Auteur/autrice : Maëliss Vincent-Moreau

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies
By Maëliss Vincent-Moreau

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Le 31 décembre 2021, la CNIL a prononcé une sanction à l’encontre de deux sociétés du Groupe GOOGLE (GOOGLE LLC et GOOGLE IRELAND LIMITED) et la société FACEBOOK IRELAND LIMITED en raison d’un manquement à l’article 82 de la loi informatique et libertés du 6 janvier 1978 telle que modifiée.

La CNIL indique avoir reçu plusieurs plaintes concernant les modalités de refus d’utilisation des cookies sur les sites internet suivants :

  • facebook.com ;
  • google.fr ;
  • youtube.com.

A la suite de contrôles, la CNIL a constaté que les sites internet précités proposaient un bouton d’acceptation des cookies mais aucune solution équivalente afin de permettre aux internautes de refuser les cookies.

Plusieurs clics des internautes étaient nécessaires pour refuser la totalité des cookies tandis qu’un seul clic sur le bouton prévu à cet effet (« j’accepte » ou « Accepter les cookies ») suffisait pour tous les accepter.

La CNIL a considéré que les internautes ne pouvaient refuser l’utilisation des cookies aussi simplement qu’ils les acceptaient. Un processus complexe de refus des cookies revient à décourager les utilisateurs et les incite à accepter les cookies par facilité. Or, une telle pratique porte atteinte à la liberté du consentement des internautes et constitue une violation de l’article 82 de la loi Informatique et Libertés.

En conséquence, la CNIL a prononcé les sanctions financières suivantes :

  • 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED);
  • 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

La CNIL a également enjoint les sociétés de se mettre en conformité dans un délai de 3 mois et de mettre en place une solution permettant aux internautes situés en France de refuser les cookies aussi simplement que de les accepter. A défaut, les sociétés devront payer une astreinte de 100.000 euros par jour de retard.

Délibération SAN-2021-024 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Délibération SAN-2021-023 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Cookies et traceurs CNIL
By Maëliss Vincent-Moreau

Cookies et traceurs CNIL

La CNIL a récemment publié de nouvelles recommandations et lignes directrices sur les cookies et traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020).
Les acteurs disposent d’un délai de 6 mois pour se mettre en conformité avec les nouvelles règles applicables, soit au plus tard à fin mars 2021.

Cookies : comment informer et quelle information communiquer aux internautes ?

Les internautes doivent clairement être informés, d’une part, des finalités des cookies et traceurs avant de consentir ou refuser ces derniers et, d’autre part, des conséquences qui s’attachent à une acceptation ou un refus de ces cookies et traceurs.
Par ailleurs, les internautes doivent être informés de l’identité de tous les acteurs utilisant des cookies et traceurs soumis au consentement. Cela implique d’indiquer précisément les sociétés tierces et partenaires utilisant des cookies et traceurs via le site internet.
Enfin, la CNIL précise qu’un certain nombre de cookies et traceurs nécessaires sont exemptés de consentement (choix de la langue, authentification, …).

Comment se matérialise le consentement et le refus des cookies ?

Le principe reste que les internautes doivent consentir au dépôt des cookies sur leur terminal.
Le consentement doit être matérialisé par un acte positif clair (par exemple, en cliquant sur un bouton « j’accepte »).
Ainsi, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
Ne constitue pas non plus un consentement valide une case pré-cochée sur le site internet car cela implique a contrario que l’utilisateur décoche la case pour refuser de donner son consentement. La CJUE avait précisé dans cette même décision que l’obligation de requérir le consentement de l’utilisateur au dépôt des cookies s’applique que les cookies traitent ou non des données personnelles (CJUE, 1er octobre 2019, C‑673/17).
Les internautes doivent également pouvoir refuser les cookies lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par les utilisateurs. Dans ses lignes directrices, la CNIL précise que refuser les cookies et traceurs doit être aussi aisé que de les accepter.
L’autorité de contrôle recommande ainsi un parallélisme des formes. Par exemple, l’interface de recueil du consentement pourrait comprendre non seulement un bouton « tout accepter » mais également un bouton « tout refuser ».
Le refus des cookies doit pouvoir être exprimé à tout moment.

Comment paramétrer les cookies et traceurs ?

