Cnil

  • (MĂ J) Cookies : la Cnil condamne Google et Amazon pour l’exemple

    Les sites français des deux gĂ©ants dĂ©posaient des cookies sur les ordinateurs de leurs visiteurs avant d’obtenir leur consentement, et Ă©chouaient Ă  les informer correctement des finalitĂ©s de ces trackers. La Cnil a condamnĂ© Google et Amazon Ă  respectivement 100 millions et 35 millions d’euros d’amende. 

    Les nouvelles rĂšgles relatives aux cookies ont Ă©tĂ© publiĂ©es le 20 octobre et la Cnil a laissĂ© six mois aux Ă©diteurs pour se mettre en conformitĂ©. NĂ©anmoins le rĂ©gulateur avait insistĂ© sur la poursuite de ses contrĂŽles quant aux autres obligations relatives aux traceurs publicitaires. Dont acte : Google et Amazon ont reçu la visite du gendarme des donnĂ©es personnelles, qui les Ă©pinglent au passage. 

    En effet, la Cnil a constatĂ© suite Ă  des contrĂŽles que les sites google.fr et amazon.fr dĂ©posaient sur les ordinateurs de leurs visiteurs des cookies sans que ceux-ci aient au prĂ©alable donnĂ© leur consentement. Le rĂ©gulateur considĂšre que le dĂ©pĂŽt de cookies, avant toute action de l’internaute autre qu’arriver sur le site, est “incompatible avec un consentement prĂ©alable”. 

    Non-respect des rĂšgles

    En outre, ni Amazon ni Google n’informaient correctement le visiteur dans leurs bandeaux, que ce soit sur la finalitĂ© des cookies ou sur les mĂ©thodes pour s’opposer Ă  leur dĂ©pĂŽt. Dans le cas d’amazon.fr, jusqu’à la refonte du site en septembre, le gĂ©ant dĂ©posait des cookies “quel que soit le chemin empruntĂ© par l’internaute se rendant sur le site” sans que celui-ci soit clairement informĂ©, voire informĂ©. Ce qui contrevient au nouvel article 82 de la loi Informatique et LibertĂ©s, et aux lignes directrices de la Cnil quant Ă  l’utilisation de cookies. 

    En ce qui concerne Google, la Cnil ajoute une infraction supplĂ©mentaire, Ă  savoir la dĂ©faillance du mĂ©canisme d’opposition de l’internaute au dĂ©pĂŽt de cookies, puisque quand bien mĂȘme l’utilisateur dĂ©sactivait la personnalisation des annonces “en recourant au mĂ©canisme mis Ă  sa disposition Ă  partir du bouton « Consulter maintenant »”, un des traceurs restait stockĂ© sur son ordinateur et continuait d’envoyer des informations au serveur. 

    En consĂ©quence de quoi la Cnil a condamnĂ© Google Ă  100 millions d’euros d’amende, rĂ©partis entre Google LLC et Google Ireland Ltd Ă  60 et 40 millions d’euros. Amazon Ă©cope pour sa part d’une sanction de 35 millions d’euros. 

    Décision de la délibération SAN-2020-012 du 7 décembre 2020

    MĂ J 11/12 : Google a rĂ©agi Ă  cette sanction. Selon un porte-parole : â€œles utilisateurs de Google s'attendent Ă  ce que nous respections leur vie privĂ©e, qu'ils aient ou non un compte Google. Nous dĂ©fendons notre bilan en matiĂšre de transparence et de protection de nos utilisateurs, grĂące Ă  des informations et des paramĂštres de confidentialitĂ© clairs, une solide gouvernance interne des donnĂ©es, une infrastructure sĂ©curisĂ©e, et, surtout, des services utiles. La dĂ©cision rendue par la CNIL en matiĂšre de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les rĂšgles et les orientations rĂ©glementaires françaises sont incertaines et en constante Ă©volution. Nous poursuivrons nos Ă©changes avec la CNIL pour mieux comprendre ses prĂ©occupations Ă  mesure que nous continuons d'apporter des amĂ©liorations sur nos produits et services.”

