RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Fri, 01 Aug 2014 10:37:00 +0200 Vidéosurveillance : sanction pécuniaire de 5.000 euros à l'encontre de PROVIDIS LOGISTIQUE http://www.cnil.fr/nc/linstitution/actualite/article/article/videosurveillance-sanction-pecuniaire-de-5000-euros-a-lencontre-de-providis-logistique/ La formation restreinte de la CNIL a prononcé une sanction de 5.000 euros à l'encontre de la société PROVIDIS LOGISTIQUE pour différents manquements à la loi " Informatique et Libertés " concernant principalement son dispositif de vidéosurveillance.]]> La CNIL a été saisie par l'inspection du travail de Rhône-Alpes au sujet des conditions de mise en œuvre des dispositifs de vidéosurveillance dans les filiales de la société PROVIDIS LOGISTIQUE. Les contrôles de la CNIL réalisés dans les locaux de la société et de certaines de ses filiales avaient révélé de nombreux manquements à la loi Informatique et Libertés. Une mise en demeure a donc été adoptée par la Présidente de la CNIL le 12 juillet 2013. En réponse à cette mise en demeure, la société a indiqué avoir corrigé certaines défaillances. Pourtant, de nouveaux contrôles sur place ont révélé la persistance de certains manquements relatifs notamment à la proportionnalité des dispositifs de vidéosurveillance et ont motivé l'engagement d'une procédure de sanction. Dans sa délibération, la formation restreinte a notamment examiné la légalité des dispositifs de vidéosurveillance au regard des impératifs de sécurité des biens et des personnes invoqués en défense par la société. La société continuait à filmer de manière continue certaines zones réservées aux salariés (accès aux vestiaires et aux locaux affectés au repos des salariés). La formation restreinte a retenu qu'aucune justification particulière ne pouvait légitimer une telle atteinte à la vie privée des salariés concernés. La formation restreinte a aussi considéré que l'information relative à ces dispositifs était incomplète et que les mesures de sécurité permettant de garantir la confidentialité des données issues des traitements déployés étaient insuffisantes. En conséquence, la formation restreinte a prononcé une sanction pécuniaire de 5.000 euros à l'encontre de la société. Elle a décidé, eu égard à l'absence de mise en conformité malgré un accompagnement constant de la CNIL, de rendre sa délibération publique. ]]> Actualités Vidéosurveillance Sanctions Surveillance des salariés Fri, 01 Aug 2014 10:37:00 +0200 Clôture de la mise en demeure du centre commercial E. LECLERC http://www.cnil.fr/nc/linstitution/actualite/article/article/cloture-de-la-mise-en-demeure-du-centre-commercial-e-leclerc/ La Présidente de la CNIL a adopté le 15 janvier 2014 une mise en demeure publique à l'encontre de la société SAS HYPERCOSMOS. La société s'étant depuis mise en conformité, la mise en demeure est donc clôturée. ]]> La Présidente de la CNIL a mis en demeure le centre commercial E. LECLERC de Saint-Médard-en-Jalles, notamment en raison de la mise en œuvre d'un dispositif de vidéosurveillance et d'un dispositif biométrique excessifs. Cette mise en demeure est intervenue à la suite d'une plainte qui a donné lieu à un contrôle sur place. Le courrier de réponse de la société, ainsi que le deuxième contrôle effectué sur place, ont démontré que les manquements relevés ne perduraient plus. La Présidente de la CNIL a considéré que l'organisme s'était mis en conformité avec la loi " Informatique et Libertés " et a ainsi décidé de procéder à la clôture de la décision de mise en demeure. ]]> Actualités Mise en demeure Salariés Surveillance des salariés Thu, 31 Jul 2014 17:42:00 +0200 Géolocalisation des clients : la CNIL sanctionne un dispositif illégal http://www.cnil.fr/nc/linstitution/actualite/article/article/geolocalisation-des-clients-la-cnil-sanctionne-un-dispositif-illegal/ La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 5 000 euros à l’encontre de la société LOC CAR DREAM pour avoir mis en œuvre un système de géolocalisation non conforme à la loi « Informatique et Libertés ».]]