Cnil

  • La Cnil se paie Monsanto

    AprĂšs les rĂ©vĂ©lations de plusieurs mĂ©dias quant Ă  l’existence chez le gĂ©ant de l’agro-chimie d’un fichier contenant les donnĂ©es personnelles de 200 personnes utilisĂ© Ă  des fins de lobbying, la Cnil a menĂ© l’enquĂȘte. Et reconnait aujourd’hui Monsanto coupable d'avoir enfreint le RGPD en sa qualitĂ© de responsable de traitement. 

  • La Cnil sort le bĂąton!

    Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

  • La Cnil sort le bĂąton!

    Le temps de la mansuétude est terminé ! La CNIL vient de nouveau de rendre publique une amende salée pour non respect du RGPD. Dans le collimateur une mutuelle d'assurance, AG2R La Mondiale.

  • Le Conseil d’État rejette le recours d’Amazon contre la Cnil

    La dĂ©cision prononcĂ©e par la Commission nationale de l’information et des libertĂ©s (CNIL) d'infliger une amende de 35 millions d'euros Ă  Amazon pour non-respect de la lĂ©gislation sur les cookies a Ă©tĂ© validĂ©e par le Conseil d'Etat le 27 juin 2022. L'institution a jugĂ© que le montant de l’amende n’était pas disproportionnĂ©.

  • Le Conseil d’État valide l’extension du fichage par les forces de l’ordre

    La saisine par des syndicats et associations n’y aura rien fait : l’IntĂ©rieur pourra ficher et surveiller “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale” en cas de menace Ă  la sĂ©curitĂ© publique. Edvige renaĂźt de ses cendres dans l’indiffĂ©rence gĂ©nĂ©rale. 

    La sĂ»retĂ© de l’État et la sĂ©curitĂ© publique pourront dĂ©sormais servir de prĂ©texte Ă  la surveillance des appartenances syndicales, des convictions religieuses et des opinions politiques. C’est le sens des dĂ©crets publiĂ©s le 4 dĂ©cembre dernier par un ministĂšre de l’IntĂ©rieur qui, sur ces sujets, privilĂ©gie le passage en force. Avec l’assentiment donnĂ© lundi par le Conseil d’État. 

    Saisie en rĂ©fĂ©rĂ©, la plus haute juridiction administrative a en effet rejetĂ© les recours de la CGT, de FO, du FSU et de quelques associations visant les fichiers PASP(prĂ©vention des atteintes Ă  la sĂ©curitĂ© publique), relevant de la police, GIPASP(gestion de l’information et prĂ©vention des atteintes Ă  la sĂ©curitĂ© publique) du cĂŽtĂ© de la gendarmerie et EASP(enquĂȘtes administratives liĂ©es Ă  la sĂ©curitĂ© publique). 

    Fichage politique

    Ces trois fichiers sont les hĂ©ritiers d’Edvige (exploitation documentaire et valorisation de l’information gĂ©nĂ©rale) qui en 2008 prĂ©voyait de ficher notamment toute personne affichant une activitĂ© politique ou syndicale. La levĂ©e de bouclier fut telle que le gouvernement de l’époque fit machine arriĂšre, concĂ©dant de ne recenser que les activitĂ©s. Ces dĂ©crets du 4 dĂ©cembre font sauter cette digue en Ă©largissant les champs pouvant ĂȘtre intĂ©grĂ©s dans la surveillance policiĂšre. 

    Ainsi, les “activitĂ©s sur les rĂ©seaux sociaux” ou encore les “identifiants utilisĂ©s” (sauf mots de passe prĂ©cisent les trois dĂ©crets) ainsi que les “donnĂ©es relatives aux troubles psychologiques ou psychiatriques” peuvent ĂȘtre renseignĂ©s dans ces fichiers par policiers ou gendarmes. Surtout, si cette collecte ne pouvait couvrir auparavant que “des activitĂ©s politiques, philosophiques, religieuses ou syndicales”, les dĂ©crets l’étendent aux “opinions politiques”, “convictions philosophiques, religieuses” ou “appartenance syndicale”. 

