Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Le 31 décembre 2021, la CNIL a prononcé une sanction à l’encontre de deux sociétés du Groupe GOOGLE (GOOGLE LLC et GOOGLE IRELAND LIMITED) et la société FACEBOOK IRELAND LIMITED en raison d’un manquement à l’article 82 de la loi informatique et libertés du 6 janvier 1978 telle que modifiée.

La CNIL indique avoir reçu plusieurs plaintes concernant les modalités de refus d’utilisation des cookies sur les sites internet suivants :

  • facebook.com ;
  • google.fr ;
  • youtube.com.

A la suite de contrôles, la CNIL a constaté que les sites internet précités proposaient un bouton d’acceptation des cookies mais aucune solution équivalente afin de permettre aux internautes de refuser les cookies.

Plusieurs clics des internautes étaient nécessaires pour refuser la totalité des cookies tandis qu’un seul clic sur le bouton prévu à cet effet (« j’accepte » ou « Accepter les cookies ») suffisait pour tous les accepter.

La CNIL a considéré que les internautes ne pouvaient refuser l’utilisation des cookies aussi simplement qu’ils les acceptaient. Un processus complexe de refus des cookies revient à décourager les utilisateurs et les incite à accepter les cookies par facilité. Or, une telle pratique porte atteinte à la liberté du consentement des internautes et constitue une violation de l’article 82 de la loi Informatique et Libertés.

En conséquence, la CNIL a prononcé les sanctions financières suivantes :

  • 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED);
  • 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

La CNIL a également enjoint les sociétés de se mettre en conformité dans un délai de 3 mois et de mettre en place une solution permettant aux internautes situés en France de refuser les cookies aussi simplement que de les accepter. A défaut, les sociétés devront payer une astreinte de 100.000 euros par jour de retard.

Délibération SAN-2021-024 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Délibération SAN-2021-023 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

Brexit et transfert de données personnelles vers la Grande-Bretagne

Brexit et transfert de données personnelles vers la Grande-Bretagne

Le Contrôleur Européen de la Protection des Données (CEPD) a adopté le 12/02/19 une note d’information sur le transfert de données vers la Grande Bretagne en cas d’absence d’accord sur le Brexit (« no deal Brexit »).

Le CPED confirme qu’au 30 mars 2019, sauf disposition d’adéquation adoptée par la Commission Européenne d’ici cette date, les transferts de données devront être encadrés par:

  • des clauses contractuelles standard,
  • des règles d’entreprise contraignantes (« BCR »),
  • un code de conduite,
  • d’éventuelles dérogations interprétées strictement.

Il convient donc de :

  • recenser les traitements de données concernés par un transfert vers la Grande Bretagne,
  • amender les contrats conclus avec des sociétés domiciliées en Grande-Bretagne afin de sécuriser les transferts de données personnelles vers ce pays qui deviendra un pays « tiers »,
  • mettre à jour la documentation interne (registre de traitements),
  • mettre à jour les mentions d’information à destination des personnes concernées par les traitements.
RGPD – D Day!!!

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

[:fr]Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.[:en]Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).
Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.[:]

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

[:fr]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:en]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:]

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

[:fr]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL alerte les utilisateurs sur le fait que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:en]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL rappelle par ailleurs aux utilisateurs que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:]

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

[:fr]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 [:en]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf
https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf[:]

Le RGPD en 10 questions

Le RGPD en 10 questions

Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

D’application immédiate (il n’est pas nécessaire que le législateur français adopte une loi pour le transposer), le RGPD pose un nouveau cadre de règles et vient en particulier renforcer les droits des personnes concernées par des traitements de données.

200 jours avant son entrée en application, il est temps de démystifier le RGPD et de faire le point sur les changements que le Règlement opère dans le traitement des données personnelles.

1- Le RGPD : Révolution ou continuité ?

Non, le RGPD n’est pas une révolution ! Il reprend les principes et préceptes existants tout en renforçant les droits des personnes physiques (information et consentement) et en imposant aux responsables de traitement de prendre en compte les aspects de protection des données personnelles dès la conception des produits et services (« privacy by design »). La sévérité des sanctions en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) est, en revanche, une vraie révolution.

2 - A qui s’applique le RGPD ?

Peu de chances d’ « échapper » au RGPD, les responsables de traitement sont concernés par le Règlement dès lors que :
- Des données à caractère personnel font l’objet d’un traitement sur le territoire de l’Union européenne ;
- Le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne ;
- Les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

3 - Qu’est-ce que le concept d’ « accountability » ?