  • Brico PrivĂ© Ă  l'amende par la CNIL

    Habituellement la CNIL reste assez discrĂšte sur les amendes quelle inflige pour non respect du RGPD ou d'autres atteintes aux donnĂ©es privĂ©es. Elle a choisi de rendre publique celle qui punit Brico PrivĂ© de 500K€.

    AprĂšs 3 contrĂŽles, la CNIL a constatĂ© plusieurs manquements concernant le traitement de donnĂ©es personnelles des prospects et des clients de Brico PrivĂ©. La formation restreinte, organe de la CNIL chargĂ© de prononcer les sanctions, a effectivement considĂ©rĂ© que la sociĂ©tĂ© avait manquĂ© Ă  plusieurs obligations prĂ©vues par le Code des postes et des communications Ă©lectroniques (CPCE), le RGPD et la loi Informatique et LibertĂ©s. L'enquĂȘte s'est rĂ©alisĂ©e en coopĂ©ration avec les homologues de la CNIL dans d'autres pays europĂ©ens, Brico PrivĂ© opĂ©rant aussi en Espagne, en Italie et au Portugal.

    Au final, la CNIL a prononcé une amende de 500 000 euros et a dĂ©cidĂ© de rendre publique sa dĂ©cision. Elle a Ă©galement enjoint Ă  la sociĂ©tĂ© de mettre ses traitements en conformitĂ© avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un dĂ©lai de 3 mois Ă  compter de la notification de la dĂ©libĂ©ration, sous astreinte de 500 euros par jour de retard. vous trouverez les dĂ©tails de la dĂ©cision ici.

  • Carrefour Ă©pinglĂ© par la Cnil et condamnĂ© Ă  plus de 3 millions d’euros d’amende

    Le gĂ©ant de la grande distribution avait jusqu’à rĂ©cemment des pratiques quelque peu rĂ©prĂ©hensibles quant aux donnĂ©es de ses clients. La Cnil lui inflige une volĂ©e de bois vert, et une sĂ©vĂšre amende, mais reconnaĂźt les efforts faits par Carrefour depuis ses contrĂŽles, l’enseigne s’étant mise en conformitĂ© avec le cadre rĂ©glementaire.  La Cnil vient d’infliger une amende particuliĂšrement salĂ©e au groupe Carrefour. AprĂšs avoir Ă©tĂ© saisie de plusieurs plaintes, le rĂ©gulateur a effectuĂ© plusieurs contrĂŽles auprĂšs du gĂ©ant de la grande distribution et de sa filiale Carrefour Banque. Il y dĂ©couvre de nombreux manquements Ă  la rĂ©glementation en vigueur quant au traitement des donnĂ©es personnelles de ses clients et prospects. La liste des infractions est longue, Ă  commencer par le dĂ©faut d’information des personnes. Carrefour et sa filiale bancaire, sur leurs sites Internet respectifs, ne donnaient pas aisĂ©ment l’accĂšs Ă  leurs politiques quant aux donnĂ©es de leurs utilisateurs, et quand bien mĂȘme l’internaute trouvait les prĂ©cieux documents, ceux-ci n’étaient guĂšre comprĂ©hensibles, la Cnil prĂ©cisant que les informations Ă©taient “rĂ©digĂ©es en des termes gĂ©nĂ©raux et imprĂ©cis, utilisant parfois des formulations inutilement compliquĂ©es”, voire Ă©taient incomplĂštes, notamment en ce qui concerne la durĂ©e de conservation des donnĂ©es ou encore les transferts hors UE.

