Catégorie : Données à caractère personnel

Enceintes connectées : la CNIL publie un guide des bonnes pratiques
By Maëliss Vincent-Moreau

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

[:fr]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL alerte les utilisateurs sur le fait que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:en]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL rappelle par ailleurs aux utilisateurs que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:]

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information
By Maëliss Vincent-Moreau

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

[:fr]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 [:en]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf
https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf[:]

Le RGPD en 10 questions
By Maëliss Vincent-Moreau

Le RGPD en 10 questions

Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

D’application immédiate (il n’est pas nécessaire que le législateur français adopte une loi pour le transposer), le RGPD pose un nouveau cadre de règles et vient en particulier renforcer les droits des personnes concernées par des traitements de données.

200 jours avant son entrée en application, il est temps de démystifier le RGPD et de faire le point sur les changements que le Règlement opère dans le traitement des données personnelles.

1- Le RGPD : Révolution ou continuité ?

Non, le RGPD n’est pas une révolution ! Il reprend les principes et préceptes existants tout en renforçant les droits des personnes physiques (information et consentement) et en imposant aux responsables de traitement de prendre en compte les aspects de protection des données personnelles dès la conception des produits et services (« privacy by design »). La sévérité des sanctions en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) est, en revanche, une vraie révolution.

2 - A qui s’applique le RGPD ?

Peu de chances d’ « échapper » au RGPD, les responsables de traitement sont concernés par le Règlement dès lors que :
- Des données à caractère personnel font l’objet d’un traitement sur le territoire de l’Union européenne ;
- Le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne ;
- Les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

3 - Qu’est-ce que le concept d’ « accountability » ?

L’une des notions phare du RGPD est le concept d' « accountability » selon lequel un responsable de traitement doit être en mesure d’attester et donc de démontrer à son autorité de contrôle qu’il se conforme à la réglementation applicable en matière de protection des données personnelles. En pratique, le régime des déclarations préalables à toute mise en œuvre d’un traitement auprès de la CNIL devrait disparaître pour être remplacé par un registre de traitements que l’entreprise tiendra à disposition de la CNIL en cas de contrôle. Cela implique que l’ensemble des traitements soient listés (et les flux de données cartographiés) et que le registre soit mis à jour régulièrement.

4 - Quelles sont les modifications en termes d’information et de consentement des personnes ?

La loi du 6 janvier 1978 dite « Loi Informatique et libertés » imposait déjà au responsable de traitement d’informer la personne physique de ses droits et de recueillir son consentement préalablement au traitement des données.
Le RGPD renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Autrement dit, le consentement ne peut se déduire d’une case pré-cochée ou d’une absence d’action. L’utilisateur peut le révoquer à tout moment.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le RGPD dispose que le responsable de traitement doit s'efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
Il convient donc de mettre en place et de documenter les mesures techniques et organisationnelles appropriées afin de prouver que les principes mentionnés ci-dessus ont été pris en compte lors de la collecte des données personnelles.

5 - En quoi consiste une analyse d’impact ?

Recenser les traitements permet d’identifier les traitements comportant un risque élevé pour les droits et libertés des personnes compte tenu de leur nature, de leur portée, du contexte et des finalités du traitement. Dans une telle hypothèse, le responsable de traitement devra conduire une analyse d’impact sur la vie privée (« privacy impact assessment » ou « PIA ») afin d’identifier les risques probables d’atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement.

6 - Est-ce obligatoire de nommer un Data Protection Officer ?

Le Data Protection Officer (« DPO »), ou Délégué à la Protection des Données, vise à remplacer l’actuel Correspondant Informatique et Libertés (« CIL »).
La désignation d’un DPO par le responsable de traitement sera obligatoire dans un certain nombre d’hypothèses :
- si le responsable de traitement appartient au secteur public ;
- Si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si son activité principale l’amène à traiter à grande échelle des données particulières ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation du DPO ne sera pas obligatoire, mais toutefois fortement recommandée pour s’assurer de la conformité au RGPD.

7 - Le droit à la portabilité des données, c’est nouveau ?