> La CNIL a reçu une plainte d'un client de la société LOC CAR DREAM relative à la mise en œuvre d'un dispositif de géolocalisation au sein des véhicules de luxe mis en location. Il dénonçait le caractère excessif des données recueillies et traitées par ce dispositif, mis en œuvre sans déclaration ni information préalable. La CNIL a adressé trois courriers à la société afin de lui rappeler ses obligations. Aucune réponse n'y a été apportée. Dès lors, un contrôle auprès de la société a été réalisé. Au vu des faits constatés, la présidente de la CNIL a mis en demeure la société LOC CAR DREAM et lui a demandé :
  • de procéder aux formalités préalables pour les traitements relatifs à la géolocalisation et à la gestion des clients,
  • de limiter la collecte des données de géolocalisation aux situations de non restitution et de vols,
  • d'informer les clients de la mise en œuvre des deux traitements précités,
  • de définir une politique sécurisée de gestion des mots de passe.
La société n'ayant apporté aucune réponse à cette mise en demeure, une procédure de sanction a donc été engagée. La formation restreinte de la CNIL a décidé de prononcer une sanction pécuniaire de 5 000 euros à l'encontre de la société. Elle a sanctionné l'ensemble des manquements auxquels il était demandé de remédier dans la mise en demeure, notamment le caractère excessif des données traitées par le dispositif de géolocalisation. En effet, la société a traité de nombreuses données, notamment de temps et de lieu, considérées comme excessives au regard des finalités pour lesquelles elles sont collectées et traitées.]]>
Actualités Géolocalisation Sanctions Surveillance des déplacements Mon, 28 Jul 2014 10:32:00 +0200
Sanction pécuniaire de 3.000 euros pour la Fédération Française d’Athlétisme http://www.cnil.fr/nc/linstitution/actualite/article/article/sanction-pecuniaire-de-3000-euros-pour-la-federation-francaise-dathletisme/ La formation restreinte de la CNIL a sanctionné la Fédération Française d’Athlétisme pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet et à la sécurité et la confidentialité des données. ]]> La CNIL a effectué un contrôle auprès de la Fédération Française d'Athlétisme dans le cadre de son programme annuel en matière de sport. Le contrôle a permis notamment de vérifier les traitements de données mis en œuvre par la Fédération s'agissant des licenciés. Il a porté en outre sur une plainte dont la CNIL avait été saisie concernant une personne qui souhaitait obtenir la suppression des résultats sportifs de son enfant mineur publiés sur le site web de la Fédération. A la suite de ce contrôle, la Présidente de la Commission a relevé de nombreux manquements à la loi du 6 janvier 1978 modifiée et a ainsi mis en demeure la Fédération le 14 février 2013 de se mettre en conformité. A l'expiration du délai de la mise en demeure, et malgré les échanges par courrier et une réunion au cours de laquelle la Fédération a été reçue par la CNIL, certains manquements ont persisté. Une procédure de sanction a alors été engagée.