    Pas trĂšs RGPD

    Et des donnĂ©es, Carrefour en collectait. Le gendarme des donnĂ©es personnelles a ainsi remarquĂ© que, sur ces mĂȘmes sites, plusieurs cookies publicitaires Ă©taient automatiquement dĂ©posĂ©s sur son terminal, avant toute action de l’internaute, sans donc leur consentement. Ces donnĂ©es Ă©taient ensuite conservĂ©es longtemps, trop longtemps aux yeux de la Cnil : “les donnĂ©es de plus de vingt-huit millions de clients inactifs depuis cinq Ă  dix ans Ă©taient ainsi conservĂ©es dans le cadre du programme de fidĂ©litĂ©. Il en Ă©tait de mĂȘme pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq Ă  dix ans”. D’autant que la durĂ©e limite, fixĂ©e par l’enseigne Ă  quatre ans aprĂšs le dernier achat, semble excessive selon le rĂ©gulateur. S’ajoutent en outre Ă  la liste des manquements aux droits d’accĂšs, de recours et de suppression. Elle exigeait notamment des plaignants un justificatif d’identitĂ© pour toute demande d’exercice de droit, quand bien mĂȘme le requĂ©rant Ă©tait dĂ©jĂ  identifiĂ©. “Enfin, la sociĂ©tĂ© n’a pas pris en compte plusieurs demandes de personnes s’étant opposĂ©es Ă  recevoir de la publicitĂ© par SMS ou courrier Ă©lectronique, notamment en raison d’erreurs techniques ponctuelles” signale la Cnil.

    Douloureuse

    Dernier point, si Carrefour Banque indiquait Ă  ses clients qu’il partageait leurs nom, prĂ©nom et adresse email, prĂ©cisant bien qu’aucune autre donnĂ©e ne serait transmise au sein du groupe, tel n’était pas le cas, le gendarme des donnĂ©es personnelles dĂ©couvrant lors de ses contrĂŽles que l’adresse postale, le numĂ©ro de tĂ©lĂ©phone et le nombre des enfants de l’utilisateur Ă©taient bel et bien partagĂ©s avec Carrefour. Bilan, 2,25 millions d’euros d’amende pour Carrefour, et 800000 euros supplĂ©mentaires pour Carrefour Banque. Toutefois, la sanction s’arrĂȘte lĂ , le groupe ayant mis les bouchĂ©es doubles depuis les contrĂŽles de la Cnil pour se mettre en conformitĂ© sur l’ensemble de ces points. Ce sur quoi Carrefour axe sa communication, Ă  croire que la dĂ©cision du rĂ©gulateur soit une victoire pour le distributeur qui se fĂ©licite sur Twitter d’avoir rattrapĂ© son “retard en matiĂšre digitale”.
  • Cnil : 600 000 euros d’amende Ă  l’encontre d’Accor

    Il est reprochĂ© au groupe hĂŽtelier d’avoir utilisĂ© des donnĂ©es personnelles sans demande de consentement afin de rĂ©aliser de la prospection commerciale.

  • CNIL et PIPC main dans la main

    Les deux institutions de régulation et de protection des données personnelles ont signé un accord de coopération.

  • CNIL et Pix associĂ©s pour dĂ©velopper le numĂ©rique

    L’instance de rĂ©gulation et la plate-forme de contenus de formation au numĂ©rique ont signĂ© une convention de partenariat.

  • Cookies : Amazon conforme, selon la Cnil

    Le géant du e-commerce avait écopé en décembre d'une amende de 35 millions d'euros assortie d'une injonction de se mettre en conformité avec la loi. Amazon s'est exécuté, s'épargnant une astreinte de 100 000 euros par jour de retard... mais risque d'avoir droit à une nouvelle visite de la Cnil.

  • Cookies : la Cnil clarifie les rĂšgles et promet des contrĂŽles

    Six mois aprĂšs la publication de ses lignes directrices quant aux traceurs publicitaires, la Cnil explicite ses rĂšgles et prĂ©cise que, aprĂšs une longue phase de sensibilisation, des contrĂŽles suivront, avec mises en demeure et sanctions. Quand bien mĂȘme tout n’est pas encore bien dĂ©fini, notamment la licĂ©itĂ© ou non des cookie walls.

    En octobre 2020, le gendarme des donnĂ©es personnelles publiait ses lignes directrices relatives au dĂ©pĂŽt de cookies sur les navigateurs des internautes. Les nouvelles rĂšgles avaient provoquĂ© sans surprise une levĂ©e de boucliers de la part des Ă©diteurs et des publicitaires, retardant apparemment les contrĂŽles de la Cnil qui explique aujourd’hui sur son site avoir menĂ© depuis la fin de l’annĂ©e derniĂšre une vaste campagne de sensibilisation.

