Cnil

  • (MĂ J) Cookies : la Cnil condamne Google et Amazon pour l’exemple

    Les sites français des deux gĂ©ants dĂ©posaient des cookies sur les ordinateurs de leurs visiteurs avant d’obtenir leur consentement, et Ă©chouaient Ă  les informer correctement des finalitĂ©s de ces trackers. La Cnil a condamnĂ© Google et Amazon Ă  respectivement 100 millions et 35 millions d’euros d’amende. 

    Les nouvelles rĂšgles relatives aux cookies ont Ă©tĂ© publiĂ©es le 20 octobre et la Cnil a laissĂ© six mois aux Ă©diteurs pour se mettre en conformitĂ©. NĂ©anmoins le rĂ©gulateur avait insistĂ© sur la poursuite de ses contrĂŽles quant aux autres obligations relatives aux traceurs publicitaires. Dont acte : Google et Amazon ont reçu la visite du gendarme des donnĂ©es personnelles, qui les Ă©pinglent au passage. 

    En effet, la Cnil a constatĂ© suite Ă  des contrĂŽles que les sites google.fr et amazon.fr dĂ©posaient sur les ordinateurs de leurs visiteurs des cookies sans que ceux-ci aient au prĂ©alable donnĂ© leur consentement. Le rĂ©gulateur considĂšre que le dĂ©pĂŽt de cookies, avant toute action de l’internaute autre qu’arriver sur le site, est “incompatible avec un consentement prĂ©alable”. 

    Non-respect des rĂšgles

    En outre, ni Amazon ni Google n’informaient correctement le visiteur dans leurs bandeaux, que ce soit sur la finalitĂ© des cookies ou sur les mĂ©thodes pour s’opposer Ă  leur dĂ©pĂŽt. Dans le cas d’amazon.fr, jusqu’à la refonte du site en septembre, le gĂ©ant dĂ©posait des cookies “quel que soit le chemin empruntĂ© par l’internaute se rendant sur le site” sans que celui-ci soit clairement informĂ©, voire informĂ©. Ce qui contrevient au nouvel article 82 de la loi Informatique et LibertĂ©s, et aux lignes directrices de la Cnil quant Ă  l’utilisation de cookies. 

    En ce qui concerne Google, la Cnil ajoute une infraction supplĂ©mentaire, Ă  savoir la dĂ©faillance du mĂ©canisme d’opposition de l’internaute au dĂ©pĂŽt de cookies, puisque quand bien mĂȘme l’utilisateur dĂ©sactivait la personnalisation des annonces “en recourant au mĂ©canisme mis Ă  sa disposition Ă  partir du bouton « Consulter maintenant »”, un des traceurs restait stockĂ© sur son ordinateur et continuait d’envoyer des informations au serveur. 

    En consĂ©quence de quoi la Cnil a condamnĂ© Google Ă  100 millions d’euros d’amende, rĂ©partis entre Google LLC et Google Ireland Ltd Ă  60 et 40 millions d’euros. Amazon Ă©cope pour sa part d’une sanction de 35 millions d’euros. 

    Décision de la délibération SAN-2020-012 du 7 décembre 2020

    MĂ J 11/12 : Google a rĂ©agi Ă  cette sanction. Selon un porte-parole : â€œles utilisateurs de Google s'attendent Ă  ce que nous respections leur vie privĂ©e, qu'ils aient ou non un compte Google. Nous dĂ©fendons notre bilan en matiĂšre de transparence et de protection de nos utilisateurs, grĂące Ă  des informations et des paramĂštres de confidentialitĂ© clairs, une solide gouvernance interne des donnĂ©es, une infrastructure sĂ©curisĂ©e, et, surtout, des services utiles. La dĂ©cision rendue par la CNIL en matiĂšre de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les rĂšgles et les orientations rĂ©glementaires françaises sont incertaines et en constante Ă©volution. Nous poursuivrons nos Ă©changes avec la CNIL pour mieux comprendre ses prĂ©occupations Ă  mesure que nous continuons d'apporter des amĂ©liorations sur nos produits et services.”

  • Brico PrivĂ© Ă  l'amende par la CNIL

    Habituellement la CNIL reste assez discrĂšte sur les amendes quelle inflige pour non respect du RGPD ou d'autres atteintes aux donnĂ©es privĂ©es. Elle a choisi de rendre publique celle qui punit Brico PrivĂ© de 500K€.

    AprĂšs 3 contrĂŽles, la CNIL a constatĂ© plusieurs manquements concernant le traitement de donnĂ©es personnelles des prospects et des clients de Brico PrivĂ©. La formation restreinte, organe de la CNIL chargĂ© de prononcer les sanctions, a effectivement considĂ©rĂ© que la sociĂ©tĂ© avait manquĂ© Ă  plusieurs obligations prĂ©vues par le Code des postes et des communications Ă©lectroniques (CPCE), le RGPD et la loi Informatique et LibertĂ©s. L'enquĂȘte s'est rĂ©alisĂ©e en coopĂ©ration avec les homologues de la CNIL dans d'autres pays europĂ©ens, Brico PrivĂ© opĂ©rant aussi en Espagne, en Italie et au Portugal.

