25/04/2022

Par une délibération du 15 avril 2022, la CNIL a prononcé une sanction de 1 500 000 euros à l’encontre d’une société commercialisant des solutions logicielles pour des laboratoires d’analyses médicales. La CNIL a retenu « de nombreux manquements techniques et organisationnels en matière de sécurité » dont :

• l’absence de procédure spécifique s’agissant des opérations de migration de données
• l’absence de chiffrement des données à caractère personnel stockées
• l’absence d’effacement automatique des données après migration
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés
• l’absence de procédure de supervision et de remontée d’alertes de sécurité

La CNIL a également retenu des manquements aux obligations d’encadrer les traitements effectués par un sous-traitant par un acte juridique formalisé et de ne traiter les données que sur instruction du responsable de traitement.

Notre récapitulatif des sanctions prononcées par la CNIL.

14/04/2022

Le décret n° 2022-517 du 8 avril 2022 est venu préciser la procédure de sanction devant la CNIL pour tenir compte notamment de la procédure « simplifiée » introduite par la loi du 24 janvier 2022.

Vous en saurez plus en un clin d’oeil avec notre présentation.

A souligner : le rapporteur de la CNIL n’est pas obligé d’entendre le mis en cause dans la procédure normale alors que c’est obligatoire dans la procédure simplifiée. Incongruité du texte lorsque l’on sait l’importance du rôle du rapporteur dans la prise de décision d’une sanction par la CNIL.

08/04/2022

Trans-Atlantic Privacy Framework : beaucoup de bruit pour rien, nous dit le European Data Protection Board (Comité européen de la protection des données). "À ce stade, cette annonce ne constitue pas un cadre juridique sur lequel les exportateurs de données peuvent fonder leurs transferts de données vers les États-Unis", rappelle l'EDPB. L'EDPB a annoncé que, conformément aux exigences du RGPD, il examinera l’accord de principe relatif aux transferts transatlantiques des données personnelles trouvé par l’UE et les États-Unis fin mars.

Il s’agira de vérifier si cet accord prend réellement en compte les problématiques soulevées par la Cour de Justice de l’Union européenne à l’occasion de sa décision Schrems II et si les autorités américaines offrent réellement un niveau de protection adéquat des données.

L’EDPB vérifiera notamment si :
• La collecte de données personnelles à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionnel ;
• Le droit des personnes à un recours effectif et à un procès équitable est respecté ;
• Toute nouvelle autorité incluse dans le dispositif a accès aux informations, y compris aux données personnelles, dans l’exercice de sa mission et peut adopter des décisions contraignantes pour les services de renseignement ;
• Il existe un recours judiciaire contre les décisions ou l’inaction de l’autorité dont il est question.

28/03/2022

Jamais 2 sans 3. Après le Safe Harbour et le Privacy Shield, voici le « Trans-Atlantic Data Privacy Framework ». La Commission européenne a déclaré qu’elle avait trouvé un accord avec les États-Unis sur le transfert des données personnelles vers les USA, répondant aux problématiques soulevées par la Cour de justice de l’Union européenne à l’occasion de l’arrêt dit « Schrems II » du 16 juillet 2020. L’objectif de cet accord sera de permettre la circulation libre et sécurisée des données européennes vers les États-Unis. Les dispositions précises n’ont pas encore été rendues publiques, mais la Commission européenne a présenté les principes clés qui régiront l’accord. Ainsi :

• De nouvelles règles limiteront l’accès aux données par les autorités américaines à ce qui est nécessaire et proportionné pour la protection de la sécurité nationale ;
• Des obligations strictes seront imposées aux entreprises qui traitent des données transférées aux États-Unis ;
• Des mécanismes spécifiques de plaintes, de suivi et de révision seront mis en place.

09/02/2022

Agissant comme autorité « chef de file », l’autorité belge de protection des données personnelles a rendu le 2 février 2022 une décision affectant de manière importante la publicité programmatique en ligne. La "CNIL" Belge sanctionne l’IAB Europe d’une amende de 250 000 euros. Elle considère notamment que les Consent Management Platforms (CMP) qui reposent sur les spécifications de l’IAB ne sont pas conformes au RGPD, ainsi que plus généralement toute l’infrastructure de recueil du consentement des internautes qui utilise OpenRTB et le Transparency and Consent Framework. L’IAB Europe doit présenter un plan d’action pour une mise en conformité dans un délai maximum de 6 mois.

➡️ De nombreux sites internet en Europe qui utilisent une CMP mettant en oeuvre les standards de l’IAB sont concernés par cette décision et doivent revoir leurs pratiques. Pour lire la décision.

28/01/2022

Avec la nouvelle procédure simplifiée de sanction, créée par une loi du 24 janvier 2022, les "petits" manquements au RGPD vont être plus facilement et rapidement sanctionnés par la CNIL. Les sanctions encourues peuvent aller jusqu'à 20 000 euros. Voici une présentation des différences entre la procédure normale et la nouvelle procédure simplifiée de sanction.

20/01/2022

La décision du Contrôleur européen de la protection des données (EDPS) du 5 janvier 2022 remet en question l’utilisation de Google Analytics et de Stripe, services largement utilisés en Europe. L'EDPS a, en effet, ordonné au Parlement européen de se conformer pour ses traitements à ses obligations en matière de protection des données personnelles:

1. Le site internet du centre de test Covid-19 du Parlement européen mettait en place des cookies Google Analytics et Stripe (bien que la présence des cookies Stripe résultait d’une erreur du développeur du site en question).

