22/12/2022

Les GAFAM « irlandaises » n’échappent pas à la juridiction de la CNIL en matière de cookies.

La CNIL a constaté que des cookies étaient déposés sur le terminal des utilisateurs qui se rendaient sur le site web « bing », sans qu’ils aient donné leur consentement préalable. Ces cookies poursuivaient notamment un objectif publicitaire.

En outre, le site proposait un bouton permettant d’accepter l’ensemble des cookies sans proposer de solution équivalente pour permettre à l’internaute de les refuser aussi facilement. Alors qu’un seul clic suffisait pour les accepter, il en fallait deux pour les refuser. Selon la CNIL, ce système revient à décourager les utilisateurs de refuser et les incite à privilégier la facilité du bouton « accepter ».

La CNIL constate ainsi une atteinte au principe de libre consentement des internautes tel que prévu au RGPD.

Le CNIL relève que le mécanisme dit du « Guichet Unique » prévu à l’article 56 du RGPD ne lui ôte pas sa compétence s’agissant des règles en matière de cookies qui relèvent de la directive 2002/58/CE du 12 juillet 2002 ePrivacy.

En conséquence, la CNIL, dans sa délibération du 19 décembre 2022, prononce à l’encontre de la société Microsoft Ireland Operations Ltd d’une sanction de 60 millions d’euros à laquelle s’ajoute une injonction sous astreinte de 60 000 euros par jour de retard, dans un délai de trois mois, de recueillir le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies à finalité publicitaire.

22/11/2022

Dans sa délibération du 10 novembre 2022, la CNIL a prononcé une amende de 800 000 euros à l’encontre de la société DISCORD Inc, laquelle ne dispose pas d'établissement en Europe.La CNIL a considéré que cette société, qui propose un service de messagerie instantanée et de discussion via microphone et/ou webcam, avait manqué à plusieurs obligations prévues par le RGPD.

● Sur la durée de conservation et l’obligation d’information à ce sujet, DISCORD a indiqué ne pas avoir de politique écrite. Or, la CNIL a constaté que plusieurs millions de comptes inactifs depuis plus de trois ans étaient toujours dans la base de données de DISCORD. DISCORD s’est mis en conformité dans le cours de la procédure.

● La CNIL constate également un manquement à l’obligation de garantir la protection des données par défaut. En effet, le fait de cliquer sur « X », censé fermer l’application sur Windows, ne faisait en réalité que la mettre en arrière-plan. Cela pouvait conduire à ce que des utilisateurs soient entendus par les autres membres présents dans le salon vocal alors qu’ils pensaient l’avoir quitté. Dans le cadre de la procédure, la société a mis en place une fenêtre « pop-up » pour alerter les utilisateurs.

● Par ailleurs, la création d’un compte nécessitait de choisir un mot de passe pour lequel n’étaient imposés que six caractères incluant lettres et chiffres. Pour la CNIL, cette politique ne permettait pas de garantir la sécurité des comptes des utilisateurs. Désormais, la société exige un mot de passe comportant huit caractères, avec au moins trois des quatre catégories de caractères et la réalisation d’un captcha après dix tentatives de connexion non abouties.

● Enfin, la CNIL constate qu’aucune analyse d’impact n’a été réalisée alors que la société traite un volume important de données, notamment d’utilisateurs mineurs.

Compte tenu des manquements retenus, du nombre de personnes concernées et en tenant compte des efforts réalisés par DISCORD pour se mettre en conformité et du fait que son modèle n’est pas fondé sur l’exploitation des données, la CNIL prononce une amende de 800 000 euros.

24/10/2022

La CNIL sanctionne la société américaine CLEARVIEW AI d’une amende de 20 millions d’euros dans une délibération du 17 octobre 2022.

La société CLEARVIEW AI collecte des photographies provenant de sites web, y compris les réseaux sociaux, consultables sans connexion à un compte. Plus de 20 milliards d’images ont été extraites dans le monde et la société commercialise l’accès à sa base qui permet la recherche à l’aide d’une photographie grâce à une technologie de reconnaissance faciale utilisant des données biométriques.