La formation restreinte, instance contentieuse de la CNIL, a retenu :

Un manquement à l'obligation d'informer les personnes :

Le fait d'informer les sportifs non-licenciés, de la publication de leurs résultats sur le site web de la FFA et notamment de leur droit d'opposition, par l'intermédiaire des différents organisateurs des compétitions, n'était pas impossible et ne constituait pas un effort disproportionné comme l'avait soutenu dans un premier temps la Fédération. La formation restreinte considère, en tout état de cause, que la délivrance de cette information aux licenciés comme aux non-licenciés est d'autant plus importante que la diffusion de données sur internet est considérée comme plus intrusive qu'un moyen hors ligne.

Un manquement à l'obligation d'assurer la sécurité et la confidentialité des données :

Il a fallu la procédure de sanction pour que la Fédération mette en place des mots de passe robustes malgré l'accompagnement de la CNIL dans sa mise en conformité. Au vu de ces éléments, la formation restreinte a prononcé une sanction pécuniaire de 3.000 euros à l'encontre de la Fédération et a décidé de rendre sa délibération publique. ]]>
Actualités Sanctions Mon, 28 Jul 2014 10:14:00 +0200
Droit à l’oubli : le G29 a réuni les moteurs de recherche le 24 juillet http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-a-laEURTMoubli-le-g29-a-racuni-les-moteurs-de-recherche-le-24-juillet/ A la suite de l'arrêt de la Cour de Justice de l’Union européenne (CJUE) portant sur le droit à l’oubli, le G29 a rencontré, le 24 juillet à Bruxelles, des représentants de Google, Microsoft et Yahoo !.]]> L’objectif de cette rencontre était d’interroger les moteurs de recherche sur leur mise en œuvre pratique des principes clés du jugement, notamment afin d’élaborer les lignes directrices du G29. Ces lignes directrices permettront aux autorités de protection européennes de traiter de manière coordonnée les plaintes d'individus qui peuvent les saisir en cas de réponse négative des moteurs de recherche à leur demande de déréférencement. Elles devront aussi préciser comment les moteurs de recherche doivent répondre aux demandes, de manière à garantir une application cohérente et uniforme de la décision au niveau européen. Plusieurs questions ont été posées aux moteurs de recherche durant la réunion. Elles portent principalement sur leurs modalités de déréférencement (champ territorial de l’arrêt, raisons particulières pour lesquelles l’intérêt général du public à accéder à une information est considéré comme un élément prépondérant, notification du déréférencement aux sites, justification du refus de déréférencement). Les autorités européennes ont également demandé aux moteurs de recherche de répondre à certaines questions par écrit avant la fin du mois de juillet. Des rencontres pourront être organisées ultérieurement avec d’autres parties prenantes. Les lignes directrices du G29 seront finalisées à l’automne. ]]> Actualités Internautes Presse Traces informatiques Droit à l'oubli Internet Travaux du Groupe de l’article 29 Fri, 25 Jul 2014 14:22:00 +0200 Logement social : adoption d'un pack de conformité http://www.cnil.fr/nc/linstitution/actualite/article/article/logement-social-adoption-dun-pack-de-conformite/ Pour aider les bailleurs sociaux à mieux comprendre et appliquer la loi « Informatique et Libertés », la CNIL a conçu avec des acteurs de ce secteur un nouvel outil pratique, appelé « pack de conformité ».]]> A la suite d'une mise en demeure publique prononcée en 2011 à l'encontre d'un bailleur social, la CNIL a souhaité engager une phase de concertation avec certains des acteurs de ce secteur. Cette concertation lui a permis de mieux appréhender leurs pratiques, leurs besoins et d'identifier avec eux les difficultés qu'ils rencontrent pour mettre en œuvre des traitements de données conformes à la loi " Informatique et Libertés ". Pour simplifier les démarches que les bailleurs sociaux doivent accomplir auprès de la CNIL avant de créer un fichier, trois outils de simplification ont ainsi été élaborés en concertation avec l'Union sociale pour l'habitat et des bailleurs sociaux. Ces outils concernent des fichiers couramment utilisés, notamment pour instruire les demandes de logements, gérer le parc immobilier, ou instruire des précontentieux et des contentieux avec les résidents. Si ces outils ont par nature une forte composante juridique, ils présentent également une dimension pédagogique, en expliquant concrètement comment respecter certaines règles juridiques.

Le pack de conformité dédié aux bailleurs sociaux comprend :

Trois outils de simplification des formalités prévues par la loi " Informatique et Libertés "

  • une refonte de la norme simplifiée n° 20 permettant de déclarer plus facilement les fichiers qui servent à enregistrer et instruire les demandes de logement social ou à assurer une gestion courante du patrimoine immobilier ;
  • une autorisation unique permettant de mettre en œuvre des fichiers comportant des appréciations sur des difficultés sociales des résidents aux fins d'attribution, d'adaptation et de mutation des logements ou, si les personnes concernées le souhaitent, de mise en place d'un suivi social personnalisé ;
  • une autorisation unique concernant la gestion du précontentieux et du contentieux et permettant également de traiter des décisions de justice lorsqu'elles ont une incidence sur un lieu de résidence ;