Les internautes doivent consentir ou refuser les cookies et traceurs en fonction de leur finalité, et ce à tout moment.
En début de navigation, un bandeau ou un pop-up permettant de paramétrer les cookies et traceurs doit apparaître sur le site internet.
A tout moment, les internautes doivent pouvoir modifier ces choix. Il est en conséquence recommandé de mettre à disposition sur le site les moyens de gérer facilement ses préférences relatives aux cookies. Cela peut prendre la forme d’un lien « Gérer mes cookies / Modifier mes préférences cookies » ou d’un module de paramétrage placés dans une zone visible du site internet (par exemple en bas à gauche de l’écran) ou encore d’une icône « cookie » visuellement explicite.

Quelle est la durée de conservation des choix de l’utilisateur ?

La CNIL recommande de conserver les choix exprimés en matière de cookies par l’internaute, tant pour son consentement que pour son refus. La durée de conservation des choix doit être appréciée selon le contexte et la nature du site internet. Cependant, la CNIL indique qu’une durée de 6 mois (contre 13 mois auparavant) constitue une bonne pratique. Si le consentement avait été sauvegardé, cela implique d’obtenir à nouveau le consentement des utilisateurs au terme de cette période.

Quelle est la politique de contrôle de la CNIL ? Quelles sont les sanctions en cas de non-respect des lignes directrices ?

Jusque fin mars 2021, la CNIL procèdera à des actions de contrôle de respect des principes précédemment exposés dans sa recommandation de 2013. C’est dans ce cadre qu’elle a récemment sanctionné les sociétés Carrefour, Google et Amazon (cf notre encadré).
A compter d’avril 2021, la CNIL s’assurera de l’application des nouvelles lignes directrices par les responsables de traitement.
En cas de non-respect des lignes directrices, les sanctions qui pourront être prononcées sont celles fixées dans le RGPD et la loi Informatique et libertés modifiée, c’est-à-dire, notamment une sanction financière pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu..

Le Cabinet MVM Avocats est à votre disposition pour vous accompagner dans la mise en conformité de votre site internet aux nouvelles lignes directrices en matière de cookies et de traceurs.

Dernières sanctions en matière de non-respect des recommandations relatives aux cookies :

CARREFOUR France ET CARREFOUR BANQUE : La CNIL a prononcé une sanction de 2 250 000 euros et de 800 000 euros à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en raison, notamment, d’un manquement à la règlementation relative aux cookies. Plusieurs cookies (dont des cookies publicitaires) étaient automatiquement déposés, avant toute action de sa part, sur le terminal de l’utilisateur qui se connectait aux sites internet des sociétés. Le consentement de l’utilisateur aurait dû être recueilli avant le dépôt (Délibérations n° SAN-2020-008 et n° SAN-2020-009 du 18 novembre 2020).

GOOGLE LLC et GOOGLE IRELAND LTD : La CNIL a prononcé une sanction d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE , en raison (i) du dépôt de cookies publicitaires sur les terminaux des utilisateurs du moteur de recherche sans consentement préalable ni information satisfaisante, et (ii) d’un mécanisme d’opposition défaillant : malgré la modification de ses paramètres par l’utilisateur, un cookie publicitaire demeurait stocké sur son ordinateur (Délibération n°SAN-2020-012 du 7 décembre 2020).

AMAZON EUROPE CORE : La CNIL a prononcé une sanction de 35 millions d’euros à l’encontre de la société AMAZON pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs à partir du site amazon.fr sans consentement préalable ni information satisfaisante (Délibération n°SAN-2020-013 du 7 décembre 2020).

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing
By Maëliss Vincent-Moreau

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Droit des marques : nouveau cadre.
By Maëliss Vincent-Moreau

Droit des marques : nouveau cadre.

L’ordonnance n°2019-1169 du 13 novembre 2019 relative aux marques de produits ou de services (ci-après, l’Ordonnance) est venue parfaire la transposition en droit français de la directive (UE) 2015/2436 du 16 décembre 2015. L’Ordonnance est entrée en vigueur le 11 décembre dernier concomitamment au décret d’application n°2019-1316 du 9 décembre 2019 relatif aux marques de produits ou de services. Ce dernier précise les modalités d’application de certaines dispositions de l’Ordonnance.

Ces textes modifient en profondeur le droit des marques et le Code de la propriété intellectuelle, notamment sur les points suivants :

Procédure d’opposition

L’ordonnance modifie la procédure d’opposition devant l’Institut national de la propriété intellectuelle (INPI).

