Les sites français des deux géants déposaient des cookies sur les ordinateurs de leurs visiteurs avant d’obtenir leur consentement, et échouaient à les informer correctement des finalités de ces trackers. La Cnil a condamné Google et Amazon à respectivement 100 millions et 35 millions d’euros d’amende. 

Les nouvelles règles relatives aux cookies ont été publiées le 20 octobre et la Cnil a laissé six mois aux éditeurs pour se mettre en conformité. Néanmoins le régulateur avait insisté sur la poursuite de ses contrôles quant aux autres obligations relatives aux traceurs publicitaires. Dont acte : Google et Amazon ont reçu la visite du gendarme des données personnelles, qui les épinglent au passage. 

En effet, la Cnil a constaté suite à des contrôles que les sites google.fr et amazon.fr déposaient sur les ordinateurs de leurs visiteurs des cookies sans que ceux-ci aient au préalable donné leur consentement. Le régulateur considère que le dépôt de cookies, avant toute action de l’internaute autre qu’arriver sur le site, est “incompatible avec un consentement préalable”. 

Non-respect des règles

En outre, ni Amazon ni Google n’informaient correctement le visiteur dans leurs bandeaux, que ce soit sur la finalité des cookies ou sur les méthodes pour s’opposer à leur dépôt. Dans le cas d’amazon.fr, jusqu’à la refonte du site en septembre, le géant déposait des cookies “quel que soit le chemin emprunté par l’internaute se rendant sur le site” sans que celui-ci soit clairement informé, voire informé. Ce qui contrevient au nouvel article 82 de la loi Informatique et Libertés, et aux lignes directrices de la Cnil quant à l’utilisation de cookies. 

En ce qui concerne Google, la Cnil ajoute une infraction supplémentaire, à savoir la défaillance du mécanisme d’opposition de l’internaute au dépôt de cookies, puisque quand bien même l’utilisateur désactivait la personnalisation des annonces “en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant »”, un des traceurs restait stocké sur son ordinateur et continuait d’envoyer des informations au serveur. 

En conséquence de quoi la Cnil a condamné Google à 100 millions d’euros d’amende, répartis entre Google LLC et Google Ireland Ltd à 60 et 40 millions d’euros. Amazon écope pour sa part d’une sanction de 35 millions d’euros. 

MàJ 11/12 : Google a réagi à cette sanction. Selon un porte-parole : “les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles. La décision rendue par la CNIL en matière de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services.”

Habituellement la CNIL reste assez discrète sur les amendes quelle inflige pour non respect du RGPD ou d'autres atteintes aux données privées. Elle a choisi de rendre publique celle qui punit Brico Privé de 500K€.

Après 3 contrôles, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles des prospects et des clients de Brico Privé. La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le Code des postes et des communications électroniques (CPCE), le RGPD et la loi Informatique et Libertés. L'enquête s'est réalisée en coopération avec les homologues de la CNIL dans d'autres pays européens, Brico Privé opérant aussi en Espagne, en Italie et au Portugal.

Au final, la CNIL a prononcé une amende de 500 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard. vous trouverez les détails de la décision ici.

Pas très RGPD

Douloureuse

Il est reproché au groupe hôtelier d’avoir utilisé des données personnelles sans demande de consentement afin de réaliser de la prospection commerciale.

Les deux institutions de régulation et de protection des données personnelles ont signé un accord de coopération.

L’instance de régulation et la plate-forme de contenus de formation au numérique ont signé une convention de partenariat.

Le géant du e-commerce avait écopé en décembre d'une amende de 35 millions d'euros assortie d'une injonction de se mettre en conformité avec la loi. Amazon s'est exécuté, s'épargnant une astreinte de 100 000 euros par jour de retard... mais risque d'avoir droit à une nouvelle visite de la Cnil.

Six mois après la publication de ses lignes directrices quant aux traceurs publicitaires, la Cnil explicite ses règles et précise que, après une longue phase de sensibilisation, des contrôles suivront, avec mises en demeure et sanctions. Quand bien même tout n’est pas encore bien défini, notamment la licéité ou non des cookie walls.