    Des points qui ne faisaient pas partie des projets de dĂ©crets dĂ©posĂ©s par le gouvernement auprĂšs de la Cnil pour examen en juin 2019. Comme le souligne le gendarme des donnĂ©es personnelles, dont les avis Ă©taient mitigĂ©s, “si la collecte de donnĂ©es relatives Ă  « des activitĂ©s politiques, philosophiques, religieuses ou syndicales » Ă©tait dĂ©jĂ  prĂ©vue, les nouveaux dĂ©crets font dĂ©sormais rĂ©fĂ©rence non plus aux « activitĂ©s » mais aux « opinions » politiques, aux « convictions » philosophiques, religieuses et Ă  l’« appartenance » syndicale. Elle ne s’est pas prononcĂ©e sur cette modification, qui ne figurait pas dans le projet qui lui avait Ă©tĂ© soumis”.

    Pas attentatoire aux libertés

    Et ce alors qu’elle estimait en juin que les pĂ©rimĂštres de certaines catĂ©gories de donnĂ©es, l’activitĂ© sur les rĂ©seaux sociaux par exemple, Ă©taient trop Ă©tendus et rĂ©digĂ©s de maniĂšre particuliĂšrement permissive. De quoi effectivement faire enrager les syndicats, de mĂȘme que la Quadrature, qui se sont portĂ©s devant le Conseil d’État, pour ĂȘtre dĂ©boutĂ©s. En rĂ©fĂ©rĂ©, le juge a en effet considĂ©rĂ© que ces nouvelles dispositions du code de la sĂ©curitĂ© intĂ©rieure n’étaient pas attentatoires aux libertĂ©s. Ou du moins qu’elles ne constituent pas une atteinte disproportionnĂ©e. 

    A l’instar de l’avis de la Cnil en juin, le Conseil d’État estime que l’exĂ©cutif a prĂ©vu les garde-fous nĂ©cessaires, notamment en restreignant la collecte de donnĂ©es aux seules activitĂ©s “susceptibles de porter atteinte Ă  la sĂ©curitĂ© publique ou Ă  la sĂ»retĂ© de l’Etat”, interdisant un fichage sur la seule base d’une appartenance syndicale ou d’une conviction religieuse.

  • Les Français se dĂ©fient des autoritĂ©s sur les donnĂ©es personnelles

    RebootonLine a compilé les données issues de la Communauté Européenne pour savoir si les citoyens avaient confiance dans les autorités pour protéger leurs données personnelles. Un sentiment de défiance est majoritaire dans notre pays et sur tout le continent.

    Au total ce sont plus de 27 000 personnes interrogées dont 1018 en France qui indiquent se défier des autorités sur la protection et l'utilisation de leurs données personnelles.

    Les Espagnols sont les plus méfiants avec 73 % des gens manquant de confiance dans les autorités suivis par les Irlandais (73 %). Les Français sont sur le podium à égalité avec les Britanniques et les Belges qui se défient à 68 % des autorités sur ce point.

    En moyenne, 61 % des citoyens européens accordent peu de confiance dans les autorités de leur pays pour la gestion, la protection et l'utilisation des données personnelles. Vous trouverez les détails de cette étude ici :

    https://www.rebootonline.com/

  • Linky : entre EDF et la Cnil, le courant passe

    Le fournisseur d’énergie s’est mis en conformitĂ© avec la rĂ©glementation en vigueur sur la protection des donnĂ©es. EDF avait Ă©tĂ© mis en demeure en fĂ©vrier 2020 par la Cnil, qui lui reprochait sur ses compteurs Linky de ne pas correctement recueillir le consentement de ses usagers et de conserver trop longtemps leurs donnĂ©es. 

    Linky est un dossier ĂŽ combien sensible, non plus pour des questions d’ondes Ă©mises, mais sur des sujets de protection des donnĂ©es et de la vie privĂ©e. DĂšs 2018, la Cnil sonnait la charge contre Direct Energie, lui reprochant d’échouer Ă  recueillir de maniĂšre conforme Ă  la rĂ©glementation le consentement des usagers Ă  la collecte et au traitement de leurs donnĂ©es de consommation Ă©lectrique. Deux ans plus tard, ce sont Engie et EDF qui Ă©taient mis en demeure

    A EDF, le rĂ©gulateur reprochait d’échouer Ă  recueillir le consentement des usagers de maniĂšre spĂ©cifique et Ă©clairĂ©e. Il prĂ©sentait en effet une seule case Ă  cocher pour deux voire trois finalitĂ©s distinctes : affichage des consommations quotidiennes, affichage des consommations Ă  la demi-heure et fourniture de conseils personnalisĂ©s. 