    Au final, la CNIL a prononcé une amende de 500 000 euros et a dĂ©cidĂ© de rendre publique sa dĂ©cision. Elle a Ă©galement enjoint Ă  la sociĂ©tĂ© de mettre ses traitements en conformitĂ© avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un dĂ©lai de 3 mois Ă  compter de la notification de la dĂ©libĂ©ration, sous astreinte de 500 euros par jour de retard. vous trouverez les dĂ©tails de la dĂ©cision ici.

  • Carrefour Ă©pinglĂ© par la Cnil et condamnĂ© Ă  plus de 3 millions d’euros d’amende

    Le gĂ©ant de la grande distribution avait jusqu’à rĂ©cemment des pratiques quelque peu rĂ©prĂ©hensibles quant aux donnĂ©es de ses clients. La Cnil lui inflige une volĂ©e de bois vert, et une sĂ©vĂšre amende, mais reconnaĂźt les efforts faits par Carrefour depuis ses contrĂŽles, l’enseigne s’étant mise en conformitĂ© avec le cadre rĂ©glementaire.  La Cnil vient d’infliger une amende particuliĂšrement salĂ©e au groupe Carrefour. AprĂšs avoir Ă©tĂ© saisie de plusieurs plaintes, le rĂ©gulateur a effectuĂ© plusieurs contrĂŽles auprĂšs du gĂ©ant de la grande distribution et de sa filiale Carrefour Banque. Il y dĂ©couvre de nombreux manquements Ă  la rĂ©glementation en vigueur quant au traitement des donnĂ©es personnelles de ses clients et prospects. La liste des infractions est longue, Ă  commencer par le dĂ©faut d’information des personnes. Carrefour et sa filiale bancaire, sur leurs sites Internet respectifs, ne donnaient pas aisĂ©ment l’accĂšs Ă  leurs politiques quant aux donnĂ©es de leurs utilisateurs, et quand bien mĂȘme l’internaute trouvait les prĂ©cieux documents, ceux-ci n’étaient guĂšre comprĂ©hensibles, la Cnil prĂ©cisant que les informations Ă©taient “rĂ©digĂ©es en des termes gĂ©nĂ©raux et imprĂ©cis, utilisant parfois des formulations inutilement compliquĂ©es”, voire Ă©taient incomplĂštes, notamment en ce qui concerne la durĂ©e de conservation des donnĂ©es ou encore les transferts hors UE.

    Pas trĂšs RGPD

    Et des donnĂ©es, Carrefour en collectait. Le gendarme des donnĂ©es personnelles a ainsi remarquĂ© que, sur ces mĂȘmes sites, plusieurs cookies publicitaires Ă©taient automatiquement dĂ©posĂ©s sur son terminal, avant toute action de l’internaute, sans donc leur consentement. Ces donnĂ©es Ă©taient ensuite conservĂ©es longtemps, trop longtemps aux yeux de la Cnil : “les donnĂ©es de plus de vingt-huit millions de clients inactifs depuis cinq Ă  dix ans Ă©taient ainsi conservĂ©es dans le cadre du programme de fidĂ©litĂ©. Il en Ă©tait de mĂȘme pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq Ă  dix ans”. D’autant que la durĂ©e limite, fixĂ©e par l’enseigne Ă  quatre ans aprĂšs le dernier achat, semble excessive selon le rĂ©gulateur. S’ajoutent en outre Ă  la liste des manquements aux droits d’accĂšs, de recours et de suppression. Elle exigeait notamment des plaignants un justificatif d’identitĂ© pour toute demande d’exercice de droit, quand bien mĂȘme le requĂ©rant Ă©tait dĂ©jĂ  identifiĂ©. “Enfin, la sociĂ©tĂ© n’a pas pris en compte plusieurs demandes de personnes s’étant opposĂ©es Ă  recevoir de la publicitĂ© par SMS ou courrier Ă©lectronique, notamment en raison d’erreurs techniques ponctuelles” signale la Cnil.

    Douloureuse

    Dernier point, si Carrefour Banque indiquait Ă  ses clients qu’il partageait leurs nom, prĂ©nom et adresse email, prĂ©cisant bien qu’aucune autre donnĂ©e ne serait transmise au sein du groupe, tel n’était pas le cas, le gendarme des donnĂ©es personnelles dĂ©couvrant lors de ses contrĂŽles que l’adresse postale, le numĂ©ro de tĂ©lĂ©phone et le nombre des enfants de l’utilisateur Ă©taient bel et bien partagĂ©s avec Carrefour. Bilan, 2,25 millions d’euros d’amende pour Carrefour, et 800000 euros supplĂ©mentaires pour Carrefour Banque. Toutefois, la sanction s’arrĂȘte lĂ , le groupe ayant mis les bouchĂ©es doubles depuis les contrĂŽles de la Cnil pour se mettre en conformitĂ© sur l’ensemble de ces points. Ce sur quoi Carrefour axe sa communication, Ă  croire que la dĂ©cision du rĂ©gulateur soit une victoire pour le distributeur qui se fĂ©licite sur Twitter d’avoir rattrapĂ© son “retard en matiĂšre digitale”.
  • Cookies : Amazon conforme, selon la Cnil

    Le géant du e-commerce avait écopé en décembre d'une amende de 35 millions d'euros assortie d'une injonction de se mettre en conformité avec la loi. Amazon s'est exécuté, s'épargnant une astreinte de 100 000 euros par jour de retard... mais risque d'avoir droit à une nouvelle visite de la Cnil.