Saisie de plaintes, la CNIL a mis en demeure la société de cesser la collecte et l’usage des données des personnes se trouvant en France effectués sans base légale, de faciliter l’exercice des droits des personnes concernées et de faire droit à leur demande d’accès et d’effacement.

La CNIL a constaté que CLEARVIEW AI :
● ne recueillait pas le consentement des personnes concernées,
● ne disposait pas d’un intérêt légitime à collecter et utiliser ces données au regard du caractère particulièrement intrusif et massif du procédé de collecte des images (d’autant plus que les personnes ne pouvaient s’attendre à ce que leurs images soient utilisées pour alimenter un système de reconnaissance faciale),
● ne facilitait pas l’exercice du droit d’accès des personnes (limitation aux données des 12 derniers mois précédant la demandant, possibilité d’exercer ce droit seulement deux fois par an, en ne répondant que rarement au demandes),
● ne répondait pas, ou de manière partielle, aux demandes d’accès et d’effacement,
● n'a pas coopéré avec les services de la CNIL ; la société n’ayant présenté aucune observation en défense.

La formation restreinte de la CNIL a prononcé une sanction de 20 millions d’euros assortie d’une injonction de cesser, dans un délai de deux mois, la collecte et le traitement des données des personnes concernées assortie d’une astreinte de 100 000 euros par jour de retard au-delà de ce délai.

Reste à savoir comment la CNIL fera exécuter cette décision à l’encontre d’une société américaine, qui traite aux USA des données accessibles aux USA, avec des moyens situés aux USA…

14/09/2022

Nouvelle sanction de la CNIL. Le 8 septembre 2022, GIE INFOGREFFE est condamné à une amende de 250 000 euros. Deux manquements au RGPD lui sont reprochés.
● La conservation des données. Bien que sa Charte de confidentialité prévoie la conservation des données personnelles durant 36 mois à compter de la dernière commande, 25% des comptes ont été conservés au-delà sans être anonymisés et aucune procédure de suppression automatique n’a été mise en place.
● La sécurité des données. La CNIL, en référence aux recommandations de l’ANSSI, relève la robustesse insuffisante des mots de passe face à des attaques par « force brute » (8 caractères sans critère de complexité ni mesure de sécurité complémentaire), ainsi que leur conservation et transmission en clair par courriel, présentant un risque de captation par des tiers de données immédiatement utilisables. La CNIL reproche aussi l’absence de notification à l’utilisateur de la modification de son mot de passe, et donc d’une éventuelle tentative d’usurpation de son compte.

02/09/2022

Pendant l’été 2022, la CNIL a prononcé des sanctions pécuniaires à l’encontre de deux entreprises.

Le 7 juillet : 175 000 euros à l’encontre de Ubeeqo pour :
● Absence de minimisation des données
● Durée de conservation excessive des données
● Manquement à l’obligation d’information des personnes

Le 3 août : 600 000 euros à l’encontre d’Accor pour :
● Défaut de consentement à la prospection commerciale
● Manquement à l’obligation d’information des personnes
● Non respect du droit d’accès et d’opposition
● Défaut de sécurité des données

L’occasion pour NEXT de vous proposer son tableau de bord à jour des sanctions CNIL.

31/08/2022

Le Conseil d’Etat confirme qu’il n’y a pas besoin de notifier à la CNIL une fuite de données que la CNIL vous notifie…

Après signalement sur un site d’information en ligne d’images médicales de patients librement accessibles sur des serveurs informatiques , accompagnées des noms, prénoms, dates de naissances, dates de réalisation de l’examen et noms des praticiens concernés, la CNIL a procédé à des contrôles en ligne.

La CNIL a ensuite avisé un chirurgien orthopédiste dont les données des patients étaient ainsi divulguées et du contrôle opéré.