    Trajectoire de conformité

    De mĂȘme, l’information fournie, qui faisait rĂ©fĂ©rence Ă  la « consommation d’électricitĂ© quotidienne (toutes les 30 min)», mettait sur un mĂȘme plan les deux types de donnĂ©es, quotidiennes et toutes les 30 minutes. Or ces derniĂšres sont bien « plus rĂ©vĂ©latrices des habitudes de vie des personnes que les donnĂ©es quotidiennes».

    Enfin, si EDF prĂ©cisait bien les durĂ©es de conservation des donnĂ©es, celles-ci s’avĂ©raient dans certains cas trop longues au regard de la finalitĂ© poursuivie. Sont ainsi conservĂ©es en base active les consommations Ă  la demi-heure pendant cinq ans aprĂšs la rĂ©siliation, alors qu’elles ne servent pas Ă  la facturation. Trop long estimait la Cnil il y a un an.

    Le gendarme des donnĂ©es personnelles prĂ©cisait toutefois qu'EDF comme Engie Ă©taient sur la “trajectoire de la mise en conformitĂ©â€. EDF est depuis rentrĂ© dans le rang, bĂ©nĂ©ficiant d’un dĂ©lai pour cause de pandĂ©mie. La Cnil vient de clĂŽturer la mise en demeure du fournisseur d’électricitĂ©, aprĂšs que celui-ci ait mis en oeuvre “un nouveau parcours de consentement dont il ressort clairement que le client peut consentir au suivi de sa consommation quotidienne sans devoir Ă©galement consentir au suivi de sa consommation Ă  la demi-heure” et a adaptĂ© les durĂ©es de conservation des donnĂ©es aux finalitĂ© de traitement.

  • NOYB (Max Schrems) attaque Google devant la Cnil

    C’est la France que l’association de Max Schrems a choisie pour lancer la charge contre le gĂ©ant de Mountain View. NOYB reproche Ă  Google d’enfreindre la directive ePrivacy via son identifiant publicitaire Android, activĂ© par dĂ©faut et donc qui se passe du consentement de l’utilisateur. Une plainte similaire Ă  celle visant Apple dĂ©posĂ©e par l’association l’an dernier.

    AprĂšs avoir fait trembler Facebook, l’activiste autrichien Maximilien Schrems parviendra-t-il Ă  faire tomber Google ? Son association, NOYB, pour None Of Your Business, vient de dĂ©poser une plainte Ă  l’encontre du gĂ©ant. Et c’est en France que se jouera cette nouvelle confrontation puisque la plainte a Ă©tĂ© adressĂ©e Ă  la Cnil.

    Est mis en cause l’AAID (Android Advertising Identifier), un identifiant unique attachĂ© Ă  chaque smartphone Android. Cet instrument du gĂ©ant de Mountain View sert Ă  collecter des informations sur les prĂ©fĂ©rences de l’utilisateur de sorte Ă  afficher des publicitĂ©s personnalisĂ©es. Ce qui, selon NOYB, enfreint la directive ePrivacy, du moins dans sa version actuelle.

    Google et Apple dans le mĂȘme panier

    Celle-ci, en son article 5, stipule qu’il est nĂ©cessaire de fournir une « information claire et complĂšte Â» Ă  l’utilisateur, de mĂȘme que la possibilitĂ© de « refuser un tel traitement Â» avant de pouvoir « stocker des informations ou d’accĂ©der Ă  des informations stockĂ©es dans l’équipement terminal Â». Or, dans le cas prĂ©sent, Android n’affiche aucun message quant Ă  son AAID, activĂ© par dĂ©faut.

    La Cnil examine pour l’heure cette plainte, qui n’est pas sans en rappeler une autre. En 2020, Max Schrems et son association s’en prenaient Ă  Apple pour les mĂȘmes motifs, l’attaquant devant les gendarmes des donnĂ©es personnelles espagnol et allemand. Car l’IDFA (IDentifier For Advertisers) obĂ©it au mĂȘme fonctionnement que l’AAID de Google. La Cnil a par ailleurs Ă©tĂ© saisie d’une plainte similaire de la part de France Digitale.