En octobre 2020, le gendarme des données personnelles publiait ses lignes directrices relatives au dépôt de cookies sur les navigateurs des internautes. Les nouvelles règles avaient provoqué sans surprise une levée de boucliers de la part des éditeurs et des publicitaires, retardant apparemment les contrôles de la Cnil qui explique aujourd’hui sur son site avoir mené depuis la fin de l’année dernière une vaste campagne de sensibilisation.

Et si le régulateur souhaite toujours accompagner les éditeurs, il n’entend pas pour autant faire preuve de laxisme. « La CNIL va désormais réaliser des contrôles pour évaluer l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices » prévient le gendarme des données personnelles. Si des manquements devaient être constatés, alors les sanctions pleuvront.

Quid des murs de cookies ?

Ainsi, mieux vaut être en conformité, c’est-à-dire permettre clairement et spécifiquement à l’internaute de consentir, par un acte positif, au dépôt de traceurs publicitaires sur son navigateur. « Son silence, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus » précise la Cnil.

De même, il est préférable d’afficher un bouton Tout refuser au même niveau que le bouton Tout accepter. De même « il est aussi possible, par exemple, d’offrir explicitement à l’internaute la possibilité de refuser les traceurs en fermant le bandeau cookies ». Quant à la seule option Paramétrer accolée à Tout accepter, elle tend selon le régulateur à dissuader le refus, ce qui n’est pas très RGPD.

Ces règles-ci sont claires et déjà établies, mais quid des cookie walls. Cette pratique qui consiste à limiter les services auxquels a accès un utilisateur qui refuserait les cookies a été considéré illicite par la Cnil. Toutefois, le Conseil d’État n’était pas de cet avis. Par conséquent, rien n’empêche pour l’heure les cookie walls, malgré l’opposition du Comité européen de la protection des données personnelles (CEPD). Du moins jusqu’à l’entrée en vigueur de la directive e-Privacy…

C’est une vingtaine de mises en demeure que la Cnil révèle avoir adressées le 18 mai. Le gendarme des données personnelles avait prévenu après la publication de ses lignes directrices : il contrôlera le respect des règles relatives aux cookies, notamment quant à la facilité de refuser leur dépôt, et sanctionnera les contrevenants le cas échéant.

Après la sensibilisation, la Cnil serre la vis. En avril dernier, elle publiait quelques clarifications quant à ses lignes directrices concernant les traceurs publicitaires et avertissait : voilà plusieurs mois qu’elle sensibilisait au sujet, il était désormais temps de passer aux choses sérieuses. Et par choses sérieuses, il faut entendre contrôle, mise en demeure et sanction. Et ce malgré une rebuffade du Conseil d’État qui autorisait en substance les cookie walls. D’où, entre temps, certaines aberrations offrant le choix à l’internaute entre accepter les cookies et payer pour pouvoir les refuser. 

Sur ce sujet, la Cnil ne s’est pas encore exprimée, attendant l’adoption de la réglementation européenne en la matière. Mais pour tout ce qui touche aux dispositifs “ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter”, le régulateur a sorti les griffes. Il annonce avoir mis en demeure en début de semaine dernière “une vingtaine d’organismes ayant des pratiques contraires à la législation sur les cookies”. 

On ne rigole plus

Parmi eux, des géants “de l’économie numérique” ainsi que des organismes publics. Pour la Cnil, pas de favoritisme, tous les sites sont logés à la même enseigne. Aucun nom n’est cependant cité, le gendarme des données personnelles laissant un mois aux mis en demeure pour se transformer en “mis en conformité”. Sans quoi ils encourent des sanctions pouvant s’élever à 2% de leur chiffre d’affaires. 

“Il s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies” écrit la Cnil. Elle prévient en outre que d’autres contrôles seront menés les prochaines mois, “ce sujet étant l’une des thématiques prioritaires de contrôles de la CNIL en 2021”.

Parce que les données de leurs patients étaient librement accessibles, et parce qu’ils n’ont pas notifié la Cnil de la violation de ces données, deux médecins libéraux ont été condamnés à de légères amendes par la Cnil, qui entend que ces sanctions servent d’avertissement au secteur. 