Le RGPD consacre le droit à la portabilité des données, et permet ainsi aux personnes concernées par les traitements de récupérer l’ensemble de leurs données fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (par exemple, le transfert d’une playlist Spotify vers Deezer)
Ce droit a déjà été introduit en droit français par la loi pour une République numérique du 7 octobre 2016 aux articles L.224-42-1 à L.224-42-4 du Code de la consommation. Toutefois, dans l’attente d’un décret d’application, les modalités d’application de ce texte restent à préciser.

8 - Quel est le périmètre de l’obligation de notifier une faille de sécurité ?

Jusqu’ici applicable aux seuls fournisseurs de services de communications électroniques, le Règlement généralise l'obligation de notifier les violations de données à caractère personnel à la CNIL. Ainsi, toute violation de sécurité entrainant la destruction, la perte, l'altération, la divulgation des données à caractère personnel traitées devra être notifiée auprès de la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. En cas de sous-traitance du traitement des données, il convient donc d’imposer au prestataire une obligation de notification similaire au responsable de traitement.
En outre, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

9 - Quel est l’impact du RGPD sur les sous-traitants ?

Le RGPD renforce la responsabilité du sous-traitant dans le traitement des données du responsable de traitement. Ainsi, le sous-traitant devra notamment s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité des données, justifier des mesures organisationnelles et techniques prises.
Si le sous-traitant manque à ses obligations ou les outrepasse, il sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et d’être condamné au versement de dommages et intérêts puisque le Règlement pose le principe selon lequel toute victime d'une non-conformité « a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Au regard de ce qui précède, il est important de prêter une attention particulière à la rédaction des clauses « données personnelles » et « responsabilité » dans les contrats de sous-traitance.

10 - Comment se mettre en conformité ?

Faites le point sur les traitements de données personnelles de votre société :
quelles données sont collectées, comment les consentements sont-ils recueillis,
quelles informations sont communiquées aux personnes concernées,
comment sont traitées ces données (utilisation, hébergement, transfert à l’étranger, archivage, suppression…),
Interrogez-vous sur l’obligation, ou le cas échéant l’opportunité, de nommer un Data Protection Officer. Si un CIL a déjà été nommé au sein de la société, définissez ses futures missions en tant que DPO,
Revoyez les processus internes pour vous assurer de leur conformité au RGPD,
Listez vos contrats sous-traitants et revoyez-les afin de vous assurer de leur conformité au RGPD.

La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles
By Maëliss Vincent-Moreau

La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles

[:fr]

Faisant suite aux « packs de conformité » publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a publié le 17 octobre 2017 le pack de conformité sectoriel relatif aux « véhicules connectés et données personnelles ».

Fruit de plusieurs mois de réflexion et de concertation avec les acteurs de la filière automobile, des acteurs de l’assurance, des télécoms et les autorités publiques, ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.

Le pack s’applique aux véhicules connectés, c’est-à-dire aux véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure, etc.) et ne couvre que les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur.

Parmi les données personnelles collectées, certaines sont directement identifiantes, comme le nom du conducteur. D’autres sont indirectement identifiantes telles que : le détail des trajets effectués, les données d’usage du véhicule (par exemple, les données relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (par exemple, les données relatives à l’état d’usure des pièces).

Les données sont collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles et peuvent être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Le pack de conformité distingue trois hypothèses selon que (i) les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (Scénario « IN => IN »), (ii) les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée (par exemple dans le cadre d’un contrat d’assurance « pay as you drive », fourniture du service e-call, ou géolocalisation du véhicule en cas de vol) (Scénario « IN => OUT »), (iii): les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route) (Scénario n° 3 « IN => OUT => IN »).

Pour chaque scénario, la CNIL émet des lignes directrices afin de se conformer à la réglementation en matière de données à caractère personnel et recommande, notamment, les mesures de sécurité à mettre en place.

Le pack de conformité « véhicule connecté et données personnelles » est disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

[:en]

Faisant suite aux « packs de conformité » publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a publié le 17 octobre 2017 le pack de conformité sectoriel relatif aux « véhicules connectés et données personnelles ».

Fruit de plusieurs mois de réflexion et de concertation avec les acteurs de la filière automobile, des acteurs de l’assurance, des télécoms et les autorités publiques, ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.

Le pack s’applique aux véhicules connectés, c’est-à-dire aux véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure, etc.) et ne couvre que les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur.