  • Cookies : la Cnil clarifie les rĂšgles et promet des contrĂŽles

    Six mois aprĂšs la publication de ses lignes directrices quant aux traceurs publicitaires, la Cnil explicite ses rĂšgles et prĂ©cise que, aprĂšs une longue phase de sensibilisation, des contrĂŽles suivront, avec mises en demeure et sanctions. Quand bien mĂȘme tout n’est pas encore bien dĂ©fini, notamment la licĂ©itĂ© ou non des cookie walls.

    En octobre 2020, le gendarme des donnĂ©es personnelles publiait ses lignes directrices relatives au dĂ©pĂŽt de cookies sur les navigateurs des internautes. Les nouvelles rĂšgles avaient provoquĂ© sans surprise une levĂ©e de boucliers de la part des Ă©diteurs et des publicitaires, retardant apparemment les contrĂŽles de la Cnil qui explique aujourd’hui sur son site avoir menĂ© depuis la fin de l’annĂ©e derniĂšre une vaste campagne de sensibilisation.

    Et si le rĂ©gulateur souhaite toujours accompagner les Ă©diteurs, il n’entend pas pour autant faire preuve de laxisme. « La CNIL va dĂ©sormais rĂ©aliser des contrĂŽles pour Ă©valuer l’application des rĂšgles relatives aux traceurs, en application de l’article 82 de la loi Informatique et LibertĂ©s et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthĂ©tisĂ©es dans ses lignes directrices Â» prĂ©vient le gendarme des donnĂ©es personnelles. Si des manquements devaient ĂȘtre constatĂ©s, alors les sanctions pleuvront.

    Quid des murs de cookies ?

    Ainsi, mieux vaut ĂȘtre en conformitĂ©, c’est-Ă -dire permettre clairement et spĂ©cifiquement Ă  l’internaute de consentir, par un acte positif, au dĂ©pĂŽt de traceurs publicitaires sur son navigateur. « Son silence, qui peut passer par la simple poursuite de la navigation, doit dorĂ©navant s’interprĂ©ter comme un refus Â» prĂ©cise la Cnil.

    De mĂȘme, il est prĂ©fĂ©rable d’afficher un bouton Tout refuser au mĂȘme niveau que le bouton Tout accepter. De mĂȘme « il est aussi possible, par exemple, d’offrir explicitement Ă  l’internaute la possibilitĂ© de refuser les traceurs en fermant le bandeau cookies Â». Quant Ă  la seule option ParamĂ©trer accolĂ©e Ă  Tout accepter, elle tend selon le rĂ©gulateur Ă  dissuader le refus, ce qui n’est pas trĂšs RGPD.

    Ces rĂšgles-ci sont claires et dĂ©jĂ  Ă©tablies, mais quid des cookie walls. Cette pratique qui consiste Ă  limiter les services auxquels a accĂšs un utilisateur qui refuserait les cookies a Ă©tĂ© considĂ©rĂ© illicite par la Cnil. Toutefois, le Conseil d’État n’était pas de cet avis. Par consĂ©quent, rien n’empĂȘche pour l’heure les cookie walls, malgrĂ© l’opposition du ComitĂ© europĂ©en de la protection des donnĂ©es personnelles (CEPD). Du moins jusqu’à l’entrĂ©e en vigueur de la directive e-Privacy


  • Cookies : la Cnil ne plaisantait pas

    C’est une vingtaine de mises en demeure que la Cnil rĂ©vĂšle avoir adressĂ©es le 18 mai. Le gendarme des donnĂ©es personnelles avait prĂ©venu aprĂšs la publication de ses lignes directrices : il contrĂŽlera le respect des rĂšgles relatives aux cookies, notamment quant Ă  la facilitĂ© de refuser leur dĂ©pĂŽt, et sanctionnera les contrevenants le cas Ă©chĂ©ant.

    AprĂšs la sensibilisation, la Cnil serre la vis. En avril dernier, elle publiait quelques clarifications quant Ă  ses lignes directrices concernant les traceurs publicitaires et avertissait : voilĂ  plusieurs mois qu’elle sensibilisait au sujet, il Ă©tait dĂ©sormais temps de passer aux choses sĂ©rieuses. Et par choses sĂ©rieuses, il faut entendre contrĂŽle, mise en demeure et sanction. Et ce malgrĂ© une rebuffade du Conseil d’État qui autorisait en substance les cookie walls. D’oĂč, entre temps, certaines aberrations offrant le choix Ă  l’internaute entre accepter les cookies et payer pour pouvoir les refuser. 

    Sur ce sujet, la Cnil ne s’est pas encore exprimĂ©e, attendant l’adoption de la rĂ©glementation europĂ©enne en la matiĂšre. Mais pour tout ce qui touche aux dispositifs “ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter”, le rĂ©gulateur a sorti les griffes. Il annonce avoir mis en demeure en dĂ©but de semaine derniĂšre “une vingtaine d’organismes ayant des pratiques contraires Ă  la lĂ©gislation sur les cookies”. 

