28/03/2023

CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.

La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.

La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.

Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.

27/03/2023

Une salariée obtient la communication des bulletins de paie de ses collègues

Une salariée considérant avoir subi une inégalité salariale par rapport à ses collègues masculins occupant le même poste a saisi la formation de référé des prud’hommes pour obtenir la communication de leurs bulletins de paie.

La Cour d’appel de Paris a fait droit à sa demande, ordonnait à l’employeur de communiquer sous astreinte les bulletins de huit salariés faisant apparaître leurs noms et prénoms, classification conventionnelle, rémunération mensuelle détaillée et rémunération brute totale cumulée par année civile.

Dans son arrêt du 8 mars 2023, la Cour de cassation confirme la décision d’appel en rappelant que, conformément au point 4 de l’introduction du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité, notamment au regard du droit à un recours effectif et à l’accès au juge.

En l’espèce, la Cour d’appel avait fait ressortir que la communication des bulletins de paie portait atteinte à la vie privée des salariés mais « était indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l'intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d'emploi et de travail ».

24/03/2023

Respect du RGPD et de la loi Informatique et Libertés : Le programme des contrôles publié par la CNIL. 4 thématiques sont mises en avant pour l’année 2023 :

1️⃣ Utilisation des caméras augmentées par les acteurs publics – Le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques)

2️⃣ Utilisation du fichier des incidents de crédit aux particuliers – Du fait des enjeux particulièrement forts liés aux données de ce fichier, la CNIL en fait un axe prioritaire pour 2023. Elle précise que les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.

3️⃣  Gestion des dossiers de santé et accès au Dossier Patient Informatisé (DPI) – La CNIL précise que les contrôles menés auront "pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données". 

4️⃣ Traçage des utilisateurs des applications mobiles – La CNIL indique que plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. La CNIL poursuivra ses vérifications en 2023.

NEXT avocats vous accompagne dans la mise en conformité des traitements de données personnelles et en cas de contrôle.

17/01/2023

C’est au tour d’une société française (Voodoo) d’être condamnée par la CNIL, dans une décision du 29 décembre 2022, pour un usage illicite des identifiants publicitaires/cookies. L’éditeur de jeux mobiles est condamné à une amende de 3 millions d’euros par la CNIL pour non-respect de l’article 82 de la loi du 6 janvier 1978.

  La CNIL a d’abord constaté que l’App Store permettait aux éditeurs d’applications utilisant la plateforme d’attribuer un « IDentifier For Vendors » (ou IDFV) aux utilisateurs des applications qu’ils éditent afin de suivre l’utilisation qui en est faite. Or, en le combinant avec d’autres informations du smartphone, l’IDFV permet de suivre les habitudes de navigation des personnes, notamment les catégories de jeux qu’elles privilégient, afin de personnaliser les annonces vues par chacune d’entre elles.

  L’utilisateur a la possibilité, à l’ouverture de l’application objet du contrôle de la CNIL, de donner son consentement au suivi de ses activités sur les applications par le biais d’une fenêtre conçue par Apple. En cas de refus, une seconde fenêtre, conçue par Voodoo, indique que le suivi publicitaire est désactivé et que des publicités non-personnalisées seront proposées.

  Pourtant, la CNIL a constaté que, malgré le refus, Voodoo lit l’IDFV associé à l’utilisateur et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires. Cette utilisation sans le consentement de l’utilisateur constitue un manquement à l’article 82 de la loi Informatique et Libertés.

  Compte tenu du nombre de personnes concernées, des avantages financiers obtenus et du chiffre d’affaires réalisé par Voodoo, la formation restreinte a prononcé une amende de 3 millions d’euros assortie d’une injonction sous astreinte afin que Voodoo recueille le consentement des utilisateurs dans un délai de 3 mois au risque de s’exposer au paiement de 20 000 euros par jour de retard.

10/01/2023

La CNIL a été active depuis la rentrée 2022 : 6 décisions de sanction rendues publiques pour un montant total de 24 950 000 euros d'amendes prononcées. Quels sont les motifs de ces sanctions ? Quels sont les montants des amendes prononcées ? Voici la mise à jour du tableau de bord de NEXT avocats.

22/12/2022

Les GAFAM « irlandaises » n’échappent pas à la juridiction de la CNIL en matière de cookies.

La CNIL a constaté que des cookies étaient déposés sur le terminal des utilisateurs qui se rendaient sur le site web « bing », sans qu’ils aient donné leur consentement préalable. Ces cookies poursuivaient notamment un objectif publicitaire.

En outre, le site proposait un bouton permettant d’accepter l’ensemble des cookies sans proposer de solution équivalente pour permettre à l’internaute de les refuser aussi facilement. Alors qu’un seul clic suffisait pour les accepter, il en fallait deux pour les refuser. Selon la CNIL, ce système revient à décourager les utilisateurs de refuser et les incite à privilégier la facilité du bouton « accepter ».

La CNIL constate ainsi une atteinte au principe de libre consentement des internautes tel que prévu au RGPD.

Le CNIL relève que le mécanisme dit du « Guichet Unique » prévu à l’article 56 du RGPD ne lui ôte pas sa compétence s’agissant des règles en matière de cookies qui relèvent de la directive 2002/58/CE du 12 juillet 2002 ePrivacy.

En conséquence, la CNIL, dans sa délibération du 19 décembre 2022, prononce à l’encontre de la société Microsoft Ireland Operations Ltd d’une sanction de 60 millions d’euros à laquelle s’ajoute une injonction sous astreinte de 60 000 euros par jour de retard, dans un délai de trois mois, de recueillir le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies à finalité publicitaire.

22/11/2022

Dans sa délibération du 10 novembre 2022, la CNIL a prononcé une amende de 800 000 euros à l’encontre de la société DISCORD Inc, laquelle ne dispose pas d'établissement en Europe.La CNIL a considéré que cette société, qui propose un service de messagerie instantanée et de discussion via microphone et/ou webcam, avait manqué à plusieurs obligations prévues par le RGPD.

● Sur la durée de conservation et l’obligation d’information à ce sujet, DISCORD a indiqué ne pas avoir de politique écrite. Or, la CNIL a constaté que plusieurs millions de comptes inactifs depuis plus de trois ans étaient toujours dans la base de données de DISCORD. DISCORD s’est mis en conformité dans le cours de la procédure.

● La CNIL constate également un manquement à l’obligation de garantir la protection des données par défaut. En effet, le fait de cliquer sur « X », censé fermer l’application sur Windows, ne faisait en réalité que la mettre en arrière-plan. Cela pouvait conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté. Dans le cadre de la procédure, la société a mis en place une fenêtre « pop-up » pour alerter les utilisateurs.

● Par ailleurs, la création d’un compte nécessitait de choisir un mot de passe pour lequel n’étaient imposés que six caractères incluant lettres et chiffres. Pour la CNIL, cette politique ne permettait pas de garantir la sécurité des comptes des utilisateurs. Désormais, la société exige un mot de passe comportant huit caractères, avec au moins trois des quatre catégories de caractères et la réalisation d’un captcha après dix tentatives de connexion non abouties.

● Enfin, la CNIL constate qu’aucune analyse d’impact n’a été réalisée alors que la société traite un volume important de données, notamment d’utilisateurs mineurs.

Compte tenu des manquements retenus, du nombre de personnes concernées et en tenant compte des efforts réalisés par DISCORD pour se mettre en conformité et du fait que son modèle n’est pas fondé sur l’exploitation des données, la CNIL prononce une amende de 800 000 euros.

24/10/2022

La CNIL sanctionne la société américaine CLEARVIEW AI d’une amende de 20 millions d’euros dans une délibération du 17 octobre 2022.

La société CLEARVIEW AI collecte des photographies provenant de sites web, y compris les réseaux sociaux, consultables sans connexion à un compte. Plus de 20 milliards d’images ont été extraites dans le monde et la société commercialise l’accès à sa base qui permet la recherche à l’aide d’une photographie grâce à une technologie de reconnaissance faciale utilisant des données biométriques.

Saisie de plaintes, la CNIL a mis en demeure la société de cesser la collecte et l’usage des données des personnes se trouvant en France effectués sans base légale, de faciliter l’exercice des droits des personnes concernées et de faire droit à leur demande d’accès et d’effacement.

La CNIL a constaté que CLEARVIEW AI :
● ne recueillait pas le consentement des personnes concernées,
● ne disposait pas d’un intérêt légitime à collecter et utiliser ces données au regard du caractère particulièrement intrusif et massif du procédé de collecte des images (d’autant plus que les personnes ne pouvaient s’attendre à ce que leurs images soient utilisées pour alimenter un système de reconnaissance faciale),
● ne facilitait pas l’exercice du droit d’accès des personnes (limitation aux données des 12 derniers mois précédant la demandant, possibilité d’exercer ce droit seulement deux fois par an, en ne répondant que rarement au demandes),
● ne répondait pas, ou de manière partielle, aux demandes d’accès et d’effacement,
● n'a pas coopéré avec les services de la CNIL ; la société n’ayant présenté aucune observation en défense.

La formation restreinte de la CNIL a prononcé une sanction de 20 millions d’euros assortie d’une injonction de cesser, dans un délai de deux mois, la collecte et le traitement des données des personnes concernées assortie d’une astreinte de 100 000 euros par jour de retard au-delà de ce délai.

Reste à savoir comment la CNIL fera exécuter cette décision à l’encontre d’une société américaine, qui traite aux USA des données accessibles aux USA, avec des moyens situés aux USA…

14/09/2022

Nouvelle sanction de la CNIL. Le 8 septembre 2022, GIE INFOGREFFE est condamné à une amende de 250 000 euros. Deux manquements au RGPD lui sont reprochés.
● La conservation des données. Bien que sa Charte de confidentialité prévoie la conservation des données personnelles durant 36 mois à compter de la dernière commande, 25% des comptes ont été conservés au-delà sans être anonymisés et aucune procédure de suppression automatique n’a été mise en place.
● La sécurité des données. La CNIL, en référence aux recommandations de l’ANSSI, relève la robustesse insuffisante des mots de passe face à des attaques par « force brute » (8 caractères sans critère de complexité ni mesure de sécurité complémentaire), ainsi que leur conservation et transmission en clair par courriel, présentant un risque de captation par des tiers de données immédiatement utilisables. La CNIL reproche aussi l’absence de notification à l’utilisateur de la modification de son mot de passe, et donc d’une éventuelle tentative d’usurpation de son compte.

02/09/2022

Pendant l’été 2022, la CNIL a prononcé des sanctions pécuniaires à l’encontre de deux entreprises.

Le 7 juillet : 175 000 euros à l’encontre de Ubeeqo pour :
● Absence de minimisation des données
● Durée de conservation excessive des données
● Manquement à l’obligation d’information des personnes

Le 3 août : 600 000 euros à l’encontre d’Accor pour :
● Défaut de consentement à la prospection commerciale
● Manquement à l’obligation d’information des personnes
● Non respect du droit d’accès et d’opposition
● Défaut de sécurité des données

L’occasion pour NEXT de vous proposer son tableau de bord à jour des sanctions CNIL.