De nouveaux droits antérieurs sont invocables dans le cadre d’une procédure d’opposition.

Le nouvel article L.712-4 du Code de la propriété intellectuelle établit une liste de droits antérieurs permettant à un titulaire de fonder une opposition à enregistrement d’une demande de marque. La procédure d’opposition n’est plus seulement permise aux titulaires de marques antérieures.
Les titulaires de dénominations sociales, noms commerciaux, enseignes et noms de domaine antérieurs peuvent désormais faire opposition à l’enregistrement d’une marque.

Dans le cadre d’un dépôt de marque, nous recommandons d’effectuer une recherche d’antériorités approfondie afin de connaître l’ensemble des antériorités, c’est-à-dire non seulement les marques antérieures mais également les dénominations sociales, noms commerciaux et noms de domaines antérieurs et ainsi limiter les risques d’opposition à l’enregistrement.
Nous recommandons par ailleurs aux titulaires de marques de mettre en place une veille des demandes de dépôts de marques similaires ou identiques à leurs signes.

L’Ordonnance modifie la procédure d’opposition devant l’INPI.

Le délai d’opposition reste de deux mois à compter de la publication de la demande de marque faisant l’objet de l’opposition au BOPI (Bulletin Officiel de la Propriété Industrielle). Toutefois, il est instauré un délai supplémentaire d’un mois suivant l’expiration de ce délai de deux mois pour communiquer à l’INPI l’argumentation à l’appui de l’opposition (exposé des moyens et pièces) (article R.712-14 du Code de la propriété intellectuelle).
En pratique, cela laisse plus de temps au déposant pour préparer le mémoire à l’appui de sa demande d’opposition.
Enfin, l’Ordonnance introduit l’obligation pour l’opposant de prouver un usage de la marque pour tous les produits et services servant de base à l’opposition s’il s’agit d’une marque antérieure enregistrée depuis plus de cinq ans, ou de justifier l’existence de justes motifs pour le non-usage (article L. 712-5-1 du Code de la propriété intellectuelle). Si l’opposant ne peut justifier d’un usage sérieux de ladite marque ou de justes motifs de non-usage, l’opposition fondée sur une marque antérieure enregistrée depuis plus de cinq ans sera rejetée.

Une fois la marque enregistrée, nous vous recommandons de documenter l’usage de la marque pour les différents produits et services pour lesquels la marque est enregistrée afin d’obtenir des éléments de preuve de cet usage, ou le cas échéant du non-usage, dans l’hypothèse de contentieux ultérieurs devant l’INPI ou les tribunaux judiciaires (anciennement Tribunal de grande instance).

Nouvelles actions devant l’INPI

De nouvelles actions peuvent être effectuées devant l’INPI : les procédures en nullité ou en déchéance de la marque seront de la compétence exclusive de l’INPI lorsqu’elles sont engagées à titre principal (article L.716-5 du Code de la propriété intellectuelle).
L’Ordonnance simplifie ces procédures afin d’éviter d’engager une action devant les tribunaux judiciaires compétents.
Par exception, les dispositions relatives aux nouvelles procédures administratives en déchéance et en nullité de marque sont entrées en vigueur le 1er avril 2020.
Depuis le 1er avril 2020, l’INPI est exclusivement compétent pour connaître des demandes :

  • fondées à titre principal sur un motif absolu de refus (art. L. 711-2),
  • formées sur un motif relatif lié aux signes distinctifs et territoriaux (art. L. 711-3, 1° à 5°, 9° et 10°),
  • fondées sur tous les motifs de déchéance.

Les tribunaux judiciaires conservent leur compétence exclusive pour les demandes :

  • en nullité, lorsqu’elles sont fondées sur une atteinte à un droit d’auteur, un droit sur les dessins et modèles ou un droit de la personnalité (art. L. 711-3, 6° à 8°),
  • en nullité et déchéance, lorsqu’elles sont connexes à toute autre demande relevant de leur compétence,
  • en nullité et déchéance, quand des mesures probatoires ou provisoires ou conservatoires ont été ordonnées pour faire cesser une atteinte à un droit de marques et que ces mesures sont en cours d’exécution avant une action au fond (art. L. 716-5).