    On ne rigole plus

    Parmi eux, des gĂ©ants “de l’économie numĂ©rique” ainsi que des organismes publics. Pour la Cnil, pas de favoritisme, tous les sites sont logĂ©s Ă  la mĂȘme enseigne. Aucun nom n’est cependant citĂ©, le gendarme des donnĂ©es personnelles laissant un mois aux mis en demeure pour se transformer en “mis en conformitĂ©â€. Sans quoi ils encourent des sanctions pouvant s’élever Ă  2% de leur chiffre d’affaires. 

    “Il s’agit de la premiĂšre campagne de vĂ©rifications et de mesures correctrices depuis l’expiration du dĂ©lai accordĂ© aux acteurs pour mettre en conformitĂ© leurs sites et applications mobiles aux nouvelles rĂšgles en matiĂšre de cookies” Ă©crit la Cnil. Elle prĂ©vient en outre que d’autres contrĂŽles seront menĂ©s les prochaines mois, “ce sujet Ă©tant l’une des thĂ©matiques prioritaires de contrĂŽles de la CNIL en 2021”.

  • Cookies : la Cnil ne plaisante toujours pas

  • Deux mĂ©decins libĂ©raux sanctionnĂ©s par la Cnil

    Parce que les donnĂ©es de leurs patients Ă©taient librement accessibles, et parce qu’ils n’ont pas notifiĂ© la Cnil de la violation de ces donnĂ©es, deux mĂ©decins libĂ©raux ont Ă©tĂ© condamnĂ©s Ă  de lĂ©gĂšres amendes par la Cnil, qui entend que ces sanctions servent d’avertissement au secteur. 

    La Cnil ne fait pas que contrĂŽler et sanctionner les manquements des grands groupes et des gĂ©ants du numĂ©rique, Ses derniĂšres sanctions en date s’en veulent la dĂ©monstration. Le gendarme des donnĂ©es personnelles vient d’épingler deux mĂ©decins libĂ©raux. En septembre 2019, le rĂ©gulateur constatait en effet lors de contrĂŽles en ligne, suite Ă  des dĂ©nonciations, que des serveurs contenant des images mĂ©dicales accompagnĂ©es des nom, prĂ©nom et date de naissance des patients.

    En cause dans les deux cas, une mauvaise configuration de leur box Internet et un mauvais paramĂ©trage de leur logiciel d’imagerie mĂ©dicale. Pour l’un des deux mĂ©decins, afin de “pouvoir accĂ©der Ă  distance aux images mĂ©dicales hĂ©bergĂ©es dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisĂ©e Ă  son domicile en activant le mode DMZ de cette derniĂšre, dans l’objectif de faire fonctionner le VPN”.

    Le second a pour sa part paramĂ©trĂ© son logiciel d’imagerie mĂ©dicale pour pouvoir transfĂ©rer automatiquement des images issues de son Ă©quipement de radiographie vers la base de donnĂ©es de son logiciel d’imagerie hĂ©bergĂ©e dans son cabinet et accĂ©der Ă  distance aux images.

    Dans les deux cas, une protection insuffisante et un chiffrement inexistant permettaient au tout venant d’accĂ©der aux images. Ce qui contrevient au RGPD, la Cnil estimant que “la protection du rĂ©seau informatique interne et le chiffrement des donnĂ©es Ă  caractĂšre personnel font partie des exigences Ă©lĂ©mentaires en matiĂšre de sĂ©curitĂ© informatique, qui incombent Ă  tout responsable de traitement”. 

    Coup de semonce

    Le rĂ©gulateur sanctionne Ă©galement le manquement des mĂ©decins Ă  notifier les violations de donnĂ©es Ă  la Cnil, ceux-ci n’ayant pas signalĂ© que ces donnĂ©es de santĂ© dont ils Ă©taient responsables du traitement Ă©taient librement accessibles. Lors des auditions, l’un d'eux a par ailleurs invoquĂ© “le caractĂšre artificiel d’une telle obligation dĂšs lors qu’il a eu connaissance du libre accĂšs de la base de donnĂ©es de son logiciel d’imagerie mĂ©dicale par la dĂ©lĂ©gation de contrĂŽle de la CNIL”. Ce Ă  quoi l’intĂ©ressĂ©e rĂ©torque que “la circonstance que la violation de donnĂ©es avait Ă©tĂ© portĂ©e Ă  la connaissance de M. [...] par le service des contrĂŽles de la CNIL ne le dĂ©chargeait pas de cette obligation”.

    Les deux praticiens sont condamnĂ©s Ă  respectivement 3000 et 6000 euros d’amende, la Cnil se montrant clĂ©mente au regard des Ă©lĂ©ments des dossiers quand bien mĂȘme les manquements s’étendaient sur une pĂ©riode de cinq ans et impliquaient quelques milliers d’images mĂ©dicales. Le rĂ©gulateur, s’il maintient l’anonymat des mĂ©decins, a nĂ©anmoins choisi de rendre ses sanctions publiques, “pour alerter les professionnels de la santĂ© sur leurs obligations et la nĂ©cessitĂ© de renforcer leur vigilance sur les mesures de sĂ©curitĂ© apportĂ©es aux donnĂ©es personnelles qu’ils traitent”.