Un guide pratique et pédagogique

Ayant vocation à évoluer avec le temps, ce guide précise et illustre les outils juridiques pour aider les bailleurs à mettre concrètement en application les principes " Informatique et Libertés ". Il aborde sous la forme de fiches pratiques : Les outils de simplification des formalités CNIL ;
Les destinataires des données et les tiers autorisés ;
La durée de conservation des données et l'archivage
La vidéosurveillance et la vidéoprotection dans les ensembles immobiliers à caractère social ;
la bonne utilisation des zones de commentaires ;
le traitement d'appréciations sur des difficultés sociales ;
le traitement des données de santé ;
les données d'infractions ou de condamnations ;
l'information des résidents ;
La sécurité des données.]]>
Actualités Presse Services publics Logement social Wed, 23 Jul 2014 15:20:00 +0200
Collectivités locales et prévention de la délinquance : une nouvelle autorisation unique http://www.cnil.fr/nc/linstitution/actualite/article/article/collectivites-locales-et-prevention-de-la-delinquance-une-nouvelle-autorisation-unique/ Ce cadre général permettra aux communes de sécuriser les échanges de données mis en œuvre dans le cadre de la prévention de la délinquance et d’assurer la protection des données des personnes concernées. ]]>

Pourquoi fixer un cadre général ?

À la suite de contrôles réalisés auprès de différentes communes en 2011 et 2012, la CNIL a constaté que les acteurs locaux rencontraient des difficultés pour respecter les obligations légales en matière de traitement des données personnelles dans l'accomplissement de leurs missions de prévention de la délinquance. C'est la raison pour laquelle, elle a souhaité fixer un cadre général leur permettant de sécuriser les traitements mis en œuvre, tout en allégeant les formalités à accomplir. Afin que ce cadre réponde au mieux aux besoins des acteurs de la prévention de la délinquance, la CNIL a procédé à de nombreuses visites sur place, auprès de communes de différentes tailles, tant en milieu urbain que rural. Ces visites ont permis d'identifier les difficultés rencontrées sur le terrain par les différents intervenants, de mieux appréhender le fonctionnement et les besoins des structures impliquées ainsi que les outils de prévention de la délinquance utilisés. Pour associer l'ensemble des parties prenantes, la CNIL a également recueilli les observations du Comité interministériel de prévention de la délinquance et du ministère de l'intérieur. C'est dans ce contexte que la Commission a adopté, le 26 juin 2014, une autorisation unique (AU-038) concernant certains traitements mis en œuvre par le maire dans le cadre de ses missions de prévention de la délinquance.

Qu'est-ce qu'une autorisation unique ?

Il s'agit d'un cadre réglementaire définissant les conditions de mise en œuvre du traitement. Dès lors que celui-ci répond aux exigences fixées par l'autorisation unique, le responsable de ce traitement peut effectuer un simple engagement de conformité à partir du site de la CNIL, ce qui lui donne l'autorisation de mise en œuvre du traitement.

Quels sont les traitements concernés par l'autorisation unique ?

L'AU-038 encadre uniquement les traitements mis en œuvre dans le cadre du fonctionnement des groupes relevant directement des pouvoirs du maire en matière de prévention de la délinquance, à savoir les Conseils locaux de sécurité et de prévention de la délinquance (CLSPD) et les Conseils pour les droits et devoirs des familles (CDDF). Pour les traitements concernés, la délibération de la CNIL précise les finalités exactes qui peuvent être poursuivies et les utilisations qui doivent être exclues, notamment l'alimentation d'autres traitements locaux ou de fichiers nationaux.

Quels sont les traitements exclus de ce cadre général ?

Les fichiers mis en œuvre par :
  • les groupes relevant de l'autorité d'un représentant de l'État (préfet, procureur),
  • des organismes appartenant à d'autres entités locales,
  • les autres organismes participant au niveau local à la prévention de la délinquance.
Ces traitements doivent donc faire l'objet d'une demande d'autorisation spécifique.

Quelles sont les données concernées ?

