RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

[:fr]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:en]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:]

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

[:fr]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL alerte les utilisateurs sur le fait que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:en]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL rappelle par ailleurs aux utilisateurs que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:]

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

[:fr]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 [:en]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf
https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf[:]