    Et si le rĂ©gulateur souhaite toujours accompagner les Ă©diteurs, il n’entend pas pour autant faire preuve de laxisme. « La CNIL va dĂ©sormais rĂ©aliser des contrĂŽles pour Ă©valuer l’application des rĂšgles relatives aux traceurs, en application de l’article 82 de la loi Informatique et LibertĂ©s et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthĂ©tisĂ©es dans ses lignes directrices Â» prĂ©vient le gendarme des donnĂ©es personnelles. Si des manquements devaient ĂȘtre constatĂ©s, alors les sanctions pleuvront.

    Quid des murs de cookies ?

    Ainsi, mieux vaut ĂȘtre en conformitĂ©, c’est-Ă -dire permettre clairement et spĂ©cifiquement Ă  l’internaute de consentir, par un acte positif, au dĂ©pĂŽt de traceurs publicitaires sur son navigateur. « Son silence, qui peut passer par la simple poursuite de la navigation, doit dorĂ©navant s’interprĂ©ter comme un refus Â» prĂ©cise la Cnil.

    De mĂȘme, il est prĂ©fĂ©rable d’afficher un bouton Tout refuser au mĂȘme niveau que le bouton Tout accepter. De mĂȘme « il est aussi possible, par exemple, d’offrir explicitement Ă  l’internaute la possibilitĂ© de refuser les traceurs en fermant le bandeau cookies Â». Quant Ă  la seule option ParamĂ©trer accolĂ©e Ă  Tout accepter, elle tend selon le rĂ©gulateur Ă  dissuader le refus, ce qui n’est pas trĂšs RGPD.

    Ces rĂšgles-ci sont claires et dĂ©jĂ  Ă©tablies, mais quid des cookie walls. Cette pratique qui consiste Ă  limiter les services auxquels a accĂšs un utilisateur qui refuserait les cookies a Ă©tĂ© considĂ©rĂ© illicite par la Cnil. Toutefois, le Conseil d’État n’était pas de cet avis. Par consĂ©quent, rien n’empĂȘche pour l’heure les cookie walls, malgrĂ© l’opposition du ComitĂ© europĂ©en de la protection des donnĂ©es personnelles (CEPD). Du moins jusqu’à l’entrĂ©e en vigueur de la directive e-Privacy


  • Cookies : la Cnil ne plaisantait pas

    C’est une vingtaine de mises en demeure que la Cnil rĂ©vĂšle avoir adressĂ©es le 18 mai. Le gendarme des donnĂ©es personnelles avait prĂ©venu aprĂšs la publication de ses lignes directrices : il contrĂŽlera le respect des rĂšgles relatives aux cookies, notamment quant Ă  la facilitĂ© de refuser leur dĂ©pĂŽt, et sanctionnera les contrevenants le cas Ă©chĂ©ant.

    AprĂšs la sensibilisation, la Cnil serre la vis. En avril dernier, elle publiait quelques clarifications quant Ă  ses lignes directrices concernant les traceurs publicitaires et avertissait : voilĂ  plusieurs mois qu’elle sensibilisait au sujet, il Ă©tait dĂ©sormais temps de passer aux choses sĂ©rieuses. Et par choses sĂ©rieuses, il faut entendre contrĂŽle, mise en demeure et sanction. Et ce malgrĂ© une rebuffade du Conseil d’État qui autorisait en substance les cookie walls. D’oĂč, entre temps, certaines aberrations offrant le choix Ă  l’internaute entre accepter les cookies et payer pour pouvoir les refuser. 

    Sur ce sujet, la Cnil ne s’est pas encore exprimĂ©e, attendant l’adoption de la rĂ©glementation europĂ©enne en la matiĂšre. Mais pour tout ce qui touche aux dispositifs “ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter”, le rĂ©gulateur a sorti les griffes. Il annonce avoir mis en demeure en dĂ©but de semaine derniĂšre “une vingtaine d’organismes ayant des pratiques contraires Ă  la lĂ©gislation sur les cookies”. 