La Cnil ne fait pas que contrôler et sanctionner les manquements des grands groupes et des géants du numérique, Ses dernières sanctions en date s’en veulent la démonstration. Le gendarme des données personnelles vient d’épingler deux médecins libéraux. En septembre 2019, le régulateur constatait en effet lors de contrôles en ligne, suite à des dénonciations, que des serveurs contenant des images médicales accompagnées des nom, prénom et date de naissance des patients.

En cause dans les deux cas, une mauvaise configuration de leur box Internet et un mauvais paramétrage de leur logiciel d’imagerie médicale. Pour l’un des deux médecins, afin de “pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN”.

Le second a pour sa part paramétré son logiciel d’imagerie médicale pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.

Dans les deux cas, une protection insuffisante et un chiffrement inexistant permettaient au tout venant d’accéder aux images. Ce qui contrevient au RGPD, la Cnil estimant que “la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement”. 

Coup de semonce

Le régulateur sanctionne également le manquement des médecins à notifier les violations de données à la Cnil, ceux-ci n’ayant pas signalé que ces données de santé dont ils étaient responsables du traitement étaient librement accessibles. Lors des auditions, l’un d'eux a par ailleurs invoqué “le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL”. Ce à quoi l’intéressée rétorque que “la circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation”.

Les deux praticiens sont condamnés à respectivement 3000 et 6000 euros d’amende, la Cnil se montrant clémente au regard des éléments des dossiers quand bien même les manquements s’étendaient sur une période de cinq ans et impliquaient quelques milliers d’images médicales. Le régulateur, s’il maintient l’anonymat des médecins, a néanmoins choisi de rendre ses sanctions publiques, “pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent”.

Le gendarme des données personnelles met en demeure la société accusée d’avoir laissé exposées en ligne les données de tests antigéniques de centaines de milliers de Français. 

L’émission d’Elise Lucet sur les données personnelles a fait réagir la Cnil. Cash Investigation dénonçait IQVIA, une société collectant des données pseudonymisées de pharmacies, issues des cartes vitales des clients. Sans que ces derniers en soient conscients, accuse l’émission, et avec l’accord de la Cnil. Une allégation avec laquelle le gendarme des données personnelles n’est pas d’accord.  

Où vont donc les données de nos cartes vitales lorsque nous allons en pharmacie ? Selon Cash Investigation, la Sécu n’est pas la seule à récupérer ces informations. L’émission d’Elise Lucet, diffusée demain sur France 2 mais d’ores et déjà disponible sur le site de Francetv, s’intéresse à IQVIA. Cette société américaine née en 2016 n’est pas connue du grand public et pourtant... à en croire l’émission, l’entreprise collecte depuis des années les données de santé des Français. 

Et ce avec l’aval de la Cnil, qui aurait donné son autorisation à ces traitements. Autant dire que la réaction du gendarme des données personnelles ne s’est pas faite attendre. Celle-ci confirme les dires de Cash Investigation : IQVIA stocke ces informations dans un entrepôt de données depuis 2018. La délibération de la Cnil est publique et s’inscrit dans un « projet d’intérêt public ». 

Un entrepôt autorisé

Il s’agit d’aider la recherche médicale au moyen de données pseudonymisées. Une pratique courante selon la Cnil qui ajoute sur ce point ne pas faire de distinction entre acteurs publics et acteurs privés. Ainsi, IQVIA a été autorisé le 12 juillet 2018 à constituer cet entrepôt de données. Et ce sous certaines conditions

D’abord une finalité spécifique, à savoir des « études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ». Pas de revente de données à des tiers ni d’exploitation commerciale, ce qu’assure pourtant Cash Investigation. Les seuls tiers autorisés sont les partenaires scientifiques, et encore ils doivent présenter à leur tour les garanties requises.

Contrôles à venir 

De même, les usagers doivent être informés. “Les pharmaciens d’officine sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus” écrit la Cnil. Et c’est sans doute là que se pose le problème. 

Selon l’émission, sur 200 pharmacies “testées”, aucune n’a cru bon d’informer les journalistes de la collecte et du traitement de leurs données. Ce qui enfreint le cadre réglementaire relatif à la protection des données. Et pourrait valoir à des officines remontrances et sanctions. La Cnil a en effet précisé n’avoir reçu aucune plainte quant à IQVIA, mais que, suite à l’émission, elle diligentera des contrôles.