Deux manquements au RGPD ont été retenus à son endroit par la CNIL :

● Elle reprochait au responsable de traitement de ne pas l’avoir notifié de la violation de données à caractère personnel. Dans sa décision du 22 juillet 2022, la Haute juridiction administrative ramène la CNIL à la raison en lui indiquant qu’elle ne peut exiger du responsable de traitement de lui notifier une violation de données… dont elle a elle-même informé le responsable de traitement par courriel.

● Pour le reste, le Conseil d’État confirme le caractère défaillant de l’installation informatique du praticien, en raison de la configuration de son réseau informatique interne et de l’absence de chiffrement des données médicales devant recevoir des mesures de sécurité renforcées.

La sanction prononcée par la CNIL a été réduite de 3000 à 2500 euros par le Conseil d’État dans son arrêt du 22 juillet 2022.

22/07/2022

La CNIL a prononcé dans une décision du 7 juillet 2022 une amende de 175 000 euros à l’encontre de la société Ubeeqo International ayant pour activité la location de véhicules pour une courte durée. Divers manquements lui sont reprochés en tant que responsable de traitement :

● Minimisation des données : la géolocalisation du véhicule tous les 500 mètres, lorsque le moteur s’allume et se coupe ou lorsque que les portes s’ouvrent et se ferment, est disproportionnée au regard des finalités présentées. Pour la gestion du parc de véhicules, la simple géolocalisation tirée du démarrage, de l’extinction du moteur ou de l’appel du client pouvait suffire.
En cas de vol ou d’accident, la géolocalisation du véhicule doit être rendue nécessaire par un fait générateur, respectivement une suspicion de vol ou une demande d’assistance.

● Conservation des données : la CNIL reproche à la société de prendre en compte la fin de la relation commerciale pour faire débuter la durée de conservation de 3 ans, alors que les données collectées sont liées à chaque contrat de location d’un véhicule. La politique de conservation des données n’était d’ailleurs pas effectivement respectée, des données relatives à des utilisateurs inactifs depuis plus de 8 ans étant stockées. Au titre de procédures liées au vol d’un véhicule ou à un accident, l’autorité admet le stockage de certaines données pour une durée adéquate.

● Information des personnes : le formulaire d’inscription adressé aux consommateurs renvoyait aux conditions générales et ne permettait pas un accès direct aux informations obligatoires relatives à la protection des données.

20/07/2022

La CNIL et ses homologues européennes se prononcent sur le Data Governance Act (DGA) et le Data Act. 

Dans un avis publié le 13 juillet 2022, la CNIL et d'autres autorités de protection des données se sont prononcées sur deux textes européens dont l’ambition est la création d’un marché unique de la donnée : le règlement n°2022/868 dit Data Governance Act (DGA) adopté en mai 2022 et la proposition de règlement dit Data Act présentée par la Commission européenne en février 2022. 

Le DGA veut offrir un cadre juridique propice à la réutilisation des données du secteur public par l’élaboration d’un mécanisme d’autorisation et l’interdiction de tout accord d’exclusivité. Le partage des données sera facilité par la confiance renforcée à l’égard de prestataires de services de partage de données – « structures d’intermédiation » – soumis à des obligations de notification et de neutralité, et d’organisations collectant des données pour l’intérêt général devant s’enregistrer comme des « organisations altruistes » à l’issue d’une procédure. 

Le Data Act vise une meilleure répartition des données organisée par des conditions équitables, moyennant une compensation raisonnable et dénuées de toute clause abusive. L’utilisation des données doit être facilitée pour les utilisateurs et les tiers par les fabricants et concepteurs dont les produits génèrent des données, comme pour les organismes publics en cas de besoins exceptionnels. Le Data Act encourage l’interopérabilité et le changement de fournisseurs de services de traitement des données par la suppression de tout obstacle dont les frais. Le texte se prémunit contre les accès illicites hors de l’Union européenne. 

Le DGA adopté en mai 2022 sera applicable en septembre 2023, tandis que la proposition du Data Act présentée par la Commission européenne en février 2022 devra encore faire l’objet d’une procédure d’adoption. 