    On ne rigole plus

    Parmi eux, des gĂ©ants “de l’économie numĂ©rique” ainsi que des organismes publics. Pour la Cnil, pas de favoritisme, tous les sites sont logĂ©s Ă  la mĂȘme enseigne. Aucun nom n’est cependant citĂ©, le gendarme des donnĂ©es personnelles laissant un mois aux mis en demeure pour se transformer en “mis en conformitĂ©â€. Sans quoi ils encourent des sanctions pouvant s’élever Ă  2% de leur chiffre d’affaires. 

    “Il s’agit de la premiĂšre campagne de vĂ©rifications et de mesures correctrices depuis l’expiration du dĂ©lai accordĂ© aux acteurs pour mettre en conformitĂ© leurs sites et applications mobiles aux nouvelles rĂšgles en matiĂšre de cookies” Ă©crit la Cnil. Elle prĂ©vient en outre que d’autres contrĂŽles seront menĂ©s les prochaines mois, “ce sujet Ă©tant l’une des thĂ©matiques prioritaires de contrĂŽles de la CNIL en 2021”.

  • Cookies : la Cnil ne plaisante toujours pas

  • Deux mĂ©decins libĂ©raux sanctionnĂ©s par la Cnil

    Parce que les donnĂ©es de leurs patients Ă©taient librement accessibles, et parce qu’ils n’ont pas notifiĂ© la Cnil de la violation de ces donnĂ©es, deux mĂ©decins libĂ©raux ont Ă©tĂ© condamnĂ©s Ă  de lĂ©gĂšres amendes par la Cnil, qui entend que ces sanctions servent d’avertissement au secteur. 

    La Cnil ne fait pas que contrĂŽler et sanctionner les manquements des grands groupes et des gĂ©ants du numĂ©rique, Ses derniĂšres sanctions en date s’en veulent la dĂ©monstration. Le gendarme des donnĂ©es personnelles vient d’épingler deux mĂ©decins libĂ©raux. En septembre 2019, le rĂ©gulateur constatait en effet lors de contrĂŽles en ligne, suite Ă  des dĂ©nonciations, que des serveurs contenant des images mĂ©dicales accompagnĂ©es des nom, prĂ©nom et date de naissance des patients.

    En cause dans les deux cas, une mauvaise configuration de leur box Internet et un mauvais paramĂ©trage de leur logiciel d’imagerie mĂ©dicale. Pour l’un des deux mĂ©decins, afin de “pouvoir accĂ©der Ă  distance aux images mĂ©dicales hĂ©bergĂ©es dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisĂ©e Ă  son domicile en activant le mode DMZ de cette derniĂšre, dans l’objectif de faire fonctionner le VPN”.

    Le second a pour sa part paramĂ©trĂ© son logiciel d’imagerie mĂ©dicale pour pouvoir transfĂ©rer automatiquement des images issues de son Ă©quipement de radiographie vers la base de donnĂ©es de son logiciel d’imagerie hĂ©bergĂ©e dans son cabinet et accĂ©der Ă  distance aux images.

    Dans les deux cas, une protection insuffisante et un chiffrement inexistant permettaient au tout venant d’accĂ©der aux images. Ce qui contrevient au RGPD, la Cnil estimant que “la protection du rĂ©seau informatique interne et le chiffrement des donnĂ©es Ă  caractĂšre personnel font partie des exigences Ă©lĂ©mentaires en matiĂšre de sĂ©curitĂ© informatique, qui incombent Ă  tout responsable de traitement”. 