  • Pour les collectivitĂ©s locales, la Cnil a le DĂ©clic

    Le gendarme des données personnelles se rapproche de Déclic, la fédération des Opérateurs Publics de Services Numériques afin de mieux accompagner les collectivités locales dans leur mise en conformité au RGPD.

    Les collectivitĂ©s locales ont Ă©tĂ© ces derniers mois frĂ©quemment la cible de cyberattaques, principalement de ransomwares. La ville d'Angers n'est que le dernier exemple en date de ce flĂ©au qui frappe indistinctement communes, interco' et mĂ©tropoles. Avec, en filigrane, l'inĂ©vitable question de la protection des donnĂ©es et autres obligations introduites en droit par le RGPD. D'autant que les collectivitĂ©s locales s'engagent de maniĂšre croissante, Ă  l'initiative d'Ă©lus ou poussĂ©es par l'État, dans leur transformation numĂ©rique Ă  travers l'e-administration, l'ouverture des donnĂ©es, la connexion des infrastructures ou encore la dĂ©mocratie participative par l'entremise de plateformes en ligne.  

    La transformation numĂ©rique a du bon, avec la simplification de l'accĂšs aux dĂ©marches administratives, mais elle a aussi tendance Ă  attirer comme des mouches les cybercriminels, appĂątĂ©s par ces montagnes de donnĂ©es bien trop souvent mal sĂ©curisĂ©es. C'est pour les assister dans leur dĂ©marche de mise en conformitĂ© au cadre rĂ©glementaire que la Cnil s'associe Ă  DĂ©clic. Cette association nĂ©e en 2006 fĂ©dĂšre les GIP, agences techniques et autres syndicats mixtes relevant du statut d'opĂ©rateurs publics de services numĂ©riques et accompagnent les collectivitĂ©s dans leur utilisation de services numĂ©riques, par la mise en commun de diverses ressources et expĂ©riences. 

    Des collectivités dans le besoin

    Ce rapprochement sert un objectif : "le maillage territorial sur lequel agit l’association DĂ©clic permettra Ă  la CNIL, grĂące Ă  ce partenariat, d’amener les plus petites communes Ă  une meilleure conformitĂ© au RGPD" dixit la patronne de la Cnil, Marie-Laure Denis. Et pour ce faire, Cnil et DĂ©clic entendent mettre en oeuvre une sĂ©rie de mesures concrĂštes sur les trois prochaines annĂ©es. Ainsi, l'association formera les dĂ©lĂ©guĂ©s Ă  la protection des donnĂ©es personnelles des collectivitĂ©s servies par son rĂ©seau d'une quarantaine d'OPSN et mettra Ă  sa disposition les ressources utiles, notamment documentaires. Surtout elle centralisera les questions et problĂ©matiques principales des collectivitĂ©s, et cherchera Ă  y apporter une rĂ©ponse "de premier niveau". 

    En parallĂšle la Cnil Ă©laborera des outils et autres fiches pratiques pouvant ĂȘtre mis Ă  disposition des adhĂ©rents de DĂ©clic, participera aux rĂ©unions d'information organisĂ©es par l'association et lui apportera son soutien lorsque saisie de problĂ©matiques techniques et juridiques. "Pour faciliter la mise en Ɠuvre pratique et juridique du RGPD dans les collectivitĂ©s, l’outillage logiciel et pĂ©dagogique ont Ă©tĂ© identifiĂ©s comme des fondamentaux dans les dĂ©marches de DĂ©clic" explique Emmanuel VivĂ©, PrĂ©sident de DĂ©clic. "DĂšs lors, il Ă©tait essentiel de nous rapprocher de la CNIL, afin qu'elle nous aide Ă  soutenir et dĂ©velopper nos travaux pour accĂ©lĂ©rer la mise en conformitĂ© de l’ensemble des collectivitĂ©s".

  • Transfert des donnĂ©es : la Cnil irlandaise menace une nouvelle fois Meta

    En Irlande, la Data Protection Commission (DPC), souhaite empĂȘcher Meta de transfĂ©rer les donnĂ©es de ses utilisateurs aux Etats-Unis.