En juin, la Préfecture de Police continuait d'utiliser des drones lors de manifestations

Non c’est non ! Malgré un premier arrêt défavorable du Conseil d’État, la police continuait de faire voler ses drones, désormais au-dessus des manifestations. Deuxième salve du juge, que vient de rejoindre la Cnil qui rappelle Beauvau à l’ordre quant à l’utilisation illicite de ses drones. 

Mi-mai 2020, le Conseil d’État défendait strictement à la Préfecture de Police d’utiliser ses drones, faute de cadre légal. “Il résulte de l’instruction que les appareils en cause sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables” écrivait le juge saisi en référé par la LDH et la Quadrature. Soit un usage contraire aux règles de protection des données personnelles et qui n’est encadré par aucun test. 

Ballet aérien

Quelques semaines plus tard, lors des manifestations de juin, que voit-on à Paris ? Des policiers opérant des drones afin de surveiller les collèges. A croire que la Préfecture de Police n’a pas été informée de la décision du Conseil d’État. Ni une, ni deux, la Quadrature du Net saisit à nouveau le Conseil d’État, qui rend un verdict similaire et “enjoint au préfet de police de cesser, sans délai, de procéder aux mesures de surveillance par drone des rassemblements de personnes sur la voie publique”. 

Mais le Conseil d’État n’est pas le seul à se pencher sur le sujet. Alarmé par les articles de presse relatifs aux vols des drones policiers, la Cnil a mené dès mai 2020 plusieurs contrôles. Le gendarme des données personnelles s’est même rendu en juillet 2020 “dans les locaux de la préfecture de police de Paris et a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités précitées”. Le 12 janvier, la Cnil publie sa décision et sanctionne le ministère de l’Intérieur. 

La police hors-la-loi

En effet, suite à cette visite à la préfecture, le régulateur a constaté que “les personnes filmées par ce type de dispositif étaient susceptibles d’être identifiées”, soit un traitement de données personnelles qui ne repose sur aucune base légale : la Cnil lance la procédure de sanction. Car il n’existe pour l’heure aucun texte de loi, aucune analyse d’impact, autorisant l’Intérieur à utiliser des drones munis de caméras. Pire encore, “le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être” écrit la Cnil. 

Beauvau pointe pour sa défense avoir développé un système de floutage des personnes figurant sur les images, opérationnel en août, soit trois mois après la première décision du Conseil d’État), et surtout exécuté a posteriori : “des images contenant des données personnelles sont donc collectées, transmises et traitées par le ministère de l'Intérieur avant que ce système de floutage ne soit appliqué”. Cerise sur la gâteau : le système permet à la police de déflouter les personnes, ce qui n’empêche donc pas “nécessairement” l’identification. 

Grognonne, la Cnil rappelle à l’ordre l’Intérieur, sans pouvoir prononcer de sanction financière. Surtout, elle “enjoint au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre”. Et contrairement aux décisions du Conseil d’Etat, qui ne s’adressait qu’à la Préfecture de police de Paris, celle de la Cnil couvre l’intégralité du territoire.

Le gendarme des données personnelles enregistre deux records pour l’année écoulée : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portée par le renforcement des contrôles relatifs à la gestion des cookies et autres traceurs.

Le gendarme des données personnelles enregistre deux records pour l’année écoulée : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portée par le renforcement des contrôles relatifs à la gestion des cookies et autres traceurs.

Le gendarme des données personnelles juge datée sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte à consultation publique jusqu’au 3 décembre.

Le gendarme des données personnelles juge datée sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte à consultation publique jusqu’au 3 décembre.

Le gendarme des données personnelles met en demeure la société accusée d’avoir laissé exposées en ligne les données de tests antigéniques de centaines de milliers de Français. 

Malgré un parti pris qui privilégie la mise en conformité plutôt que la répression, le bilan de la CNIL de 2023 montre une augmentation des sanctions qui s’élèvent à 89 175 500 € pour l’année écoulée.