    Coup de semonce

    Le rĂ©gulateur sanctionne Ă©galement le manquement des mĂ©decins Ă  notifier les violations de donnĂ©es Ă  la Cnil, ceux-ci n’ayant pas signalĂ© que ces donnĂ©es de santĂ© dont ils Ă©taient responsables du traitement Ă©taient librement accessibles. Lors des auditions, l’un d'eux a par ailleurs invoquĂ© “le caractĂšre artificiel d’une telle obligation dĂšs lors qu’il a eu connaissance du libre accĂšs de la base de donnĂ©es de son logiciel d’imagerie mĂ©dicale par la dĂ©lĂ©gation de contrĂŽle de la CNIL”. Ce Ă  quoi l’intĂ©ressĂ©e rĂ©torque que “la circonstance que la violation de donnĂ©es avait Ă©tĂ© portĂ©e Ă  la connaissance de M. [...] par le service des contrĂŽles de la CNIL ne le dĂ©chargeait pas de cette obligation”.

    Les deux praticiens sont condamnĂ©s Ă  respectivement 3000 et 6000 euros d’amende, la Cnil se montrant clĂ©mente au regard des Ă©lĂ©ments des dossiers quand bien mĂȘme les manquements s’étendaient sur une pĂ©riode de cinq ans et impliquaient quelques milliers d’images mĂ©dicales. Le rĂ©gulateur, s’il maintient l’anonymat des mĂ©decins, a nĂ©anmoins choisi de rendre ses sanctions publiques, “pour alerter les professionnels de la santĂ© sur leurs obligations et la nĂ©cessitĂ© de renforcer leur vigilance sur les mesures de sĂ©curitĂ© apportĂ©es aux donnĂ©es personnelles qu’ils traitent”.

  • DonnĂ©es de santĂ© : la Cnil met en demeure Francetest

    Le gendarme des donnĂ©es personnelles met en demeure la sociĂ©tĂ© accusĂ©e d’avoir laissĂ© exposĂ©es en ligne les donnĂ©es de tests antigĂ©niques de centaines de milliers de Français. 

  • DonnĂ©es de santĂ© : la Cnil rĂ©pond Ă  Cash Investigation

    L’émission d’Elise Lucet sur les donnĂ©es personnelles a fait rĂ©agir la Cnil. Cash Investigation dĂ©nonçait IQVIA, une sociĂ©tĂ© collectant des donnĂ©es pseudonymisĂ©es de pharmacies, issues des cartes vitales des clients. Sans que ces derniers en soient conscients, accuse l’émission, et avec l’accord de la Cnil. Une allĂ©gation avec laquelle le gendarme des donnĂ©es personnelles n’est pas d’accord.  

    OĂč vont donc les donnĂ©es de nos cartes vitales lorsque nous allons en pharmacie ? Selon Cash Investigation, la SĂ©cu n’est pas la seule Ă  rĂ©cupĂ©rer ces informations. L’émission d’Elise Lucet, diffusĂ©e demain sur France 2 mais d’ores et dĂ©jĂ  disponible sur le site de Francetv, s’intĂ©resse Ă  IQVIA. Cette sociĂ©tĂ© amĂ©ricaine nĂ©e en 2016 n’est pas connue du grand public et pourtant... Ă  en croire l’émission, l’entreprise collecte depuis des annĂ©es les donnĂ©es de santĂ© des Français. 

    Et ce avec l’aval de la Cnil, qui aurait donnĂ© son autorisation Ă  ces traitements. Autant dire que la rĂ©action du gendarme des donnĂ©es personnelles ne s’est pas faite attendre. Celle-ci confirme les dires de Cash Investigation : IQVIA stocke ces informations dans un entrepĂŽt de donnĂ©es depuis 2018. La dĂ©libĂ©ration de la Cnil est publique et s’inscrit dans un « projet d’intĂ©rĂȘt public ». 

    Un entrepÎt autorisé

    Il s’agit d’aider la recherche mĂ©dicale au moyen de donnĂ©es pseudonymisĂ©es. Une pratique courante selon la Cnil qui ajoute sur ce point ne pas faire de distinction entre acteurs publics et acteurs privĂ©s. Ainsi, IQVIA a Ă©tĂ© autorisĂ© le 12 juillet 2018 Ă  constituer cet entrepĂŽt de donnĂ©es. Et ce sous certaines conditions

    D’abord une finalitĂ© spĂ©cifique, à savoir des « Ă©tudes non interventionnelles visant Ă  l’évaluation de la bonne utilisation du mĂ©dicament en vie rĂ©elle, l’analyse scientifique et statistique des phĂ©nomĂšnes liĂ©s Ă  la persistance, la conformitĂ©, le respect des prescriptions et des contre-indications ». Pas de revente de donnĂ©es Ă  des tiers ni d’exploitation commerciale, ce qu’assure pourtant Cash Investigation. Les seuls tiers autorisĂ©s sont les partenaires scientifiques, et encore ils doivent prĂ©senter Ă  leur tour les garanties requises.