L'autorisation AU-038 établit une liste limitative des données qui peuvent être collectées dans le cadre de ces fichiers et prévoit des conditions supplémentaires pour le traitement de certaines données sensibles du point de vue de la protection des données personnelles. Par exemple, elle autorise le traitement d'appréciations sur les difficultés sociales des personnes concernées uniquement en vue des réunions du CDDF, qui a en effet pour mission d'aider et soutenir les familles confrontées à des difficultés pour exercer leur autorité parentale.

Quelles sont les personnes destinataires des données ?

L'autorisation AU-038 liste les seules personnes habilitées à connaître des informations collectées dans le cadre de la prévention de la délinquance, en distinguant les personnels pouvant disposer d'un accès direct aux traitements mis en œuvre, des personnes à qui ces informations peuvent être communiquées, pour certaines de manière ponctuelle uniquement. Elle exclut :
  • les membres participant aux seules formations plénière et restreinte des CLSPD, dans la mesure où il n'y est pas traité de cas individuels ;
  • les services de police et de gendarmerie (hors cadre judiciaire) ;
  • les services de la municipalité qui ne sont pas en charge de la mise en œuvre effective des mesures de suivi décidées dans le cadre de la prévention de la délinquance.
L'AU-38 prévoit également une durée de conservation limitée, des modalités particulières d'information des personnes concernées ainsi que des mesures de sécurité adaptées à la sensibilité des traitements mis en œuvre. Il s'agit d'une première étape vers la mise en conformité des traitements mis en œuvre aux fins de la prévention de la délinquance. Sur cette base, la Commission va poursuivre son travail de mise en conformité de ce secteur, en prenant attache avec les autres acteurs impliqués dans cette politique publique (Etat, autres collectivités territoriales, acteurs sociaux, etc.) afin de les accompagner dans cette démarche. ]]>
Actualités Collectivités locales Police Tue, 22 Jul 2014 09:42:00 +0200
BYOD : quelle intimité pour le travailleur connecté ? http://www.cnil.fr/nc/linstitution/actualite/article/article/byod-quelle-intimite-pour-le-travailleur-connecte/ Si vous utilisez votre téléphone personnel à des fins professionnelles, vous faites partie des nombreux adeptes du BYOD (Bring Your Own Device) qui est l'objet de la nouvelle Lettre IP de la CNIL.]]> Le constat est partagé par tous depuis quelque temps déjà : le numérique favorise le brouillage des frontières entre sphère privée et sphère professionnelle. Le travailleur connecté amène son travail à la maison mais il peut aussi amener sa famille et ses amis au travail (via les réseaux sociaux notamment). Ce phénomène s'illustre également dans les pratiques de BYOD (Bring Your Own Device), qui consistent à utiliser les appareils personnels (smartphones, tablettes, etc.) dans un cadre professionnel, afin de gagner en flexibilité et en confort. Le 7ème numéro de la Lettre IP de la CNIL intitulé, Intimité et vie privée du travailleur connecté : BYOD, capteurs, sécurité des données dans l'entreprise numérique, analyse les mutations en cours. Face à ce nouveau phénomène, les organisations s'adaptent et cherchent un équilibre entre sécurité et protection de la vie privée des salariés. Comment ces pratiques amènent à repenser la sécurité ? Comment gérer les besoins de salariés mobiles aux usages numériques intensifs ? Quelle est l'étendue et la légitimité du contrôle que l'organisation peut exercer sur ses employés pour des raisons de confidentialité ou de performance ? A ces questions très actuelles s'ajoutent des interrogations plus prospectives. En effet, " l'intimité professionnelle " du travailleur connecté sera analysée au travers de capteurs et d'indicateurs de performance, dans un objectif d'optimisation des ressources de l'organisation et de la productivité. Cela pourrait conduire à des formes bien réelles de surveillance permanente des salariés, de leurs performances, de leurs actions, mais aussi de leur bien-être ou de leur humeur. Il s'agit donc de construire un cadre éthique et juridique à la hauteur de ces enjeux.]]