend Cayla » et le robot « I-QUE », qui répondent aux questions posées par les enfants, sont équipés d’un microphone et d’un haut-parleur et associés à une application mobile, de sorte que la société collecte de nombreuses informations personnelles sur les enfants et leur entourage (voix, contenu des conversations, informations renseignées dans l’application « My Friend Cayla App ).

Défaut de sécurité : toute personne située à 9 mètres des jouets avec un système de communication Bluetooth peut se connecter à la poupée, sans avoir à s’authentifier et ainsi entendre et enregistrer les paroles échangées entre l’enfant et le jouet ou toute conversation à proximité du jouet et également communiquer avec l’enfant.

Défaut d’information des utilisateurs des jouets : Alors que des informations personnelles sont traitées par la société, les utilisateurs des jouets ne sont pas informés des traitements de données mis en œuvre par la société ni informés du fait que la société transfère des contenus de conversations auprès d’un prestataire de service situé hors de l’Union européenne


09/03/2017- CJUE – Le droit à l’oubli n’est pas absolu

La Corte Suprema di Cassazione (Cour de Cassation italienne) a posé plusieurs questions préjudicielles à la CJUE dans le cadre d’une affaire où le Tribunale di Lecce (tribunal de Lecce, Italie) avait ordonné à la chambre de commerce de Lecce de rendre anonymes les données personnelles reliant une personne physique à la faillite d’une société et l’avait condamnée à réparer le préjudice ainsi causé à cette personne :

La Corte demande en effet si la directive sur la protection des données des personnes physiques ainsi que la directive sur la publicité des actes des sociétés s’opposent à ce que toute personne puisse, sans limite de temps, accéder aux données relatives aux personnes physiques figurant dans le registre des sociétés.

Dans son arrêt, la CJUE rappelle que l’intérêt de la publicité des registres des sociétés est d’assurer notamment la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu’à protéger notamment les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée, dès lors qu’elles n’offrent comme garantie à l’égard des tiers que leur patrimoine social.

La Cour constate que des données à caractère personnel peuvent perdurer dans les registres de sociétés même de nombreuses années après qu’une société cesse d’exister compte tenu :

  • de la multitude de droits et de relations juridiques pouvant impliquer une société avec des acteurs dans plusieurs États membres (et ce, même après sa dissolution) et,
  • de l’hétérogénéité des délais de prescription prévus par les différents droits nationaux, il paraît ainsi impossible d’identifier un délai unique à l’expiration duquel l’inscription des données dans le registre et leur publicité ne serait plus nécessaire,

La Cour juge que cette ingérence dans les droits fondamentaux des personnes concernées est justifiée dans la mesure où :

  • seul un nombre limité de données à caractère personnel est inscrit dans le registre des sociétés et
  • il est justifié que les personnes physiques, qui choisissent de participer aux échanges économiques par l’intermédiaire d’une société par actions ou d’une société à responsabilité limitée et qui n’offrent comme garantie à l’égard des tiers que le patrimoine de cette société, soient obligées de rendre publiques les données tenant à leur identité et à leurs fonctions au sein de celle-ci.

Ceci étant, la Cour précise que les situations doivent être évaluées au cas par cas.

https://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9141729


13/05/14 – CJUE – Arrêt Costeja c/ Google Spain SL et Google Inc. 

L’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel » lorsque ces informations contiennent des données à caractère personnel.

L’exploitant de ce moteur de recherche doit être considéré comme le responsable du traitement.

Un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement situé dans un état membre de l’UE, lorsque son activité vise les habitants de cet état membre et qu’il est destiné à assurer l’activité de promotion et de vente des espaces publicitaires pour les besoins du responsable de traitement situé hors UE.

L’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

Il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans présupposer qu’il y ait préjudice pour cette personne. La personne concernée peut demander que l’information en question ne soit plus mise à la disposition du grand public dans une la liste de résultats du moteur de recherche. Ce droit prévaut en principe sur l’intérêt économique de l’exploitant du moteur de recherche et également sur l’intérêt du public à accéder à l’information. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant du public à avoir, par cette liste de résultats, accès à l’information en question.

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:62012CJ0131&from=FR