Parmi les données personnelles collectées, certaines sont directement identifiantes, comme le nom du conducteur. D’autres sont indirectement identifiantes telles que : le détail des trajets effectués, les données d’usage du véhicule (par exemple, les données relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (par exemple, les données relatives à l’état d’usure des pièces).

Les données sont collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles et peuvent être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Le pack de conformité distingue trois hypothèses selon que (i) les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (Scénario « IN => IN »), (ii) les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée (par exemple dans le cadre d’un contrat d’assurance « pay as you drive », fourniture du service e-call, ou géolocalisation du véhicule en cas de vol) (Scénario « IN => OUT »), (iii): les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route) (Scénario n° 3 « IN => OUT => IN »).

Pour chaque scénario, la CNIL émet des lignes directrices afin de se conformer à la réglementation en matière de données à caractère personnel et recommande, notamment, les mesures de sécurité à mettre en place.

Le pack de conformité « véhicule connecté et données personnelles » est disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

[:]

Règlement européen des données : le G29 publie des lignes directrices sur la fonction de délégué à la protection des données
By Maëliss Vincent-Moreau

Règlement européen des données : le G29 publie des lignes directrices sur la fonction de délégué à la protection des données

[:fr]Le Règlement européen des données n°2016/679 du 27 avril 2016 généralise la fonction de délégué à la protection des données (« DPO » en anglais) à compter de Mai 2018. Le G 29, qui rassemble les autorités de protection des données de l’Union Européenne, a publié des lignes directrices et une FAQ le 13 décembre dernier sur la fonction de délégué à la protection des données.

Ces lignes directrices, uniquement disponibles en anglais à ce jour, ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions.

Ce document apporte des précisions sur le texte du Règlement européen des données et notamment les cas dans lesquels la nomination d’un délégué à la protection des données est obligatoire.

Les lignes directrices précisent également le niveau d’expertise, les qualités professionnelles et les capacités du DPO. La CNIL a confirmé que les personnes désignées en tant que correspondant Informatique et Libertés (CIL) ont vocation à devenir délégués à la protection des données en 2018 sans que cela soit toutefois automatique.

Enfin, les lignes directrices contiennent des recommandations et des bonnes pratiques permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations (quel rôle, quels moyens d’action…).

Il est nécessaire d’anticiper dès aujourd’hui la mise en place de la fonction de délégué au sein de votre entreprise afin d’être prêt en mai 2018.

Les lignes directrices du G 29 sont disponibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

La FAQ explicitant les lignes directrices sont accessibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

 [:en]Le Règlement européen des données n°2016/679 du 27 avril 2016 généralise la fonction de délégué à la protection des données (« DPO » en anglais) à compter de Mai 2018. Le G 29, qui rassemble les autorités de protection des données de l’Union Européenne, a publié des lignes directrices et une FAQ le 13 décembre dernier sur la fonction de délégué à la protection des données.

Ces lignes directrices, uniquement disponibles en anglais à ce jour, ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions.

Ce document apporte des précisions sur le texte du Règlement européen des données et notamment les cas dans lesquels la nomination d’un délégué à la protection des données est obligatoire.

Les lignes directrices précisent également le niveau d’expertise, les qualités professionnelles et les capacités du DPO. La CNIL a confirmé que les personnes désignées en tant que correspondant Informatique et Libertés (CIL) ont vocation à devenir délégués à la protection des données en 2018 sans que cela soit toutefois automatique.

Enfin, les lignes directrices contiennent des recommandations et des bonnes pratiques permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations (quel rôle, quels moyens d’action…).

Il est nécessaire d’anticiper dès aujourd’hui la mise en place de la fonction de délégué au sein de votre entreprise afin d’être prêt en mai 2018.

Les lignes directrices du G 29 sont disponibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

La FAQ explicitant les lignes directrices sont accessibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

 [:]

Jouets connectés – l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur les risques de sécurité
By Maëliss Vincent-Moreau

Jouets connectés – l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur les risques de sécurité

[:fr]

Une poupée connectée figure sur la liste au Père Noël de vos enfants?