L’une des notions phare du RGPD est le concept d' « accountability » selon lequel un responsable de traitement doit être en mesure d’attester et donc de démontrer à son autorité de contrôle qu’il se conforme à la réglementation applicable en matière de protection des données personnelles. En pratique, le régime des déclarations préalables à toute mise en œuvre d’un traitement auprès de la CNIL devrait disparaître pour être remplacé par un registre de traitements que l’entreprise tiendra à disposition de la CNIL en cas de contrôle. Cela implique que l’ensemble des traitements soient listés (et les flux de données cartographiés) et que le registre soit mis à jour régulièrement.

4 - Quelles sont les modifications en termes d’information et de consentement des personnes ?

La loi du 6 janvier 1978 dite « Loi Informatique et libertés » imposait déjà au responsable de traitement d’informer la personne physique de ses droits et de recueillir son consentement préalablement au traitement des données.
Le RGPD renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Autrement dit, le consentement ne peut se déduire d’une case pré-cochée ou d’une absence d’action. L’utilisateur peut le révoquer à tout moment.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le RGPD dispose que le responsable de traitement doit s'efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
Il convient donc de mettre en place et de documenter les mesures techniques et organisationnelles appropriées afin de prouver que les principes mentionnés ci-dessus ont été pris en compte lors de la collecte des données personnelles.

5 - En quoi consiste une analyse d’impact ?

Recenser les traitements permet d’identifier les traitements comportant un risque élevé pour les droits et libertés des personnes compte tenu de leur nature, de leur portée, du contexte et des finalités du traitement. Dans une telle hypothèse, le responsable de traitement devra conduire une analyse d’impact sur la vie privée (« privacy impact assessment » ou « PIA ») afin d’identifier les risques probables d’atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement.

6 - Est-ce obligatoire de nommer un Data Protection Officer ?

Le Data Protection Officer (« DPO »), ou Délégué à la Protection des Données, vise à remplacer l’actuel Correspondant Informatique et Libertés (« CIL »).
La désignation d’un DPO par le responsable de traitement sera obligatoire dans un certain nombre d’hypothèses :
- si le responsable de traitement appartient au secteur public ;
- Si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si son activité principale l’amène à traiter à grande échelle des données particulières ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation du DPO ne sera pas obligatoire, mais toutefois fortement recommandée pour s’assurer de la conformité au RGPD.

7 - Le droit à la portabilité des données, c’est nouveau ?

Le RGPD consacre le droit à la portabilité des données, et permet ainsi aux personnes concernées par les traitements de récupérer l’ensemble de leurs données fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (par exemple, le transfert d’une playlist Spotify vers Deezer)
Ce droit a déjà été introduit en droit français par la loi pour une République numérique du 7 octobre 2016 aux articles L.224-42-1 à L.224-42-4 du Code de la consommation. Toutefois, dans l’attente d’un décret d’application, les modalités d’application de ce texte restent à préciser.

8 - Quel est le périmètre de l’obligation de notifier une faille de sécurité ?

Jusqu’ici applicable aux seuls fournisseurs de services de communications électroniques, le Règlement généralise l'obligation de notifier les violations de données à caractère personnel à la CNIL. Ainsi, toute violation de sécurité entrainant la destruction, la perte, l'altération, la divulgation des données à caractère personnel traitées devra être notifiée auprès de la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. En cas de sous-traitance du traitement des données, il convient donc d’imposer au prestataire une obligation de notification similaire au responsable de traitement.
En outre, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

9 - Quel est l’impact du RGPD sur les sous-traitants ?

Le RGPD renforce la responsabilité du sous-traitant dans le traitement des données du responsable de traitement. Ainsi, le sous-traitant devra notamment s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité des données, justifier des mesures organisationnelles et techniques prises.
Si le sous-traitant manque à ses obligations ou les outrepasse, il sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et d’être condamné au versement de dommages et intérêts puisque le Règlement pose le principe selon lequel toute victime d'une non-conformité « a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Au regard de ce qui précède, il est important de prêter une attention particulière à la rédaction des clauses « données personnelles » et « responsabilité » dans les contrats de sous-traitance.

10 - Comment se mettre en conformité ?

Faites le point sur les traitements de données personnelles de votre société :
quelles données sont collectées, comment les consentements sont-ils recueillis,
quelles informations sont communiquées aux personnes concernées,
comment sont traitées ces données (utilisation, hébergement, transfert à l’étranger, archivage, suppression…),
Interrogez-vous sur l’obligation, ou le cas échéant l’opportunité, de nommer un Data Protection Officer. Si un CIL a déjà été nommé au sein de la société, définissez ses futures missions en tant que DPO,
Revoyez les processus internes pour vous assurer de leur conformité au RGPD,
Listez vos contrats sous-traitants et revoyez-les afin de vous assurer de leur conformité au RGPD.