Ces nouvelles actions devant l’INPI viennent compléter la procédure d’opposition et sont désormais à envisager lors de la défense d’un signe antérieur face à l’enregistrement et l’utilisation d’une marque identique ou similaire postérieure

Allègement des procédures de dépôt de marques au regard de leur représentation graphique

L’Ordonnance procède à un allègement de l’exigence de représentation graphique (article L.711-1 du Code de la propriété intellectuelle). Il suffit désormais que le signe puisse être « représenté dans le registre national des marques de manière à permettre à toute personne de déterminer précisément et clairement l’objet de la protection conférée à son titulaire ».

Cette rédaction ouvre ainsi la possibilité de déposer différents types de signes par de nouveaux moyens techniques tels que des sons ou des vidéos.

Dans le cadre du dépôt d’un nouveau type de signe, nous recommandons de déterminer avec un conseil compétent en droit des marques les modalités de représentation autorisées par l’INPI afin que ledit signe soit accepté à l’enregistrement.

Contrefaçon

Les dispositions relatives à l’action en contrefaçon relèvent désormais des articles L. 716-4 et suivants. Le Code de la propriété intellectuelle modifié élargit la liste des personnes autorisées à agir en contrefaçon. L’action peut être intentée, sans l’autorisation du titulaire de la marque, par les licenciés non exclusifs et les personnes habilitées à faire usage d’une marque collective ou de garantie. Le contrat ou le règlement d’usage peut cependant prévoir le contraire (art. L. 716-4-2). Les fins de non-recevoir sont précisées (art. L. 716-4-3 à L. 716-4-5).

Le Cabinet MVM AVOCATS vous assiste dans le dépôt et l’enregistrement de vos signes à titre de marque, notamment dans le cadre de recherches d’antériorités et de défense de droit de marques (action en opposition, action en nullité ou déchéance de marque, saisie-contrefaçon, contrefaçon de marque, concurrence déloyale).

Motifs de refus à enregistrement

L’Ordonnance procède à un élargissement des motifs de refus à l’enregistrement d’une marque (article L.711-2 du Code de la propriété intellectuelle). Ainsi, les indications géographiques, les appellations d’origine ou les marques consistant en la dénomination d’une variété végétale antérieure ne peuvent être valablement enregistrées.

Nous recommandons d’effectuer une recherche permettant d’identifier les signes antérieurs mentionnés ci-dessus pouvant empêcher l’enregistrement d’une marque, et ce avant tout dépôt de marque

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation
By Maëliss Vincent-Moreau

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Comme tous les ans à l’approche de Noël, la CNIL rappelle quelques conseils sur les jouets connectés et en particulier leur sécurisation.

La CNIL recommande notamment de:
– vérifier que le jouet ne permet pas à n’importe qui de s’y connecter (vérifier que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe) ;
– changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
– sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
– vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
– en dire le moins possible au moment de l’inscription : par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge ;
– créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
– utiliser au maximum des pseudonymes au lieu du nom/prénom.

L’intégralité des conseils de la CNIL est à retrouver ci-dessous:
https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante
By Maëliss Vincent-Moreau

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Dans un litige opposant la société CHRISTIAN DIOR COUTURE à ZARA (INDITEX et FASHION RETAIL) relatif à la contrefaçon d’une paire de lunettes de soleil (protégée au titre du droit d’auteur et du dessin et modèle communautaire non enregistré), la Cour d’appel de Paris a confirmé l’annulation de deux procès-verbaux d’achats réalisés par deux stagiaires au sein du Cabinet de la société requérante.

Les juges ont estimé que « l’absence d’indication dans le procès-verbal de constat d’achat tant en ligne qu’en magasin de la qualité de stagiaire du cabinet du conseil de la société Dior constitue une violation du principe de loyauté dans l’administration de la preuve qui affecte la validité de chacun des deux procès-verbaux de constat d’achat ».

Cour d’appel de Paris, Pôle 5 – chambre 2, 18 octobre 2019, n° 18/08962

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement
By Maëliss Vincent-Moreau

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)
By Maëliss Vincent-Moreau

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

La CNIL a prononcé, le 13 juin 2019, une sanction financière de 20.000 € à l’encontre d’une société de traduction (employant 9 salariés) qui filmait les postes de travail de ses salariés en continu.

Aucune information satisfaisante n’avait été délivrée aux salariés. Par ailleurs, les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

Dans son communiqué, la CNIL prend soin de préciser que la sanction et sa publication sont motivées par le fait que la société de traduction, malgré une mise en demeure, n’a pas pris les mesures afin de se mettre en conformité.

https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries