26/01/2024

Contrôle de l’activité des salariés. Retour sur la lourde sanction prononcée par la CNIL contre Amazon France Logistique (AFL) le 27 décembre 2023 pour les dispositifs de surveillance mis en œuvre dans ses entrepôts en France. Lors de ses contrôles, la CNIL a relevé que chaque salarié au sein des entrepôts était équipé d’un boîtier sur lequel il devait s’identifier et au moyen duquel il devait scanner des codes-barres des étiquettes pour chaque action accomplie : "réception" de colis, "rangement", "prélèvement" et "emballage".

La CNIL relève que, via ce dispositif, AFL "collecte en continu des données relatives à l’activité des salariés" et que "l’ensemble de ces données d’activité (…) sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité."

La CNIL relève en particulier l’illicéité de 3 indicateurs mesurant en continu : ● La vitesse d’exécution des tâches à la seconde près en signalant "le rangement d’un article dans les 1,25 seconde du rangement de l’article précédent" et "en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde" ("Stow Machine") ;
● Les temps de latence supérieurs à 10 min d’inactivité sur une tâche dépourvus de justification apparente ("Idle times") ;
● Les temps d’inactivité inférieurs à 10 min "à des moments critiques de la journée", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

L’ensemble de ces données étaient accessibles aux supérieurs hiérarchiques en temps réel et pendant 31 jours. La CNIL constate également la non-conformité de traitements de vidéosurveillance.

La CNIL relève ainsi de nombreux manquements :

● Absence de base légale du traitement : AFL ne peut invoquer son intérêt légitime à mettre en œuvre ces traitements pour des finalités de gestion des commandes en temps réel, de planification du travail et d’évaluation des performances. La CNIL considère qu’il est porté une atteinte disproportionnée aux droits des personnes concernées : violation de la vie privée des salariés, absence de conditions de travail qui respectent leur sécurité, leur santé et leur dignité.
● Manquement au principe de minimisation des traitements
● Manquement à l’obligation d’information les personnes
● Manquement à la sécurité des données

La CNIL conclut que "ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société" et décide de prononcer une amende de 32 millions d’euros, soit 3% du chiffre d’affaires réalisé par la société.

23/01/2024

La CNIL a rendu public une sanction de 10 millions d’euros prononcée le 29 décembre 2023 à l’encontre de YAHOO EMEA LIMITED (société Irlandaise) pour des violations de la réglementation française.

La CNIL retient sa compétence pour sanctionner YAHOO EMEA LIMITED.

● La CNIL constate d’abord la présence d’un établissement en France de YAHOO EMEA LTD, au sens de l’article 3 de la loi du 6 janvier 1978, à savoir a société YAHOO FRANCE. Plusieurs critères sont retenus :
- Selon ses statuts, YAHOO FRANCE a notamment pour objet « la promotion sur le marché français des produits et solutions publicitaires de YAHOO » ;
- YAHOO FRANCE agit dans le cadre d’un contrat de prestation de service pour YAHOO EMEA LIMITED afin de promouvoir ses produits auprès de ses clients français ;
- YAHOO FRANCE appartient au même groupe que YAHOO EMEA LIMITED ;
- La présidence de YAHOO FRANCE est exercée par la société mère de YAHOO EMEA LIMITED ;
- YAHOO FRANCE refacture à YAHOO EMEA LIMITED ses coûts de fonctionnement et lui rend des comptes.

● La CNIL retient ensuite que le seul fait, pour YAHOO FRANCE, de promouvoir sur le marché français les produits commercialisés par YAHOO EMEA LIMITED est suffisant pour considérer que YAHOO FRANCE traite les données dans le cadre de ses activités sur le territoire français.

● Au final, il est reproché à YAHOO EMEA LIMITED de ne pas respecter l’article 82 de la loi du 6 janvier 1978 en déposant plus d’une vingtaine de cookies publicitaires sans le consentement des visiteurs de Yahoo.com et Yahoo Mail, et ce peu important qu’il s’agisse de cookies tiers. Il est également reproché à la société de contraindre l’utilisateur à ne pas retirer son consentement, car s’il le faisait, il serait alors privé d’accès à sa messagerie électronique. La CNIL affirme qu’à supposer la mise en place d’un « cookie wall » valable, il est obligatoire de proposer une solution alternative afin de permettre à l’internaute de retirer son consentement.

12/01/2024

La sanction de la CNIL prononcée le 29 décembre 2023 et qui vient d’être rendue public peut faire figure de cas d’école.