  • DonnĂ©es de santĂ© : la Cnil met en demeure Francetest

    Le gendarme des donnĂ©es personnelles met en demeure la sociĂ©tĂ© accusĂ©e d’avoir laissĂ© exposĂ©es en ligne les donnĂ©es de tests antigĂ©niques de centaines de milliers de Français. 

  • DonnĂ©es de santĂ© : la Cnil rĂ©pond Ă  Cash Investigation

    L’émission d’Elise Lucet sur les donnĂ©es personnelles a fait rĂ©agir la Cnil. Cash Investigation dĂ©nonçait IQVIA, une sociĂ©tĂ© collectant des donnĂ©es pseudonymisĂ©es de pharmacies, issues des cartes vitales des clients. Sans que ces derniers en soient conscients, accuse l’émission, et avec l’accord de la Cnil. Une allĂ©gation avec laquelle le gendarme des donnĂ©es personnelles n’est pas d’accord.  

    OĂč vont donc les donnĂ©es de nos cartes vitales lorsque nous allons en pharmacie ? Selon Cash Investigation, la SĂ©cu n’est pas la seule Ă  rĂ©cupĂ©rer ces informations. L’émission d’Elise Lucet, diffusĂ©e demain sur France 2 mais d’ores et dĂ©jĂ  disponible sur le site de Francetv, s’intĂ©resse Ă  IQVIA. Cette sociĂ©tĂ© amĂ©ricaine nĂ©e en 2016 n’est pas connue du grand public et pourtant... Ă  en croire l’émission, l’entreprise collecte depuis des annĂ©es les donnĂ©es de santĂ© des Français. 

    Et ce avec l’aval de la Cnil, qui aurait donnĂ© son autorisation Ă  ces traitements. Autant dire que la rĂ©action du gendarme des donnĂ©es personnelles ne s’est pas faite attendre. Celle-ci confirme les dires de Cash Investigation : IQVIA stocke ces informations dans un entrepĂŽt de donnĂ©es depuis 2018. La dĂ©libĂ©ration de la Cnil est publique et s’inscrit dans un « projet d’intĂ©rĂȘt public ». 

    Un entrepÎt autorisé

    Il s’agit d’aider la recherche mĂ©dicale au moyen de donnĂ©es pseudonymisĂ©es. Une pratique courante selon la Cnil qui ajoute sur ce point ne pas faire de distinction entre acteurs publics et acteurs privĂ©s. Ainsi, IQVIA a Ă©tĂ© autorisĂ© le 12 juillet 2018 Ă  constituer cet entrepĂŽt de donnĂ©es. Et ce sous certaines conditions

    D’abord une finalitĂ© spĂ©cifique, à savoir des « Ă©tudes non interventionnelles visant Ă  l’évaluation de la bonne utilisation du mĂ©dicament en vie rĂ©elle, l’analyse scientifique et statistique des phĂ©nomĂšnes liĂ©s Ă  la persistance, la conformitĂ©, le respect des prescriptions et des contre-indications ». Pas de revente de donnĂ©es Ă  des tiers ni d’exploitation commerciale, ce qu’assure pourtant Cash Investigation. Les seuls tiers autorisĂ©s sont les partenaires scientifiques, et encore ils doivent prĂ©senter Ă  leur tour les garanties requises.

    ContrĂŽles Ă  venir 

    De mĂȘme, les usagers doivent ĂȘtre informĂ©s. “Les pharmaciens d’officine sont chargĂ©s, contractuellement, d’informer individuellement leurs clients du traitement des donnĂ©es les concernant, ainsi que de permettre l’exercice des droits d’accĂšs, de rectification et d’opposition qui leur sont reconnus” Ă©crit la Cnil. Et c’est sans doute lĂ  que se pose le problĂšme. 

    Selon l’émission, sur 200 pharmacies “testĂ©es”, aucune n’a cru bon d’informer les journalistes de la collecte et du traitement de leurs donnĂ©es. Ce qui enfreint le cadre rĂ©glementaire relatif Ă  la protection des donnĂ©es. Et pourrait valoir Ă  des officines remontrances et sanctions. La Cnil a en effet prĂ©cisĂ© n’avoir reçu aucune plainte quant Ă  IQVIA, mais que, suite Ă  l’émission, elle diligentera des contrĂŽles.

  • Drones : la Cnil remonte les bretelles de l’IntĂ©rieur

    En juin, la Préfecture de Police continuait d'utiliser des drones lors de manifestations

    Non c’est non ! MalgrĂ© un premier arrĂȘt dĂ©favorable du Conseil d’État, la police continuait de faire voler ses drones, dĂ©sormais au-dessus des manifestations. DeuxiĂšme salve du juge, que vient de rejoindre la Cnil qui rappelle Beauvau Ă  l’ordre quant Ă  l’utilisation illicite de ses drones. 