    ContrĂŽles Ă  venir 

    De mĂȘme, les usagers doivent ĂȘtre informĂ©s. “Les pharmaciens d’officine sont chargĂ©s, contractuellement, d’informer individuellement leurs clients du traitement des donnĂ©es les concernant, ainsi que de permettre l’exercice des droits d’accĂšs, de rectification et d’opposition qui leur sont reconnus” Ă©crit la Cnil. Et c’est sans doute lĂ  que se pose le problĂšme. 

    Selon l’émission, sur 200 pharmacies “testĂ©es”, aucune n’a cru bon d’informer les journalistes de la collecte et du traitement de leurs donnĂ©es. Ce qui enfreint le cadre rĂ©glementaire relatif Ă  la protection des donnĂ©es. Et pourrait valoir Ă  des officines remontrances et sanctions. La Cnil a en effet prĂ©cisĂ© n’avoir reçu aucune plainte quant Ă  IQVIA, mais que, suite Ă  l’émission, elle diligentera des contrĂŽles.

  • Drones : la Cnil remonte les bretelles de l’IntĂ©rieur

    En juin, la Préfecture de Police continuait d'utiliser des drones lors de manifestations

    Non c’est non ! MalgrĂ© un premier arrĂȘt dĂ©favorable du Conseil d’État, la police continuait de faire voler ses drones, dĂ©sormais au-dessus des manifestations. DeuxiĂšme salve du juge, que vient de rejoindre la Cnil qui rappelle Beauvau Ă  l’ordre quant Ă  l’utilisation illicite de ses drones. 

    Mi-mai 2020, le Conseil d’État dĂ©fendait strictement Ă  la PrĂ©fecture de Police d’utiliser ses drones, faute de cadre lĂ©gal. “Il rĂ©sulte de l’instruction que les appareils en cause sont susceptibles de collecter des donnĂ©es identifiantes et ne comportent aucun dispositif technique de nature Ă  Ă©viter, dans tous les cas, que les informations collectĂ©es puissent conduire, au bĂ©nĂ©fice d’un autre usage que celui actuellement pratiquĂ©, Ă  rendre les personnes auxquelles elles se rapportent identifiables” Ă©crivait le juge saisi en rĂ©fĂ©rĂ© par la LDH et la Quadrature. Soit un usage contraire aux rĂšgles de protection des donnĂ©es personnelles et qui n’est encadrĂ© par aucun test. 

    Ballet aérien

    Quelques semaines plus tard, lors des manifestations de juin, que voit-on Ă  Paris ? Des policiers opĂ©rant des drones afin de surveiller les collĂšges. A croire que la PrĂ©fecture de Police n’a pas Ă©tĂ© informĂ©e de la dĂ©cision du Conseil d’État. Ni une, ni deux, la Quadrature du Net saisit Ă  nouveau le Conseil d’État, qui rend un verdict similaire et “enjoint au prĂ©fet de police de cesser, sans dĂ©lai, de procĂ©der aux mesures de surveillance par drone des rassemblements de personnes sur la voie publique”. 

    Mais le Conseil d’État n’est pas le seul Ă  se pencher sur le sujet. AlarmĂ© par les articles de presse relatifs aux vols des drones policiers, la Cnil a menĂ© dĂšs mai 2020 plusieurs contrĂŽles. Le gendarme des donnĂ©es personnelles s’est mĂȘme rendu en juillet 2020 “dans les locaux de la prĂ©fecture de police de Paris et a fait procĂ©der Ă  un vol d’essai d’un des drones utilisĂ©s pour les finalitĂ©s prĂ©citĂ©es”. Le 12 janvier, la Cnil publie sa dĂ©cision et sanctionne le ministĂšre de l’IntĂ©rieur. 

