Cnil

  • Linky : entre EDF et la Cnil, le courant passe

    Le fournisseur d’énergie s’est mis en conformitĂ© avec la rĂ©glementation en vigueur sur la protection des donnĂ©es. EDF avait Ă©tĂ© mis en demeure en fĂ©vrier 2020 par la Cnil, qui lui reprochait sur ses compteurs Linky de ne pas correctement recueillir le consentement de ses usagers et de conserver trop longtemps leurs donnĂ©es. 

    Linky est un dossier ĂŽ combien sensible, non plus pour des questions d’ondes Ă©mises, mais sur des sujets de protection des donnĂ©es et de la vie privĂ©e. DĂšs 2018, la Cnil sonnait la charge contre Direct Energie, lui reprochant d’échouer Ă  recueillir de maniĂšre conforme Ă  la rĂ©glementation le consentement des usagers Ă  la collecte et au traitement de leurs donnĂ©es de consommation Ă©lectrique. Deux ans plus tard, ce sont Engie et EDF qui Ă©taient mis en demeure

    A EDF, le rĂ©gulateur reprochait d’échouer Ă  recueillir le consentement des usagers de maniĂšre spĂ©cifique et Ă©clairĂ©e. Il prĂ©sentait en effet une seule case Ă  cocher pour deux voire trois finalitĂ©s distinctes : affichage des consommations quotidiennes, affichage des consommations Ă  la demi-heure et fourniture de conseils personnalisĂ©s. 

    Trajectoire de conformité

    De mĂȘme, l’information fournie, qui faisait rĂ©fĂ©rence Ă  la « consommation d’électricitĂ© quotidienne (toutes les 30 min)», mettait sur un mĂȘme plan les deux types de donnĂ©es, quotidiennes et toutes les 30 minutes. Or ces derniĂšres sont bien « plus rĂ©vĂ©latrices des habitudes de vie des personnes que les donnĂ©es quotidiennes».

    Enfin, si EDF prĂ©cisait bien les durĂ©es de conservation des donnĂ©es, celles-ci s’avĂ©raient dans certains cas trop longues au regard de la finalitĂ© poursuivie. Sont ainsi conservĂ©es en base active les consommations Ă  la demi-heure pendant cinq ans aprĂšs la rĂ©siliation, alors qu’elles ne servent pas Ă  la facturation. Trop long estimait la Cnil il y a un an.

    Le gendarme des donnĂ©es personnelles prĂ©cisait toutefois qu'EDF comme Engie Ă©taient sur la “trajectoire de la mise en conformitĂ©â€. EDF est depuis rentrĂ© dans le rang, bĂ©nĂ©ficiant d’un dĂ©lai pour cause de pandĂ©mie. La Cnil vient de clĂŽturer la mise en demeure du fournisseur d’électricitĂ©, aprĂšs que celui-ci ait mis en oeuvre “un nouveau parcours de consentement dont il ressort clairement que le client peut consentir au suivi de sa consommation quotidienne sans devoir Ă©galement consentir au suivi de sa consommation Ă  la demi-heure” et a adaptĂ© les durĂ©es de conservation des donnĂ©es aux finalitĂ© de traitement.

  • NOYB (Max Schrems) attaque Google devant la Cnil

    C’est la France que l’association de Max Schrems a choisie pour lancer la charge contre le gĂ©ant de Mountain View. NOYB reproche Ă  Google d’enfreindre la directive ePrivacy via son identifiant publicitaire Android, activĂ© par dĂ©faut et donc qui se passe du consentement de l’utilisateur. Une plainte similaire Ă  celle visant Apple dĂ©posĂ©e par l’association l’an dernier.

    AprĂšs avoir fait trembler Facebook, l’activiste autrichien Maximilien Schrems parviendra-t-il Ă  faire tomber Google ? Son association, NOYB, pour None Of Your Business, vient de dĂ©poser une plainte Ă  l’encontre du gĂ©ant. Et c’est en France que se jouera cette nouvelle confrontation puisque la plainte a Ă©tĂ© adressĂ©e Ă  la Cnil.

    Est mis en cause l’AAID (Android Advertising Identifier), un identifiant unique attachĂ© Ă  chaque smartphone Android. Cet instrument du gĂ©ant de Mountain View sert Ă  collecter des informations sur les prĂ©fĂ©rences de l’utilisateur de sorte Ă  afficher des publicitĂ©s personnalisĂ©es. Ce qui, selon NOYB, enfreint la directive ePrivacy, du moins dans sa version actuelle.