> Actualités Surveillance des salariés Prospective Fri, 18 Jul 2014 09:14:00 +0200 [Communiqué G29] Décision de la CJUE sur le droit à l’oubli : le G29 réunira les moteurs de recherche le 24 juillet http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-decision-de-la-cjue-sur-le-droit-a-loubli-le-g29-reunira-les-moteurs-de-re/ Le 15 juillet, les autorités européennes de protection des données se sont réunies pour échanger sur les conséquences de l'arrêt de la Cour de Justice de l’Union européenne (CJUE) du 13 mai 2014 portant sur le droit à l’oubli sur internet. ]]> L'objectif est d'élaborer des lignes directrices afin de traiter de manière coordonnée les plaintes d'individus qui peuvent les saisir en cas de réponse négative des moteurs de recherche à leur demande de déréférencement. Dans la perspective d'une mise en œuvre uniforme en Europe de cet arrêt, les autorités ont analysé les bases légales permettant à des personnes, quels que soient leur nationalité, leur lieu de résidence et le préjudice subi, d'invoquer un droit au déréférencement auprès des moteurs de recherche. Les modalités précises d'exercice de ce droit à l'effacement et de refus par le moteur de recherche ont été aussi étudiées, mettant notamment en avant la nécessité pour l'individu d'être éclairé sur les raisons précises d'un éventuel refus afin de pouvoir exercer ses droits vis-à-vis de tout moteur de recherche soumis au droit européen. Les autorités se sont également penchées sur les critères permettant de prendre en compte, dans certains cas spécifiques, l'intérêt du public à accéder à l'information en cause. Les autorités de protection ont invité les moteurs de recherche à évoquer avec elles, le 24 juillet, la mise en œuvre pratique des principes clés du jugement, afin qu'elles puissent finaliser leurs lignes directrices pour l'automne 2014. ]]> Actualités Droit à l'oubli Moteurs de recherche Travaux du Groupe de l’article 29 Thu, 17 Jul 2014 17:58:00 +0200 Avertissement pour la société RÉGIME COACH, éditrice du site www.regimedukan.com http://www.cnil.fr/nc/linstitution/actualite/article/article/avertissement-pour-la-societe-regime-coach-editrice-du-site-wwwregimedukancom/ La formation restreinte de la CNIL a sanctionné la société RÉGIME COACH pour différents manquements à la loi Informatique et Libertés dans le cadre de la collecte des données personnelles via son site internet www.regimedukan.com. ]]> La société REGIME COACH propose, via son site internet www.regimedukan.com, une méthode de suivi de régime en ligne. A ce titre, la société est amenée à collecter de nombreuses informations de « bien-être » relatives à la condition physique des personnes et leurs habitudes de vie. A l’issue de deux contrôles de la CNIL réalisés en 2011, la société s’est engagée à remédier à un certain nombre de défaillances identifiées. Un nouveau contrôle sur place a été diligenté en septembre 2013 afin de vérifier la bonne mise en œuvre des mesures correctives annoncées. Or, les investigations opérées ont révélé que des manquements persistaient justifiant l’engagement d’une procédure de sanction. Saisie du dossier, la formation restreinte de la CNIL a relevé que si, au jour de la séance, la société avait remédié à la plupart des manquements retenus dans le rapport de sanction, ceux-ci avaient persisté pendant plusieurs années malgré les engagements pris à l’issue des contrôles de 2011. Il a ainsi été retenu des manquements aux obligations de :
  • délivrer une information complète sur les différents formulaires de collecte de données du site Internet,
  • assurer la sécurité et la confidentialité des données ; il a été retenu que les connexions des internautes aux formulaires de collecte de données du site et des salariés aux outils de gestion du site n’étaient pas sécurisées et que les mots de passe des comptes clients étaient conservés en clair,
  • coopérer avec les services de la CNIL.
Au vu de ces éléments, la formation restreinte a prononcé le 4 juillet 2014 un avertissement public à l’encontre de la société. ]]>
Actualités Biométrie Données de santé Santé Assurance maladie Dossier médical Gestion des patients La déclaration obligatoire VIH Recherche médicale Santé sur internet Fri, 11 Jul 2014 16:04:00 +0200