    Mi-mai 2020, le Conseil d’État dĂ©fendait strictement Ă  la PrĂ©fecture de Police d’utiliser ses drones, faute de cadre lĂ©gal. “Il rĂ©sulte de l’instruction que les appareils en cause sont susceptibles de collecter des donnĂ©es identifiantes et ne comportent aucun dispositif technique de nature Ă  Ă©viter, dans tous les cas, que les informations collectĂ©es puissent conduire, au bĂ©nĂ©fice d’un autre usage que celui actuellement pratiquĂ©, Ă  rendre les personnes auxquelles elles se rapportent identifiables” Ă©crivait le juge saisi en rĂ©fĂ©rĂ© par la LDH et la Quadrature. Soit un usage contraire aux rĂšgles de protection des donnĂ©es personnelles et qui n’est encadrĂ© par aucun test. 

    Ballet aérien

    Quelques semaines plus tard, lors des manifestations de juin, que voit-on Ă  Paris ? Des policiers opĂ©rant des drones afin de surveiller les collĂšges. A croire que la PrĂ©fecture de Police n’a pas Ă©tĂ© informĂ©e de la dĂ©cision du Conseil d’État. Ni une, ni deux, la Quadrature du Net saisit Ă  nouveau le Conseil d’État, qui rend un verdict similaire et “enjoint au prĂ©fet de police de cesser, sans dĂ©lai, de procĂ©der aux mesures de surveillance par drone des rassemblements de personnes sur la voie publique”. 

    Mais le Conseil d’État n’est pas le seul Ă  se pencher sur le sujet. AlarmĂ© par les articles de presse relatifs aux vols des drones policiers, la Cnil a menĂ© dĂšs mai 2020 plusieurs contrĂŽles. Le gendarme des donnĂ©es personnelles s’est mĂȘme rendu en juillet 2020 “dans les locaux de la prĂ©fecture de police de Paris et a fait procĂ©der Ă  un vol d’essai d’un des drones utilisĂ©s pour les finalitĂ©s prĂ©citĂ©es”. Le 12 janvier, la Cnil publie sa dĂ©cision et sanctionne le ministĂšre de l’IntĂ©rieur. 

    La police hors-la-loi

    En effet, suite Ă  cette visite Ă  la prĂ©fecture, le rĂ©gulateur a constatĂ© que “les personnes filmĂ©es par ce type de dispositif Ă©taient susceptibles d’ĂȘtre identifiĂ©es”, soit un traitement de donnĂ©es personnelles qui ne repose sur aucune base lĂ©gale : la Cnil lance la procĂ©dure de sanction. Car il n’existe pour l’heure aucun texte de loi, aucune analyse d’impact, autorisant l’IntĂ©rieur Ă  utiliser des drones munis de camĂ©ras. Pire encore, “le public n’était pas non plus informĂ© de l’utilisation des drones comme il aurait dĂ» l’ĂȘtre” Ă©crit la Cnil. 

    Beauvau pointe pour sa dĂ©fense avoir dĂ©veloppĂ© un systĂšme de floutage des personnes figurant sur les images, opĂ©rationnel en aoĂ»t, soit trois mois aprĂšs la premiĂšre dĂ©cision du Conseil d’État), et surtout exĂ©cutĂ© a posteriori : “des images contenant des donnĂ©es personnelles sont donc collectĂ©es, transmises et traitĂ©es par le ministĂšre de l'IntĂ©rieur avant que ce systĂšme de floutage ne soit appliquĂ©â€. Cerise sur la gĂąteau : le systĂšme permet Ă  la police de dĂ©flouter les personnes, ce qui n’empĂȘche donc pas “nĂ©cessairement” l’identification. 

    Grognonne, la Cnil rappelle Ă  l’ordre l’IntĂ©rieur, sans pouvoir prononcer de sanction financiĂšre. Surtout, elle “enjoint au ministĂšre de cesser, sans dĂ©lai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de donnĂ©es personnelles ou jusqu’à ce qu’un systĂšme technique empĂȘchant toute identification des personnes soit mis en Ɠuvre”. Et contrairement aux dĂ©cisions du Conseil d’Etat, qui ne s’adressait qu’à la PrĂ©fecture de police de Paris, celle de la Cnil couvre l’intĂ©gralitĂ© du territoire.

  • La Cnil consulte sur les mots de passe

    Le gendarme des donnĂ©es personnelles juge datĂ©e sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte Ă  consultation publique jusqu’au 3 dĂ©cembre.

  • La Cnil consulte sur les mots de passe

    Le gendarme des donnĂ©es personnelles juge datĂ©e sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte Ă  consultation publique jusqu’au 3 dĂ©cembre.

  • La Cnil Ă©trille Francetest

    Le gendarme des donnĂ©es personnelles met en demeure la sociĂ©tĂ© accusĂ©e d’avoir laissĂ© exposĂ©es en ligne les donnĂ©es de tests antigĂ©niques de centaines de milliers de Français. 

  • La Cnil rĂ©prouve l’utilisation de solutions amĂ©ricaines par l’enseignement supĂ©rieur

    Suite Ă  l’invalidation du Privacy Shield par la CJUE, les rĂšgles en matiĂšre de transfert de donnĂ©es hors UE ont changĂ©. L’enseignement supĂ©rieur est venu interroger la Cnil quant Ă  son utilisation de solutions, notamment collaboratives, amĂ©ricaines. Le gendarme des donnĂ©es personnelles y voit un problĂšme et demande aux universitĂ©s de passer Ă  d’autres outils. 

    Il est de notoriĂ©tĂ© publique que certaines administrations ont massivement recours Ă  des solutions amĂ©ricaines, de l’Éducation nationale au ministĂšre des ArmĂ©es. RĂ©cemment, la ConfĂ©rence des prĂ©sidents d’universitĂ© (CPU) et la ConfĂ©rence des grandes Ă©coles (CGE) ont demandĂ© les lumiĂšres de la Cnil sur ce sujet. Avec l’adoption du RGPD et suite Ă  l’invalidation du Privacy Shield, l’enseignement supĂ©rieur est-il toujours en conformitĂ© avec la rĂ©glementation sur la protection des donnĂ©es ? Car les universitĂ©s ont fortement tendance Ă  utiliser des “outils collaboratifs proposĂ©s par certaines sociĂ©tĂ©s dont les siĂšges sont situĂ©s aux États-Unis”. 

    D’autant qu’avec le confinement et la fermeture des Ă©tablissements d’enseignement supĂ©rieur, l’adoption de ces solutions s’est accĂ©lĂ©rĂ©e. Aux yeux de la Cnil, le recours Ă  ces outils s’avĂšre problĂ©matique Ă  plusieurs titres, aussi bien pour des questions de contrĂŽle des flux de donnĂ©es que d’accĂšs par les autoritĂ©s de pays tiers ou encore de souverainetĂ© numĂ©rique. 

    Risques d'accÚs non autorisés

    Ainsi, l’utilisation de ces suites dans l’enseignement supĂ©rieur et la recherche concerne "un nombre important d’utilisateurs” et une “quantitĂ© considĂ©rable de donnĂ©es dont certaines sont sensibles (par exemple des donnĂ©es de santĂ© dans certains cas) ou ont des caractĂ©ristiques particuliĂšres (donnĂ©es de la recherche ou relatives Ă  des mineurs)” selon le gendarme des donnĂ©es personnelles. DonnĂ©es qui sont donc transfĂ©rĂ©es vers les États-Unis. 

    Dans ce contexte, pour ĂȘtre en conformitĂ© avec le RGPD, il serait nĂ©cessaire que les universitĂ©s et autres Ă©coles mettent en place des “mesures supplĂ©mentaires” ou justifient ces transferts “au regard des dĂ©rogations autorisĂ©es par l’article 49 du RGPD”. Mais un problĂšme se pose : “le ComitĂ© europĂ©en de la protection des donnĂ©es (CEPD) n’a pas, Ă  ce jour, identifiĂ© de mesures supplĂ©mentaires susceptibles d’assurer un niveau de protection adĂ©quat”. Et du fait des prĂ©tentions d’extraterritorialitĂ© du droit d’accĂšs par les autoritĂ©s amĂ©ricaines Ă  toute donnĂ©e stockĂ©e par une sociĂ©tĂ© sise aux États-unis, “il existe donc un risque d’accĂšs par les autoritĂ©s amĂ©ricaines aux donnĂ©es stockĂ©es” indĂ©pendamment de l’existence ou non de transfert. 

    Plus concrĂštement, devant le risque d’un accĂšs Ă  leurs donnĂ©es de la part des autoritĂ©s, les universitĂ©s doivent â€œĂ©carter” ce risque selon la Cnil. Soit cesser d’utiliser des solutions amĂ©ricaines. Ce qui implique de profondes transformations : “la nĂ©cessitĂ© pour les Ă©tablissements concernĂ©s d’assurer la continuitĂ© des missions exercĂ©es grĂące aux outils numĂ©riques est de nature Ă  justifier une pĂ©riode transitoire” explique la Cnil, qui ajoute qu’elle accompagnera les universitĂ©s dans la sĂ©lection d’alternatives et leur mise en conformitĂ©. 

  • La Cnil se paie Monsanto

    AprĂšs les rĂ©vĂ©lations de plusieurs mĂ©dias quant Ă  l’existence chez le gĂ©ant de l’agro-chimie d’un fichier contenant les donnĂ©es personnelles de 200 personnes utilisĂ© Ă  des fins de lobbying, la Cnil a menĂ© l’enquĂȘte. Et reconnait aujourd’hui Monsanto coupable d'avoir enfreint le RGPD en sa qualitĂ© de responsable de traitement. 

  • La Cnil sort le bĂąton!

    Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

  • La Cnil sort le bĂąton!

    Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

  • Le Conseil d’État valide l’extension du fichage par les forces de l’ordre

    La saisine par des syndicats et associations n’y aura rien fait : l’IntĂ©rieur pourra ficher et surveiller “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale” en cas de menace Ă  la sĂ©curitĂ© publique. Edvige renaĂźt de ses cendres dans l’indiffĂ©rence gĂ©nĂ©rale. 

    La sĂ»retĂ© de l’État et la sĂ©curitĂ© publique pourront dĂ©sormais servir de prĂ©texte Ă  la surveillance des appartenances syndicales, des convictions religieuses et des opinions politiques. C’est le sens des dĂ©crets publiĂ©s le 4 dĂ©cembre dernier par un ministĂšre de l’IntĂ©rieur qui, sur ces sujets, privilĂ©gie le passage en force. Avec l’assentiment donnĂ© lundi par le Conseil d’État. 