    Google et Apple dans le mĂȘme panier

    Celle-ci, en son article 5, stipule qu’il est nĂ©cessaire de fournir une « information claire et complĂšte Â» Ă  l’utilisateur, de mĂȘme que la possibilitĂ© de « refuser un tel traitement Â» avant de pouvoir « stocker des informations ou d’accĂ©der Ă  des informations stockĂ©es dans l’équipement terminal Â». Or, dans le cas prĂ©sent, Android n’affiche aucun message quant Ă  son AAID, activĂ© par dĂ©faut.

    La Cnil examine pour l’heure cette plainte, qui n’est pas sans en rappeler une autre. En 2020, Max Schrems et son association s’en prenaient Ă  Apple pour les mĂȘmes motifs, l’attaquant devant les gendarmes des donnĂ©es personnelles espagnol et allemand. Car l’IDFA (IDentifier For Advertisers) obĂ©it au mĂȘme fonctionnement que l’AAID de Google. La Cnil a par ailleurs Ă©tĂ© saisie d’une plainte similaire de la part de France Digitale.

  • Pour les collectivitĂ©s locales, la Cnil a le DĂ©clic

    Le gendarme des données personnelles se rapproche de Déclic, la fédération des Opérateurs Publics de Services Numériques afin de mieux accompagner les collectivités locales dans leur mise en conformité au RGPD.

    Les collectivitĂ©s locales ont Ă©tĂ© ces derniers mois frĂ©quemment la cible de cyberattaques, principalement de ransomwares. La ville d'Angers n'est que le dernier exemple en date de ce flĂ©au qui frappe indistinctement communes, interco' et mĂ©tropoles. Avec, en filigrane, l'inĂ©vitable question de la protection des donnĂ©es et autres obligations introduites en droit par le RGPD. D'autant que les collectivitĂ©s locales s'engagent de maniĂšre croissante, Ă  l'initiative d'Ă©lus ou poussĂ©es par l'État, dans leur transformation numĂ©rique Ă  travers l'e-administration, l'ouverture des donnĂ©es, la connexion des infrastructures ou encore la dĂ©mocratie participative par l'entremise de plateformes en ligne.  

    La transformation numĂ©rique a du bon, avec la simplification de l'accĂšs aux dĂ©marches administratives, mais elle a aussi tendance Ă  attirer comme des mouches les cybercriminels, appĂątĂ©s par ces montagnes de donnĂ©es bien trop souvent mal sĂ©curisĂ©es. C'est pour les assister dans leur dĂ©marche de mise en conformitĂ© au cadre rĂ©glementaire que la Cnil s'associe Ă  DĂ©clic. Cette association nĂ©e en 2006 fĂ©dĂšre les GIP, agences techniques et autres syndicats mixtes relevant du statut d'opĂ©rateurs publics de services numĂ©riques et accompagnent les collectivitĂ©s dans leur utilisation de services numĂ©riques, par la mise en commun de diverses ressources et expĂ©riences. 

    Des collectivités dans le besoin

    Ce rapprochement sert un objectif : "le maillage territorial sur lequel agit l’association DĂ©clic permettra Ă  la CNIL, grĂące Ă  ce partenariat, d’amener les plus petites communes Ă  une meilleure conformitĂ© au RGPD" dixit la patronne de la Cnil, Marie-Laure Denis. Et pour ce faire, Cnil et DĂ©clic entendent mettre en oeuvre une sĂ©rie de mesures concrĂštes sur les trois prochaines annĂ©es. Ainsi, l'association formera les dĂ©lĂ©guĂ©s Ă  la protection des donnĂ©es personnelles des collectivitĂ©s servies par son rĂ©seau d'une quarantaine d'OPSN et mettra Ă  sa disposition les ressources utiles, notamment documentaires. Surtout elle centralisera les questions et problĂ©matiques principales des collectivitĂ©s, et cherchera Ă  y apporter une rĂ©ponse "de premier niveau". 

    En parallĂšle la Cnil Ă©laborera des outils et autres fiches pratiques pouvant ĂȘtre mis Ă  disposition des adhĂ©rents de DĂ©clic, participera aux rĂ©unions d'information organisĂ©es par l'association et lui apportera son soutien lorsque saisie de problĂ©matiques techniques et juridiques. "Pour faciliter la mise en Ɠuvre pratique et juridique du RGPD dans les collectivitĂ©s, l’outillage logiciel et pĂ©dagogique ont Ă©tĂ© identifiĂ©s comme des fondamentaux dans les dĂ©marches de DĂ©clic" explique Emmanuel VivĂ©, PrĂ©sident de DĂ©clic. "DĂšs lors, il Ă©tait essentiel de nous rapprocher de la CNIL, afin qu'elle nous aide Ă  soutenir et dĂ©velopper nos travaux pour accĂ©lĂ©rer la mise en conformitĂ© de l’ensemble des collectivitĂ©s".