Soyez vigilants sur les risques de sécurité : l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur :
– les risques d’espionnage par le biais des connexions Bluetooth de la poupée : il est facilement possible de prendre le contrôle de la poupée via un téléphone à proximité et d’ainsi écouter et parler au travers de la poupée) ;
– l’utilisation des données personnelles qui est faite par les vendeurs de ces poupées : outre l’utilisation potentiellement commerciale des données, celles-ci sont transférées à la société américaine Nuance communications spécialisée dans la reconnaissance vocale qui se réserve le droit de partager les données avec des tiers ;
– le marketing ciblé de ces produits pré-programmés avec des messages publicitaires cachés.

Le communiqué de presse du BEUC est disponible ici (en anglais) : http://www.beuc.eu/publications/consumer-organisations-across-eu-take-action-against-flawed-internet-connected-toys/html

[:en]

Une poupée connectée figure sur la liste au Père Noël de vos enfants?

Soyez vigilants sur les risques de sécurité : l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur :
– les risques d’espionnage par le biais des connexions Bluetooth de la poupée : il est facilement possible de prendre le contrôle de la poupée via un téléphone à proximité et d’ainsi écouter et parler au travers de la poupée) ;
– l’utilisation des données personnelles qui est faite par les vendeurs de ces poupées : outre l’utilisation potentiellement commerciale des données, celles-ci sont transférées à la société américaine Nuance communications spécialisée dans la reconnaissance vocale qui se réserve le droit de partager les données avec des tiers ;
– le marketing ciblé de ces produits préprogrammés avec des messages publicitaires cachés.

Le communiqué de presse du BEUC est disponible ici (en anglais) : http://www.beuc.eu/publications/consumer-organisations-across-eu-take-action-against-flawed-internet-connected-toys/html

[:]

Les ayants droit d’une personne décédée peuvent-ils accéder aux données personnelles du défunt?
By Maëliss Vincent-Moreau

Les ayants droit d’une personne décédée peuvent-ils accéder aux données personnelles du défunt?

Le Conseil d’Etat a récemment jugé que les héritiers ne bénéficient pas des droits d’accès aux données personnelles de la personne décédée.

Dans cette affaire, les héritiers d’une salariée de la Banque de France avaient demandé à son employeur la liste des appels téléphoniques passés par la défunte depuis son poste professionnel le mois précédant son décès, dans le but de déterminer le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. La Banque de France ayant refusé, les ayants droit avaient saisi la CNIL qui n’a pas donné suite à leur requête.

Le Conseil d’Etat a rejeté le recours en excès de pouvoir au motif que, si l’article 39 de la loi du 6 janvier 1978 accorde aux personnes concernées justifiant de leur identité le droit d’accéder à leurs données personnelles, les ayants droit ne peuvent être considérés comme telles.

Le Conseil d’Etat fait donc une interprétation stricte de la notion de « personne concernée », définie à l’article 2 de la loi comme « celle à laquelle se rapportent les données qui font l’objet du traitement ».

Conseil d’État, 10ème – 9ème ch. réunies, décision du 8 juin 2016

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice
By Maëliss Vincent-Moreau

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

[:fr]

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

[:en]

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

[:]

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)
By Maëliss Vincent-Moreau

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)

[:fr]

Le 12 avril 2016, la CNIL a annoncé que, dans le cadre des « Sweep Days » du mois de Mai 2016, ses contrôles porteraient sur la conformité des objets connectés à la réglementation de protection des données à caractère personnel.

Ainsi, la CNIL, tout comme ses homologues internationaux, effectuera des tests d’objets connectés en matière de santé, bien-être (« quantified-self ») et habitat (caméras connectées notamment) afin d’évaluer la qualité de l’information délivrée, le niveau de sécurité des flux de données et le degré de contrôle de l’utilisateur sur l’exploitation de ses données.

Dans le cas où ces tests révèleraient des non-conformités, la CNIL pourra procéder à des audits plus formels, lesquels sont susceptibles de déboucher sur des mises en demeure et des sanctions.

Les résultats de cette opération sont attendus à l’automne 2016.

https://www.cnil.fr/fr/operation-internet-sweep-day-une-premiere-mondiale-visant-apprecier-le-niveau-dinformation-des-0

 

[:en]

Le 12 avril 2016, la CNIL a annoncé que, dans le cadre des « Sweep Days » du mois de Mai 2016, ses contrôles porteraient sur la conformité des objets connectés à la réglementation de protection des données à caractère personnel.