Une société, distributrice de monnaie électronique, est condamnée à une sanction de 105 000 euros pour des manquements qui peuvent être évités simplement en s'engageant dans une démarche de mise en conformité RGPD :

● Conservation des données pour une durée illimitée : en dépit des déclarations du responsable de traitement, la CNIL a constaté que les données étaient conservées au-delà des 10 et 5 ans déclarés, alors qu’il s’agissait parfois de données telles que des copies de cartes d’identité ou des coordonnées bancaires
● Absence d’information des personnes conformément à l’article 13 du RGPD : la politique de protection des données était rédigée en Anglais alors que le service s’adressait à des francophones
● Défaut de sécurité des données : des logins/password étaient conservés en clair dans les bases de données de la société ou protégé par une fonction de hachage SHA-1 obsolète. En outre, le niveau de complexité exigé des mots de passe n’était pas suffisant
● Dépôt de cookies sans le recueil du consentement préalable des personnes

La mise en conformité RGPD sur ces éléments essentiels coûte toujours moins que la sanction.

07/12/2023

La Cour de Justice de l'Union Européenne vient de rendre deux arrêts majeurs d’interprétation du RGPD.

1️⃣Pour ce qui concerne les sanctions prononcées par les autorités nationales de contrôle, comme la CNIL, la CJUE décide, dans deux arrêts du 5 décembre 2023, qu’une sanction ne peut être prononcée à l’encontre d’un responsable de traitement que s’il est établi que celui-ci a commis, délibérément ou par négligence, une violation du RGPD. Autrement dit, pour être sanctionné, une faute doit être démontrée à l’encontre du responsable de traitement. Il ne peut y avoir de sanction automatique au simple constat d’un manquement au RGPD.

➡️Ceci est de nature à éloigner le risque de sanction en cas de fuites de données personnelles à la suite d’une cyberattaque lorsque le responsable de traitement dispose d’un système d’information à l’état de l’art en matière de sécurité.

2️⃣En ce qui concerne la qualité de responsable de traitement, dans son arrêt C-683/21, la CJUE pose le principe selon lequel peut être considérée comme étant responsable du traitement une entité qui a chargé une entreprise de développer une application informatique mobile même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de données par cette application. Une entité est responsable, non seulement pour tout traitement de données à caractère personnel qu’elle effectue elle-même, mais également pour celui qui est réalisé pour son compte dès lors qu’elle a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.

➡️Ainsi, même si une entité ne traite jamais de données personnelles, elle peut être responsable de traitement. Une manière pour la CJUE d’affirmer qu’une entité ne peut pas se décharger de sa responsabilité au regard du RGPD en déléguant l’entièreté des opérations de traitement à un tiers et ne bénéficiant que des résultats de ces traitements, alors même que ces résultats ne contiennent pas de données personnelles.

Arrêts du 5 décembre 2023, en Grande chambre : C-683/21 et C‑807/21

04/10/2023

Depuis le 19 juillet 2023, le nouveau cadre juridique intitulé EU-US Data Privacy Framework permet de nouveau de transférer des données personnelles depuis l’Europe vers les Etats-Unis.

Les entreprises américaines qui participaient déjà au Privacy Shield (annulé par la CJUE dans sa décision du 16 juillet 2020) ont jusqu’au 10 octobre 2023 pour mettre à jour leur « auto-certification » et participer au EU-US Data Privacy Framework.

Elles sont déjà 2 518 enregistrées sur le site du département du commerce américain, dont Meta, Microsoft, Amazon, Google mais pas (encore) Apple.

29/09/2023

Une amende de 200 000 euros a été prononcée par la CNIL, dans sa délibération du 18 septembre 2023,  à l’encontre d’une société de transport et de logistique en raison d’une collecte excessive de données concernant ses salariés.

La filiale d’une société basée à Hong-Kong avait demandé à ses salariés de fournir les informations suivantes : ethnie, affiliation à un parti politique, situation familiale, identité des parents et des éventuels frères, sœurs et enfants, date et lieu de naissance, numéro de téléphone, employeur, fonctions et situation maritale de ces personnes.

● La collecte de ces données n’est pas justifiée par le besoin de prévenir les proches en cas d’urgence et viole le principe de minimisation.

● En outre, certaines de ces données sont « sensibles », de sorte que leur collecte n’était possible qu’avec le consentement libre et éclairé des salariés.

● Enfin, la CNIL a constaté lors d’un contrôle sur place que des extraits de casier judiciaire B3 étaient conservés dans les dossiers individuels des salariés par l’employeur. Sur ce point, la CNIL considère que si l’employeur peut « consulter », dans certaines circonstances, le casier judiciaire il ne peut pas en conserver un extrait.