    Saisie en rĂ©fĂ©rĂ©, la plus haute juridiction administrative a en effet rejetĂ© les recours de la CGT, de FO, du FSU et de quelques associations visant les fichiers PASP(prĂ©vention des atteintes Ă  la sĂ©curitĂ© publique), relevant de la police, GIPASP(gestion de l’information et prĂ©vention des atteintes Ă  la sĂ©curitĂ© publique) du cĂŽtĂ© de la gendarmerie et EASP(enquĂȘtes administratives liĂ©es Ă  la sĂ©curitĂ© publique). 

    Fichage politique

    Ces trois fichiers sont les hĂ©ritiers d’Edvige (exploitation documentaire et valorisation de l’information gĂ©nĂ©rale) qui en 2008 prĂ©voyait de ficher notamment toute personne affichant une activitĂ© politique ou syndicale. La levĂ©e de bouclier fut telle que le gouvernement de l’époque fit machine arriĂšre, concĂ©dant de ne recenser que les activitĂ©s. Ces dĂ©crets du 4 dĂ©cembre font sauter cette digue en Ă©largissant les champs pouvant ĂȘtre intĂ©grĂ©s dans la surveillance policiĂšre. 

    Ainsi, les “activitĂ©s sur les rĂ©seaux sociaux” ou encore les “identifiants utilisĂ©s” (sauf mots de passe prĂ©cisent les trois dĂ©crets) ainsi que les “donnĂ©es relatives aux troubles psychologiques ou psychiatriques” peuvent ĂȘtre renseignĂ©s dans ces fichiers par policiers ou gendarmes. Surtout, si cette collecte ne pouvait couvrir auparavant que “des activitĂ©s politiques, philosophiques, religieuses ou syndicales”, les dĂ©crets l’étendent aux “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale”. 

    Des points qui ne faisaient pas partie des projets de dĂ©crets dĂ©posĂ©s par le gouvernement auprĂšs de la Cnil pour examen en juin 2019. Comme le souligne le gendarme des donnĂ©es personnelles, dont les avis Ă©taient mitigĂ©s, “si la collecte de donnĂ©es relatives Ă  « des activitĂ©s politiques, philosophiques, religieuses ou syndicales » Ă©tait dĂ©jĂ  prĂ©vue, les nouveaux dĂ©crets font dĂ©sormais rĂ©fĂ©rence non plus aux « activitĂ©s » mais aux « opinions » politiques, aux « convictions » philosophiques, religieuses et Ă  l’« appartenance » syndicale. Elle ne s’est pas prononcĂ©e sur cette modification, qui ne figurait pas dans le projet qui lui avait Ă©tĂ© soumis”.

    Pas attentatoire aux libertés

    Et ce alors qu’elle estimait en juin que les pĂ©rimĂštres de certaines catĂ©gories de donnĂ©es, l’activitĂ© sur les rĂ©seaux sociaux par exemple, Ă©taient trop Ă©tendus et rĂ©digĂ©s de maniĂšre particuliĂšrement permissive. De quoi effectivement faire enrager les syndicats, de mĂȘme que la Quadrature, qui se sont portĂ©s devant le Conseil d’État, pour ĂȘtre dĂ©boutĂ©s. En rĂ©fĂ©rĂ©, le juge a en effet considĂ©rĂ© que ces nouvelles dispositions du code de la sĂ©curitĂ© intĂ©rieure n’étaient pas attentatoires aux libertĂ©s. Ou du moins qu’elles ne constituent pas une atteinte disproportionnĂ©e. 

    A l’instar de l’avis de la Cnil en juin, le Conseil d’État estime que l’exĂ©cutif a prĂ©vu les garde-fous nĂ©cessaires, notamment en restreignant la collecte de donnĂ©es aux seules activitĂ©s “susceptibles de porter atteinte Ă  la sĂ©curitĂ© publique ou Ă  la sĂ»retĂ© de l’Etat”, interdisant un fichage sur la seule base d’une appartenance syndicale ou d’une conviction religieuse.

  • Les Français se dĂ©fient des autoritĂ©s sur les donnĂ©es personnelles

    RebootonLine a compilé les données issues de la Communauté Européenne pour savoir si les citoyens avaient confiance dans les autorités pour protéger leurs données personnelles. Un sentiment de défiance est majoritaire dans notre pays et sur tout le continent.

    Au total ce sont plus de 27 000 personnes interrogées dont 1018 en France qui indiquent se défier des autorités sur la protection et l'utilisation de leurs données personnelles.

    Les Espagnols sont les plus méfiants avec 73 % des gens manquant de confiance dans les autorités suivis par les Irlandais (73 %). Les Français sont sur le podium à égalité avec les Britanniques et les Belges qui se défient à 68 % des autorités sur ce point.

    En moyenne, 61 % des citoyens européens accordent peu de confiance dans les autorités de leur pays pour la gestion, la protection et l'utilisation des données personnelles. Vous trouverez les détails de cette étude ici :

    https://www.rebootonline.com/