31/12/2021

Le 31 décembre 2021, la CNIL a condamné la société Facebook Ireland Limited au paiement de la somme de 60 millions d’euros pour manquement à l’article 82 de la loi « Informatiques et Libertés » qui impose l’information claire et complète des utilisateurs et leur consentement avant le dépôt de certains cookies. Le même jour, et sur le même fondement, la CNIL a condamné les sociétés Google LLC et Google Ireland Limited, responsables conjointement, au paiement des sommes respectives de 90 millions et 60 millions d’euros. La CNIL a assorti ces deux décisions d’une astreinte de 100 000 euros par jour de retard en cas d’absence de mise en conformité à l’issue d’un délai de trois mois.

La leçon est très claire : les utilisateurs doivent pouvoir refuser les cookies aussi facilement que de les accepter.

1. La CNIL estime, concernant Facebook, que le bouton « Gérer les paramètres de données », suivi d’un clic supplémentaire pour parvenir à refuser les cookies, ne répond pas à cette exigence face au bouton unique « Tout accepter ».

2. Elle estime également, concernant Google, que le bouton « Personnaliser », qui s’accompagne de quatre actions supplémentaires pour parvenir à refuser les cookies, ne répond pas davantage à cette exigence.

3. La CNIL recommande deux boutons présentés au même niveau et sur le même format, par exemple : Tout accepter / Tout refuser Autoriser / Interdire Consentir / Ne pas consentir

Cette décision est également l’occasion pour la CNIL d’affirmer sa compétence matérielle et territoriale pour traiter des opérations liées aux cookies déposés par une société sur les terminaux des utilisateurs situés en France.

28/12/2021

La société Free Mobile a été condamnée par la CNIL le 28 décembre 2021 à une sanction pécuniaire de 300 000 euros pour des manquements aux droits d’accès, de rectification et d’opposition à la suite de plaintes déposées en 2018 et 2019 par 19 personnes.

• S’agissant du droit d’accès, la CNIL retient que 2 personnes n’ont pas eu de réponse à leur demande.

• S’agissant du droit d’opposition, la CNIL retient que 5 personnes n’ont pas reçu de réponse ou de réponse satisfaisante à leur demande.

Il importe peu pour caractériser le manquement au #RGPD, selon la CNIL, qu’au regard des 600 demandes par an d’accès ou d’opposition reçues par Free Mobile, les manquements retenus ne concernent que quelques personnes. De même, le fait que les demandes puissent être adressées au mauvais service n'est pas retenu par la CNIL pour exonérer Free Mobile.

A retenir également : 1. Pour la première fois, la CNIL fonde une sanction sur un manquement au principe de #Privacybydesign : le système de facturation de Free devait permettre la suppression de la mention des numéros de lignes résiliées sur les factures adressées. 2. La CNIL rappelle à Free que le fait d’envoyer par courriel et en clair des mots de passe définitifs des utilisateurs constitue un manquement à l’obligation de sécurité des données.

28/12/2021

Le 28 décembre 2021, la CNIL a sanctionné d’une amende de 180 000 euros un prestataire de service de paiement à la suite d’un risque de violation de données personnelles pouvant concerner 12 millions de personnes en Europe. Il y a plusieurs enseignements à tirer de cette décision :

1. Les entreprises doivent veiller à la sécurité de leurs plateformes de test comme de leurs plateformes de production. En effet, l’entreprise avait laissé pendant 5 ans en libre accès sur un serveur, accessible sur internet par son adresse IP et son numéro de port, des données personnelles, notamment des données bancaires dont le n°IBAN, qu’elle avait stockées pour réaliser des opérations de test. La CNIL rappelle les mesures qu’il convient de prendre pour éviter une telle situation, notamment : Restrictions d’accès logique aux seules personnes autorisées ; Système de journalisation des accès au serveur, permettant d’identifier des anomalies ; Chiffrement ou pseudonymisation des données.

2. Il vaut mieux tenter d’informer les personnes concernées par la violation de données, même s’il y en a beaucoup !

3. Enfin, la CNIL rappelle que les contrats avec les sous-traitants de données personnelles doivent respecter les dispositions de l’article 28 du RGPD. Ce n’est pas facultatif !

15/12/2021

La CNIL a publié son nouveau guide du développeur. NEXT avocats a mis en place une méthodologie d’élaboration de votre cahier des charges Privacy By Design. Détermination de la base légale d’un traitement, identification des données qui doivent ou qui peuvent être traitées en fonction de cette base légale, définition des durées de conservation, etc : c’est ce travail juridique que font nos avocats aux côtés des développeurs lors de la conception ou de l’évolution d’une application. Pour en savoir plus, vous pouvez nous appeler ou télécharger notre présentation.

09/11/2021

La RATP a été condamnée par la CNIL à 400 000 euros d’amende dans sa décision du 29 octobre 2021. Un « cas d’école » sur la complexité qu’il y a à respecter le RGPD lorsque le système d'information de l’entreprise ne prend pas correctement en compte les contraintes du "Privacy-by-design". Pour en savoir plus, notre résumé est ici.

06/11/2021

Pour que la technique vous aide à respecter le RGPD : la méthodologie NEXT avocats ➡️ à télécharger ici.

02/10/2021

Il est temps de faire du privacy by design le sujet majeur de votre conformité RGPD. Ce n'est qu'en appliquant ce principe que les entreprises sortiront d'une vision « paperassière » du RGPD pour entrer dans une ère où l'outil informatique les aidera à être conformes. Lire la Chronique d'Etienne Papin sur Le Monde Informatique.

2/09/2021

Le 2 septembre 2021, la Commission irlandaise à la protection des données (Data Protection Commission Ireland) a prononcé une sanction de 225 millions d’euros à l’encontre de WhatsApp Ireland Ltd pour manquements au RGPD. Il est notamment reproché à WhatsApp 1 de ne pas avoir détaillé la manière avec laquelle les données des utilisateurs sont collectées et transférées vers Facebook (violation de l’art. 5) ; 2 de ne pas avoir fourni les informations sur les intérêts légitimes poursuivis d’une manière à ce que chacun puisse les comprendre (violation de l’art. 13) ; 3 de ne pas avoir informé les non-utilisateurs de son service qu’elle peut détenir en clair certaines données les concernant (violation de l’art. 14). Cette sanction a été prise à la suite de la décision contraignante de l’European Data Protection Board du 28 juillet 2021 ayant obligé le régulateur irlandais à augmenter sa sanction.

15/06/2021

Les clauses contractuelles nouvelles sont arrivées. Ces clauses contractuelles types ont été adoptées par la Commission européenne le 4 juin 2021. Il s’agit d’un instrument de conformité pour réaliser des transferts de données personnelles hors de l’Union européenne. Elles soulèvent souvent plus de questions qu’elle n’en résolvent sur la capacité des entreprises à utiliser des services Saas / Cloud de prestataires tiers à l’Union. Nous vous proposons une introduction à ces nouvelles CCT.