Ainsi, la CNIL, tout comme ses homologues internationaux, effectuera des tests d’objets connectés en matière de santé, bien-être (« quantified-self ») et habitat (caméras connectées notamment) afin d’évaluer la qualité de l’information délivrée, le niveau de sécurité des flux de données et le degré de contrôle de l’utilisateur sur l’exploitation de ses données.

Dans le cas où ces tests révèleraient des non-conformités, la CNIL pourra procéder à des audits plus formels, lesquels sont susceptibles de déboucher sur des mises en demeure et des sanctions.

Les résultats de cette opération sont attendus à l’automne 2016.

https://www.cnil.fr/fr/operation-internet-sweep-day-une-premiere-mondiale-visant-apprecier-le-niveau-dinformation-des-0

 [:]

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure
By Maëliss Vincent-Moreau

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

[:fr]

La CNIL a rendu public le 8 avril 2016 son rapport d’activité pour l’année 2015.

Il en ressort que la CNIL, dans le cadre de ses missions de contrôle et de sanction, a réalisé 510 contrôles en 2015, en augmentation de 20% par rapport à l’année précédente. 70% de ces missions concernaient le secteur privé.

Sur les 510 contrôles réalisés, 155 l’ont été en ligne. Pour mémoire, c’est la loi relative à la consommation, dite « loi Hamon » du 17 mars 2014 qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. La CNIL peut ainsi facilement et rapidement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

L’année 2015 est également marquée par une hausse du nombre de mises en demeure (93 soit une augmentation de 50 % par rapport à 2014). Il est intéressant de noter que la grande majorité des mises en demeure fait suite à des missions de contrôle (92 % des décisions) dont certaines consécutives à des plaintes reçues.

Le rapport de la CNIL liste les sanctions prononcées en 2015 et notamment les sanctions pécuniaires prononcées à l’encontre de la société OPTICAL CENTER le 5 novembre 2015 (évoquée ici : http://mvm-avocat.fr/cnil-defaut-de-securite-et-confidentialite-des-donnees-sanction-pecuniaire-de-50-000-e-et-publicite-de-la-decision-optical-center/ ), l’avertissement public prononcé à l’encontre de la société PROFIL SENIORS le 21 décembre 2015 (détaillée ici : http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ) ainsi que la décision du Conseil d’Etat du 30 décembre 2015 (société ORANGE évoquée ici : http://mvm-avocat.fr/obligations-responsable-de-traitement-matiere-de-traitance-de-donnees-a-caractere-personnel/ ).

Pour prendre connaissance dans le détail du rapport de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015.pdf

[:en]

La CNIL a rendu public le 8 avril 2016 son rapport d’activité pour l’année 2015.

Il en ressort que la CNIL, dans le cadre de ses missions de contrôle et de sanction, a réalisé 510 contrôles en 2015, en augmentation de 20% par rapport à l’année précédente. 70% de ces missions concernaient le secteur privé.

Sur les 510 contrôles réalisés, 155 l’ont été en ligne. Pour mémoire, c’est la loi relative à la consommation, dite « loi Hamon » du 17 mars 2014 qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. La CNIL peut ainsi facilement et rapidement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

L’année 2015 est également marquée par une hausse du nombre de mises en demeure (93 soit une augmentation de 50 % par rapport à 2014). Il est intéressant de noter que la grande majorité des mises en demeure fait suite à des missions de contrôle (92 % des décisions) dont certaines consécutives à des plaintes reçues.

Le rapport de la CNIL liste les sanctions prononcées en 2015 et notamment les sanctions pécuniaires prononcées à l’encontre de la société OPTICAL CENTER le 5 novembre 2015 (évoquée ici : http://mvm-avocat.fr/cnil-defaut-de-securite-et-confidentialite-des-donnees-sanction-pecuniaire-de-50-000-e-et-publicite-de-la-decision-optical-center/ ), l’avertissement public prononcé à l’encontre de la société PROFIL SENIORS le 21 décembre 2015 (détaillée ici : http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ) ainsi que la décision du Conseil d’Etat du 30 décembre 2015 (société ORANGE évoquée ici : http://mvm-avocat.fr/obligations-responsable-de-traitement-matiere-de-traitance-de-donnees-a-caractere-personnel/ ).

Pour prendre connaissance dans le détail du rapport de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015.pdf

[:]