Parce que les données de leurs patients étaient librement accessibles, et parce qu’ils n’ont pas notifié la Cnil de la violation de ces données, deux médecins libéraux ont été condamnés à de légères amendes par la Cnil, qui entend que ces sanctions servent d’avertissement au secteur. 

La Cnil ne fait pas que contrôler et sanctionner les manquements des grands groupes et des géants du numérique, Ses dernières sanctions en date s’en veulent la démonstration. Le gendarme des données personnelles vient d’épingler deux médecins libéraux. En septembre 2019, le régulateur constatait en effet lors de contrôles en ligne, suite à des dénonciations, que des serveurs contenant des images médicales accompagnées des nom, prénom et date de naissance des patients.

En cause dans les deux cas, une mauvaise configuration de leur box Internet et un mauvais paramétrage de leur logiciel d’imagerie médicale. Pour l’un des deux médecins, afin de “pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN”.

Le second a pour sa part paramétré son logiciel d’imagerie médicale pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.

Dans les deux cas, une protection insuffisante et un chiffrement inexistant permettaient au tout venant d’accéder aux images. Ce qui contrevient au RGPD, la Cnil estimant que “la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement”. 

Coup de semonce

Le régulateur sanctionne également le manquement des médecins à notifier les violations de données à la Cnil, ceux-ci n’ayant pas signalé que ces données de santé dont ils étaient responsables du traitement étaient librement accessibles. Lors des auditions, l’un d'eux a par ailleurs invoqué “le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL”. Ce à quoi l’intéressée rétorque que “la circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation”.

Les deux praticiens sont condamnés à respectivement 3000 et 6000 euros d’amende, la Cnil se montrant clémente au regard des éléments des dossiers quand bien même les manquements s’étendaient sur une période de cinq ans et impliquaient quelques milliers d’images médicales. Le régulateur, s’il maintient l’anonymat des médecins, a néanmoins choisi de rendre ses sanctions publiques, “pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent”.

Le gendarme des données personnelles met en demeure la société accusée d’avoir laissé exposées en ligne les données de tests antigéniques de centaines de milliers de Français. 

L’émission d’Elise Lucet sur les données personnelles a fait réagir la Cnil. Cash Investigation dénonçait IQVIA, une société collectant des données pseudonymisées de pharmacies, issues des cartes vitales des clients. Sans que ces derniers en soient conscients, accuse l’émission, et avec l’accord de la Cnil. Une allégation avec laquelle le gendarme des données personnelles n’est pas d’accord.  

Où vont donc les données de nos cartes vitales lorsque nous allons en pharmacie ? Selon Cash Investigation, la Sécu n’est pas la seule à récupérer ces informations. L’émission d’Elise Lucet, diffusée demain sur France 2 mais d’ores et déjà disponible sur le site de Francetv, s’intéresse à IQVIA. Cette société américaine née en 2016 n’est pas connue du grand public et pourtant... à en croire l’émission, l’entreprise collecte depuis des années les données de santé des Français. 

Et ce avec l’aval de la Cnil, qui aurait donné son autorisation à ces traitements. Autant dire que la réaction du gendarme des données personnelles ne s’est pas faite attendre. Celle-ci confirme les dires de Cash Investigation : IQVIA stocke ces informations dans un entrepôt de données depuis 2018. La délibération de la Cnil est publique et s’inscrit dans un « projet d’intérêt public ». 

Un entrepôt autorisé

Il s’agit d’aider la recherche médicale au moyen de données pseudonymisées. Une pratique courante selon la Cnil qui ajoute sur ce point ne pas faire de distinction entre acteurs publics et acteurs privés. Ainsi, IQVIA a été autorisé le 12 juillet 2018 à constituer cet entrepôt de données. Et ce sous certaines conditions

D’abord une finalité spécifique, à savoir des « études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ». Pas de revente de données à des tiers ni d’exploitation commerciale, ce qu’assure pourtant Cash Investigation. Les seuls tiers autorisés sont les partenaires scientifiques, et encore ils doivent présenter à leur tour les garanties requises.

Contrôles à venir 

De même, les usagers doivent être informés. “Les pharmaciens d’officine sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus” écrit la Cnil. Et c’est sans doute là que se pose le problème. 

Selon l’émission, sur 200 pharmacies “testées”, aucune n’a cru bon d’informer les journalistes de la collecte et du traitement de leurs données. Ce qui enfreint le cadre réglementaire relatif à la protection des données. Et pourrait valoir à des officines remontrances et sanctions. La Cnil a en effet précisé n’avoir reçu aucune plainte quant à IQVIA, mais que, suite à l’émission, elle diligentera des contrôles.