L’EDPS retient qu’un transfert de données personnelles de l’Union européenne vers les Etats-Unis a bien eu lieu par l’utilisation de ces cookies. L’EDPS souligne que le Parlement européen n’avait pas mis en place de mesures contractuelles, techniques ou organisationnelles garantissant un niveau de protection des données équivalent à celui garanti dans l’Union européenne, tel qu’il aurait dû le faire en cas de transfert vers un pays tiers. L'EDPS ne précise pas quelles mesures...

2. L’EDPS retient que les bannières de cookies proposées par le Parlement européen ne permettaient pas aux utilisateurs de donner un consentement libre et éclairé, et ne leur donnent pas une information transparente relative au traitement des données personnelles. L’EDPS précise à cette occasion que le consentement des utilisateurs est exigé même pour les cookies nécessaires aux mesures d’audience… ce qui n’est pas en ligne avec la doctrine de la CNIL sur ce point !

14/02/2022

La CNIL projette de faire évoluer ses méthodologies de référence (MR) 005 et 006 pour la recherche en santé. Les projets de MR sont soumis à consultation publique jusqu’au 18 février 2022. Que prévoient les nouvelles versions envisagées ?

● L’extension du champ d’application des MR : Les MR005 et MR006 s’appliquent désormais à tous les responsables de traitement justifiant de l’exécution d’une mission publique (MR005) ou la poursuite d’un intérêt légitime (MR006), à l’exception des assureurs et mutuelles.

● L’extension des données accessibles et de leurs modalités d’accès : Le périmètre des données concernées par les traitements est étendu aux données issues à l’ensemble du SNDS (Système national des données de santé) et aux RPU (Résumé de passage aux urgences).

Les modalités d’accès aux données sont également étendues : il serait désormais possible de passer par le portail de la CNAM, de l’ATIH ou du CASD, mais aussi par une « bulle sécurisée » (entendue comme une infrastructure hébergeant un système d’information mettant à disposition les données relatives au SNDS).

● La réduction des délais : La profondeur historique des données traitées est réduite à cinq ans, tandis que la durée d’accès et de conservation des données traitées est réduite à 3 ans maximum à compter de l’accès aux données.

● En outre, il devient désormais obligatoire d’obtenir un avis favorable du CESREES préalablement à la mise en œuvre des traitements.

31/12/2021

Le 31 décembre 2021, la CNIL a condamné la société Facebook Ireland Limited au paiement de la somme de 60 millions d’euros pour manquement à l’article 82 de la loi « Informatiques et Libertés » qui impose l’information claire et complète des utilisateurs et leur consentement avant le dépôt de certains cookies. Le même jour, et sur le même fondement, la CNIL a condamné les sociétés Google LLC et Google Ireland Limited, responsables conjointement, au paiement des sommes respectives de 90 millions et 60 millions d’euros. La CNIL a assorti ces deux décisions d’une astreinte de 100 000 euros par jour de retard en cas d’absence de mise en conformité à l’issue d’un délai de trois mois.

La leçon est très claire : les utilisateurs doivent pouvoir refuser les cookies aussi facilement que de les accepter.

1. La CNIL estime, concernant Facebook, que le bouton « Gérer les paramètres de données », suivi d’un clic supplémentaire pour parvenir à refuser les cookies, ne répond pas à cette exigence face au bouton unique « Tout accepter ».

2. Elle estime également, concernant Google, que le bouton « Personnaliser », qui s’accompagne de quatre actions supplémentaires pour parvenir à refuser les cookies, ne répond pas davantage à cette exigence.

3. La CNIL recommande deux boutons présentés au même niveau et sur le même format, par exemple : Tout accepter / Tout refuser Autoriser / Interdire Consentir / Ne pas consentir

Cette décision est également l’occasion pour la CNIL d’affirmer sa compétence matérielle et territoriale pour traiter des opérations liées aux cookies déposés par une société sur les terminaux des utilisateurs situés en France.

28/12/2021

La société Free Mobile a été condamnée par la CNIL le 28 décembre 2021 à une sanction pécuniaire de 300 000 euros pour des manquements aux droits d’accès, de rectification et d’opposition à la suite de plaintes déposées en 2018 et 2019 par 19 personnes.

• S’agissant du droit d’accès, la CNIL retient que 2 personnes n’ont pas eu de réponse à leur demande.

• S’agissant du droit d’opposition, la CNIL retient que 5 personnes n’ont pas reçu de réponse ou de réponse satisfaisante à leur demande.

Il importe peu pour caractériser le manquement au #RGPD, selon la CNIL, qu’au regard des 600 demandes par an d’accès ou d’opposition reçues par Free Mobile, les manquements retenus ne concernent que quelques personnes. De même, le fait que les demandes puissent être adressées au mauvais service n'est pas retenu par la CNIL pour exonérer Free Mobile.

A retenir également : 1. Pour la première fois, la CNIL fonde une sanction sur un manquement au principe de #Privacybydesign : le système de facturation de Free devait permettre la suppression de la mention des numéros de lignes résiliées sur les factures adressées. 2. La CNIL rappelle à Free que le fait d’envoyer par courriel et en clair des mots de passe définitifs des utilisateurs constitue un manquement à l’obligation de sécurité des données.