01/07/2022

Quels manquements sont retenus par la CNIL pour la sanction de 1 million d’euros prononcée à l’égard de TOTAL ENERGIES ?

La procédure a été diligentée à l’issue de la réception de 27 plaintes par la CNIL entre octobre 2019 et juillet 2020 et un contrôle en ligne du site internet concerné permettant à des consommateurs de renseigner des formulaires pour obtention de devis et pour la souscription d’abonnements en ligne.

Les griefs retenus sont les suivants:
● OPT-OUT: Les coordonnées des prospects ont été recueillies via un formulaire en ligne de souscription ne permettant pas de s’opposer au traitement de leurs données à des fins de prospection commerciale. Des courriels de prospection étaient également adressés à des prospects qui avaient seulement débuté une souscription sans la finaliser.
● INFORMATION : Lors de campagnes d’appels téléphoniques ultérieures, l’information délivrée aux prospects sur la protection de leurs données par la société était incomplète, sans que leur soit offerte la possibilité d’accéder à une information plus complète.
● EXERCICE DES DROITS : Les demandes d’exercice de leurs droits par les personnes concernées n’ont pas été traitées dans le temps imparti et l’ont souvent été après plusieurs relances de la personne concernée, ou dans le cadre de la procédure de contrôle.
● CIRCONSTANCES NON ATTENUANTES : Le responsable de traitement ne peut pas se prévaloir de difficultés dans l’obtention de l’information auprès de ses partenaires commerciaux ou d’erreurs humaines de ses équipes pour justifier son absence de réponse aux personnes concernées, auxquelles elle doit garantir un droit d’accès à leurs données.
● DROIT D’OPPOSITION : Il n’a pas été apporté de réponse satisfaisante aux utilisateurs faisant état de leurs difficultés dans l’exercice de leur droit d’opposition à la prospection commerciale
● MISE EN CONFORMITE ULTERIEURE : quand bien même des mesures correctives ont été prises par la société au cours de la procédure de contrôle, la CNIL a constaté que les manquements étaient constitués.

Conclusions : - les consommateurs doivent pouvoir dire NON à de la prospection commerciale ; - il convient de mettre en oeuvre des procédures de prospection conformes à la réglementation applicable avant que des plaintes soient adressées à la CNIL et des contrôles diligentés.

21/06/2022

« Transmission de fichiers de donateurs ou de contacts entre associations et fondations » - Le nouveau guide de la CNIL permet de démystifier deux fausses croyances qui ont la vie dure depuis l'entrée en vigueur du RGPD :

● Le recueil du consentement n’est pas un préalable nécessaire à tout traitement de données personnelles. La CNIL indique que des associations peuvent se transmettre entre elles des fichiers de donateurs ou de contact pour des finalités de prospection caritative. Il faudra que la collecte des données ait, bien sûr, été licite et loyale et que les règles suivantes soient respectées : 1 La personne concernée doit avoir été dument informée de l’utilisation de ses données à des fins de prospection caritative. 2 La personne concernée doit avoir été informée que ses données pourront être transmises à des partenaires du secteur caritatif à des fins de prospection caritative. 3 Chaque personne concernée doit être en mesure de s’opposer préalablement à chacune de ces utilisations (optout) puis à tout moment lors de chaque contact (lien de désabonnement)

● Une transmission de données par un opérateur à un autre n'implique pas que l’un soit qualifié « sous-traitant » de l’autre. Un contrat de sous-traitance de données n’est pas à mettre en place dans tous les cas de transferts de données. Si une association A communique des données à une association B, pour que B puisse à son tour faire de la prospection caritative au nom et pour le compte de B, alors il s’agit d’un transfert de responsable de traitement à responsable de traitement, chacune étant responsable de ses propres traitements.

●  Ces règles ne sont pas applicables si la prospection est commerciale, et tout prestataire technique traitant des données pour le compte de l’association sera bien, quant à lui, un sous-traitant !