En juin, la Préfecture de Police continuait d'utiliser des drones lors de manifestations

Non c’est non ! Malgré un premier arrêt défavorable du Conseil d’État, la police continuait de faire voler ses drones, désormais au-dessus des manifestations. Deuxième salve du juge, que vient de rejoindre la Cnil qui rappelle Beauvau à l’ordre quant à l’utilisation illicite de ses drones. 

Mi-mai 2020, le Conseil d’État défendait strictement à la Préfecture de Police d’utiliser ses drones, faute de cadre légal. “Il résulte de l’instruction que les appareils en cause sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables” écrivait le juge saisi en référé par la LDH et la Quadrature. Soit un usage contraire aux règles de protection des données personnelles et qui n’est encadré par aucun test. 

Ballet aérien

Quelques semaines plus tard, lors des manifestations de juin, que voit-on à Paris ? Des policiers opérant des drones afin de surveiller les collèges. A croire que la Préfecture de Police n’a pas été informée de la décision du Conseil d’État. Ni une, ni deux, la Quadrature du Net saisit à nouveau le Conseil d’État, qui rend un verdict similaire et “enjoint au préfet de police de cesser, sans délai, de procéder aux mesures de surveillance par drone des rassemblements de personnes sur la voie publique”. 

Mais le Conseil d’État n’est pas le seul à se pencher sur le sujet. Alarmé par les articles de presse relatifs aux vols des drones policiers, la Cnil a mené dès mai 2020 plusieurs contrôles. Le gendarme des données personnelles s’est même rendu en juillet 2020 “dans les locaux de la préfecture de police de Paris et a fait procéder à un vol d’essai d’un des drones utilisés pour les finalités précitées”. Le 12 janvier, la Cnil publie sa décision et sanctionne le ministère de l’Intérieur. 

La police hors-la-loi

En effet, suite à cette visite à la préfecture, le régulateur a constaté que “les personnes filmées par ce type de dispositif étaient susceptibles d’être identifiées”, soit un traitement de données personnelles qui ne repose sur aucune base légale : la Cnil lance la procédure de sanction. Car il n’existe pour l’heure aucun texte de loi, aucune analyse d’impact, autorisant l’Intérieur à utiliser des drones munis de caméras. Pire encore, “le public n’était pas non plus informé de l’utilisation des drones comme il aurait dû l’être” écrit la Cnil. 

Beauvau pointe pour sa défense avoir développé un système de floutage des personnes figurant sur les images, opérationnel en août, soit trois mois après la première décision du Conseil d’État), et surtout exécuté a posteriori : “des images contenant des données personnelles sont donc collectées, transmises et traitées par le ministère de l'Intérieur avant que ce système de floutage ne soit appliqué”. Cerise sur la gâteau : le système permet à la police de déflouter les personnes, ce qui n’empêche donc pas “nécessairement” l’identification. 

Grognonne, la Cnil rappelle à l’ordre l’Intérieur, sans pouvoir prononcer de sanction financière. Surtout, elle “enjoint au ministère de cesser, sans délai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de données personnelles ou jusqu’à ce qu’un système technique empêchant toute identification des personnes soit mis en œuvre”. Et contrairement aux décisions du Conseil d’Etat, qui ne s’adressait qu’à la Préfecture de police de Paris, celle de la Cnil couvre l’intégralité du territoire.

Le gendarme des données personnelles enregistre deux records pour l’année écoulée : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portée par le renforcement des contrôles relatifs à la gestion des cookies et autres traceurs.

Le gendarme des données personnelles enregistre deux records pour l’année écoulée : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portée par le renforcement des contrôles relatifs à la gestion des cookies et autres traceurs.

Le gendarme des données personnelles juge datée sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte à consultation publique jusqu’au 3 décembre.

Le gendarme des données personnelles juge datée sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte à consultation publique jusqu’au 3 décembre.

Le gendarme des données personnelles met en demeure la société accusée d’avoir laissé exposées en ligne les données de tests antigéniques de centaines de milliers de Français. 

Malgré un parti pris qui privilégie la mise en conformité plutôt que la répression, le bilan de la CNIL de 2023 montre une augmentation des sanctions qui s’élèvent à 89 175 500 € pour l’année écoulée.

Le gendarme du numérique estime que le système de surveillance basé sur les scanners des équipes logistiques du géant américain est trop intrusif et repose sur une collecte de données illégale.

Suite à l’invalidation du Privacy Shield par la CJUE, les règles en matière de transfert de données hors UE ont changé. L’enseignement supérieur est venu interroger la Cnil quant à son utilisation de solutions, notamment collaboratives, américaines. Le gendarme des données personnelles y voit un problème et demande aux universités de passer à d’autres outils. 

Il est de notoriété publique que certaines administrations ont massivement recours à des solutions américaines, de l’Éducation nationale au ministère des Armées. Récemment, la Conférence des présidents d’université (CPU) et la Conférence des grandes écoles (CGE) ont demandé les lumières de la Cnil sur ce sujet. Avec l’adoption du RGPD et suite à l’invalidation du Privacy Shield, l’enseignement supérieur est-il toujours en conformité avec la réglementation sur la protection des données ? Car les universités ont fortement tendance à utiliser des “outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis”. 

D’autant qu’avec le confinement et la fermeture des établissements d’enseignement supérieur, l’adoption de ces solutions s’est accélérée. Aux yeux de la Cnil, le recours à ces outils s’avère problématique à plusieurs titres, aussi bien pour des questions de contrôle des flux de données que d’accès par les autorités de pays tiers ou encore de souveraineté numérique. 

Risques d'accès non autorisés

Ainsi, l’utilisation de ces suites dans l’enseignement supérieur et la recherche concerne "un nombre important d’utilisateurs” et une “quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs)” selon le gendarme des données personnelles. Données qui sont donc transférées vers les États-Unis. 

Dans ce contexte, pour être en conformité avec le RGPD, il serait nécessaire que les universités et autres écoles mettent en place des “mesures supplémentaires” ou justifient ces transferts “au regard des dérogations autorisées par l’article 49 du RGPD”. Mais un problème se pose : “le Comité européen de la protection des données (CEPD) n’a pas, à ce jour, identifié de mesures supplémentaires susceptibles d’assurer un niveau de protection adéquat”. Et du fait des prétentions d’extraterritorialité du droit d’accès par les autorités américaines à toute donnée stockée par une société sise aux États-unis, “il existe donc un risque d’accès par les autorités américaines aux données stockées” indépendamment de l’existence ou non de transfert. 

Plus concrètement, devant le risque d’un accès à leurs données de la part des autorités, les universités doivent “écarter” ce risque selon la Cnil. Soit cesser d’utiliser des solutions américaines. Ce qui implique de profondes transformations : “la nécessité pour les établissements concernés d’assurer la continuité des missions exercées grâce aux outils numériques est de nature à justifier une période transitoire” explique la Cnil, qui ajoute qu’elle accompagnera les universités dans la sélection d’alternatives et leur mise en conformité. 

La CNIL crée un service d’intelligence artificielle en son sein pour renforcer son expertise sur ces systèmes et sa compréhension des risques pour la vie privée tout en préparant l’entrée en application du règlement européen sur l’IA.

Après les révélations de plusieurs médias quant à l’existence chez le géant de l’agro-chimie d’un fichier contenant les données personnelles de 200 personnes utilisé à des fins de lobbying, la Cnil a mené l’enquête. Et reconnait aujourd’hui Monsanto coupable d'avoir enfreint le RGPD en sa qualité de responsable de traitement. 

Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

La décision prononcée par la Commission nationale de l’information et des libertés (CNIL) d'infliger une amende de 35 millions d'euros à Amazon pour non-respect de la législation sur les cookies a été validée par le Conseil d'Etat le 27 juin 2022. L'institution a jugé que le montant de l’amende n’était pas disproportionné.

La saisine par des syndicats et associations n’y aura rien fait : l’Intérieur pourra ficher et surveiller “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale” en cas de menace à la sécurité publique. Edvige renaît de ses cendres dans l’indifférence générale. 

La sûreté de l’État et la sécurité publique pourront désormais servir de prétexte à la surveillance des appartenances syndicales, des convictions religieuses et des opinions politiques. C’est le sens des décrets publiés le 4 décembre dernier par un ministère de l’Intérieur qui, sur ces sujets, privilégie le passage en force. Avec l’assentiment donné lundi par le Conseil d’État. 

Saisie en référé, la plus haute juridiction administrative a en effet rejeté les recours de la CGT, de FO, du FSU et de quelques associations visant les fichiers PASP(prévention des atteintes à la sécurité publique), relevant de la police, GIPASP(gestion de l’information et prévention des atteintes à la sécurité publique) du côté de la gendarmerie et EASP(enquêtes administratives liées à la sécurité publique). 

Fichage politique

Ces trois fichiers sont les héritiers d’Edvige (exploitation documentaire et valorisation de l’information générale) qui en 2008 prévoyait de ficher notamment toute personne affichant une activité politique ou syndicale. La levée de bouclier fut telle que le gouvernement de l’époque fit machine arrière, concédant de ne recenser que les activités. Ces décrets du 4 décembre font sauter cette digue en élargissant les champs pouvant être intégrés dans la surveillance policière. 

Ainsi, les “activités sur les réseaux sociaux” ou encore les “identifiants utilisés” (sauf mots de passe précisent les trois décrets) ainsi que les “données relatives aux troubles psychologiques ou psychiatriques” peuvent être renseignés dans ces fichiers par policiers ou gendarmes. Surtout, si cette collecte ne pouvait couvrir auparavant que “des activités politiques, philosophiques, religieuses ou syndicales”, les décrets l’étendent aux “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale”. 

Des points qui ne faisaient pas partie des projets de décrets déposés par le gouvernement auprès de la Cnil pour examen en juin 2019. Comme le souligne le gendarme des données personnelles, dont les avis étaient mitigés, “si la collecte de données relatives à « des activités politiques, philosophiques, religieuses ou syndicales » était déjà prévue, les nouveaux décrets font désormais référence non plus aux « activités » mais aux « opinions » politiques, aux « convictions » philosophiques, religieuses et à l’« appartenance » syndicale. Elle ne s’est pas prononcée sur cette modification, qui ne figurait pas dans le projet qui lui avait été soumis”.

Pas attentatoire aux libertés

Et ce alors qu’elle estimait en juin que les périmètres de certaines catégories de données, l’activité sur les réseaux sociaux par exemple, étaient trop étendus et rédigés de manière particulièrement permissive. De quoi effectivement faire enrager les syndicats, de même que la Quadrature, qui se sont portés devant le Conseil d’État, pour être déboutés. En référé, le juge a en effet considéré que ces nouvelles dispositions du code de la sécurité intérieure n’étaient pas attentatoires aux libertés. Ou du moins qu’elles ne constituent pas une atteinte disproportionnée. 

A l’instar de l’avis de la Cnil en juin, le Conseil d’État estime que l’exécutif a prévu les garde-fous nécessaires, notamment en restreignant la collecte de données aux seules activités “susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’Etat”, interdisant un fichage sur la seule base d’une appartenance syndicale ou d’une conviction religieuse.

RebootonLine a compilé les données issues de la Communauté Européenne pour savoir si les citoyens avaient confiance dans les autorités pour protéger leurs données personnelles. Un sentiment de défiance est majoritaire dans notre pays et sur tout le continent.

Au total ce sont plus de 27 000 personnes interrogées dont 1018 en France qui indiquent se défier des autorités sur la protection et l'utilisation de leurs données personnelles.

Les Espagnols sont les plus méfiants avec 73 % des gens manquant de confiance dans les autorités suivis par les Irlandais (73 %). Les Français sont sur le podium à égalité avec les Britanniques et les Belges qui se défient à 68 % des autorités sur ce point.

En moyenne, 61 % des citoyens européens accordent peu de confiance dans les autorités de leur pays pour la gestion, la protection et l'utilisation des données personnelles. Vous trouverez les détails de cette étude ici :

https://www.rebootonline.com/

Le fournisseur d’énergie s’est mis en conformité avec la réglementation en vigueur sur la protection des données. EDF avait été mis en demeure en février 2020 par la Cnil, qui lui reprochait sur ses compteurs Linky de ne pas correctement recueillir le consentement de ses usagers et de conserver trop longtemps leurs données. 

Linky est un dossier ô combien sensible, non plus pour des questions d’ondes émises, mais sur des sujets de protection des données et de la vie privée. Dès 2018, la Cnil sonnait la charge contre Direct Energie, lui reprochant d’échouer à recueillir de manière conforme à la réglementation le consentement des usagers à la collecte et au traitement de leurs données de consommation électrique. Deux ans plus tard, ce sont Engie et EDF qui étaient mis en demeure. 

A EDF, le régulateur reprochait d’échouer à recueillir le consentement des usagers de manière spécifique et éclairée. Il présentait en effet une seule case à cocher pour deux voire trois finalités distinctes : affichage des consommations quotidiennes, affichage des consommations à la demi-heure et fourniture de conseils personnalisés. 

Trajectoire de conformité

De même, l’information fournie, qui faisait référence à la « consommation d’électricité quotidienne (toutes les 30 min)», mettait sur un même plan les deux types de données, quotidiennes et toutes les 30 minutes. Or ces dernières sont bien « plus révélatrices des habitudes de vie des personnes que les données quotidiennes».

Enfin, si EDF précisait bien les durées de conservation des données, celles-ci s’avéraient dans certains cas trop longues au regard de la finalité poursuivie. Sont ainsi conservées en base active les consommations à la demi-heure pendant cinq ans après la résiliation, alors qu’elles ne servent pas à la facturation. Trop long estimait la Cnil il y a un an.

Le gendarme des données personnelles précisait toutefois qu'EDF comme Engie étaient sur la “trajectoire de la mise en conformité”. EDF est depuis rentré dans le rang, bénéficiant d’un délai pour cause de pandémie. La Cnil vient de clôturer la mise en demeure du fournisseur d’électricité, après que celui-ci ait mis en oeuvre “un nouveau parcours de consentement dont il ressort clairement que le client peut consentir au suivi de sa consommation quotidienne sans devoir également consentir au suivi de sa consommation à la demi-heure” et a adapté les durées de conservation des données aux finalité de traitement.