    La police hors-la-loi

    En effet, suite Ă  cette visite Ă  la prĂ©fecture, le rĂ©gulateur a constatĂ© que “les personnes filmĂ©es par ce type de dispositif Ă©taient susceptibles d’ĂȘtre identifiĂ©es”, soit un traitement de donnĂ©es personnelles qui ne repose sur aucune base lĂ©gale : la Cnil lance la procĂ©dure de sanction. Car il n’existe pour l’heure aucun texte de loi, aucune analyse d’impact, autorisant l’IntĂ©rieur Ă  utiliser des drones munis de camĂ©ras. Pire encore, “le public n’était pas non plus informĂ© de l’utilisation des drones comme il aurait dĂ» l’ĂȘtre” Ă©crit la Cnil. 

    Beauvau pointe pour sa dĂ©fense avoir dĂ©veloppĂ© un systĂšme de floutage des personnes figurant sur les images, opĂ©rationnel en aoĂ»t, soit trois mois aprĂšs la premiĂšre dĂ©cision du Conseil d’État), et surtout exĂ©cutĂ© a posteriori : “des images contenant des donnĂ©es personnelles sont donc collectĂ©es, transmises et traitĂ©es par le ministĂšre de l'IntĂ©rieur avant que ce systĂšme de floutage ne soit appliquĂ©â€. Cerise sur la gĂąteau : le systĂšme permet Ă  la police de dĂ©flouter les personnes, ce qui n’empĂȘche donc pas “nĂ©cessairement” l’identification. 

    Grognonne, la Cnil rappelle Ă  l’ordre l’IntĂ©rieur, sans pouvoir prononcer de sanction financiĂšre. Surtout, elle “enjoint au ministĂšre de cesser, sans dĂ©lai, toute utilisation de drone jusqu’à ce qu’un cadre normatif autorise un tel traitement de donnĂ©es personnelles ou jusqu’à ce qu’un systĂšme technique empĂȘchant toute identification des personnes soit mis en Ɠuvre”. Et contrairement aux dĂ©cisions du Conseil d’Etat, qui ne s’adressait qu’à la PrĂ©fecture de police de Paris, celle de la Cnil couvre l’intĂ©gralitĂ© du territoire.

  • En 2021, la Cnil a cartonnĂ©

    Le gendarme des donnĂ©es personnelles enregistre deux records pour l’annĂ©e Ă©coulĂ©e : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portĂ©e par le renforcement des contrĂŽles relatifs Ă  la gestion des cookies et autres traceurs.

  • En 2021, la Cnil a cartonnĂ©

    Le gendarme des donnĂ©es personnelles enregistre deux records pour l’annĂ©e Ă©coulĂ©e : un montant total d’amendes de 214,1 millions d’euros et 135 mises en demeure. Une tendance surtout portĂ©e par le renforcement des contrĂŽles relatifs Ă  la gestion des cookies et autres traceurs.

  • La Cnil consulte sur les mots de passe

    Le gendarme des donnĂ©es personnelles juge datĂ©e sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte Ă  consultation publique jusqu’au 3 dĂ©cembre.

  • La Cnil consulte sur les mots de passe

    Le gendarme des donnĂ©es personnelles juge datĂ©e sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte Ă  consultation publique jusqu’au 3 dĂ©cembre.

  • La Cnil Ă©trille Francetest

    Le gendarme des donnĂ©es personnelles met en demeure la sociĂ©tĂ© accusĂ©e d’avoir laissĂ© exposĂ©es en ligne les donnĂ©es de tests antigĂ©niques de centaines de milliers de Français. 

  • La CNIL fait son bilan 2023

    MalgrĂ© un parti pris qui privilĂ©gie la mise en conformitĂ© plutĂŽt que la rĂ©pression, le bilan de la CNIL de 2023 montre une augmentation des sanctions qui s’élĂšvent Ă  89 175 500 € pour l’annĂ©e Ă©coulĂ©e.