RSS CNIL

Des gardiens trop curieux : la CNIL met en demeure l'OPH PARIS-HABITAT

Thu, 02 Feb 2012 11:05:00 +0100

La CNIL a reçu des plaintes d'associations de locataires s'étonnant de l'accès, par certains gardiens de l'OPH PARIS HABITAT, de données relatives à leur vie privée.

Les contrôles opérés auprès de l'OPH PARIS HABITAT dans le cadre de l'instruction de ces plaintes ont permis de constater que certains de ses gardiens avaient effectivement accès au compte locatif des personnes résidant dans l'immeuble auquel ils étaient affectés.

Ces gardiens avaient également accès à des informations relatives à tous les locataires de l'OPH, y compris ceux qui ne logeaient pas dans l'immeuble dont ils avaient la charge. Or, seules les personnes travaillant au sein du service chargé de la gestion locative peuvent avoir accès à ces informations personnelles.

Ce contrôle a également mis en lumière d'autres manquements imputables à l'OPH PARIS HABITAT tel que la collecte de données subjectives sur les locataires ou la collecte de données d'infractions (« alcoolique », « violence conjugale », « ancien SDF addiction boisson », « n'est pas de nationalité française » ou encore « personne très difficile à vivre de tempérament agressif et violent très procédurier ») voire relative à leur santé (« séropositif », « cancer », « personne cardiaque », « sous chimiothérapie », « alzeimer aveugle », « maladie de parkinson », « souffrant d'une pathologie respiratoire et chronique », « dépression hôpital psychiatrique », « fils cancer Mme malade des poumons », « cancer des intestins opération du cerveau »).

Au regard de l'ensemble de ces éléments, la CNIL a décidé de rendre publique la mise en demeure décidée par la Présidente à l'encontre de l'OPH PARIS HABITAT.

C'est la première fois que la CNIL décide de rendre publique une mise en demeure. Cette publicité a été décidée au regard de l'importance des manquements constatés, du statut de l'office HLM contrôlé et du nombre de locataires concernés. Cette publicité permet également à la CNIL d'informer l'ensemble des locataires des droits dont ils disposent et de rappeler aux offices HLM leurs obligations concernant le respect de la vie privée des personnes dont ils assurent l'hébergement.

Cette mise en demeure enjoint l'OPH PARIS HABITAT, dans un délai de deux mois, de se conformer à la loi et, ainsi, respecter la vie privée de ses locataires. Cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si l'OPH PARIS HABITAT se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Surveillance excessive des salariés : la CNIL met en demeure la société OCEATECH EQUIPEMENT de modifier son dispositif de vidéosurveillance

Thu, 02 Feb 2012 11:04:00 +0100

La CNIL a reçu une plainte d'un salarié concernant un dispositif de vidéosurveillance situé dans les locaux de la société OCEATECH EQUIPEMENT. Cette société située à Toulouse fournit du matériel et des applications aux professionnels de santé. Ce salarié indiquait que ce dispositif permettait au responsable de la société de surveiller les salariés et d'écouter leurs conversations. Un contrôle a permis de confirmer la mise en œuvre effective de ce dispositif. Celui-ci comportait 8 caméras, (chacune équipée d'un microphone permettant l'écoute sonore et d'un haut-parleur) filmant 8 salariés, soit une caméra par salarié. Le dispositif mis en œuvre a été jugé contraire notamment à la loi "Informatique et Libertés" ainsi qu'au code du travail. En effet, la société avait déclaré à la CNIL que ce système permettait d'assurer la sécurité des salariés et de lutter contre le vol, alors que dans les faits, il s'agissait manifestement d'un outil de surveillance permanente des salariés. De plus, le contrôle a permis de constater une information insuffisante des personnes filmées et une durée de conservation excessive qui conduisait la société à conserver plus de 4 000 fichiers vidéo. L'ensemble de ces manquements a conduit la CNIL à mettre en demeure la société OCEATECH EQUIPEMENT de modifier son dispositif de vidéosurveillance pour ne plus porter atteinte aux droits de ses salariés. La CNIL a décidé de rendre publique cette mise en demeure au regard du caractère particulièrement intrusif de ce système. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société OCEATECH EQUIPEMENT se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Edouard GEFFRAY est nommé Directeur des affaires juridiques, internationales et de l'expertise

Wed, 01 Feb 2012 17:49:00 +0100

Avant de rejoindre notre Commission, il a été successivement, rapporteur à la 10ème sous-section du Contentieux (2005-2008) ; responsable du centre de documentation et de recherches juridiques – service chargé d'effectuer les recherches juridiques pour les membres du Conseil d'État - (2008) et rapporteur public à la 3ème sous-section (déc. 2008-janv. 2012).

Séance plénière du 26 janvier 2012

Wed, 01 Feb 2012 16:16:00 +0100

Avis sur un projet d’arrêté du ministère de la justice et des libertés autorisant la mise en œuvre de systèmes de vidéosurveillance au sein des locaux et des établissements de l’administration pénitentiaire.*
Avis sur un projet d’arrêté autorisant la mise en œuvre d’un traitement relatif à la vidéoprotection de certains immeubles abritant les services du Premier ministre. *
Recommandation relative à la mise en œuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques.
Adoption d’une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les partis ou groupements à caractère politique, les élus ou les candidats à des fonctions électives à des fins de communication politique – norme simplifiée n°34.
Adoption de 4 autorisations

Formation contentieuse du 26 janvier 2012

Mon, 30 Jan 2012 12:17:00 +0100

Proposition de sanction financière à l’encontre d’un syndicat n’ayant pas répondu à une mise en demeure de la CNIL.

Campagnes 2012 : la CNIL en ordre de marche

Mon, 30 Jan 2012 10:59:00 +0100

La CNIL, soucieuse que ces élections se déroulent dans le respect de la vie privée et des droits des personnes, se met en ordre de marche en proposant de nouveaux outils aux partis, élus et candidats.

Une nouvelle recommandation

La CNIL vient d'adopter, le 26 janvier 2012, une nouvelle recommandation, après consultation des principaux partis politiques qui poursuit 3 objectifs :

1er objectif : rappeler les fichiers qui peuvent être légalement utilisés à des fins de communication politique.

De multiples fichiers peuvent être utilisés par les partis ou les élus : des fichiers "internes" constitués par eux-mêmes, des fichiers publics tels que les listes électorales ou le répertoire national des élus et des candidats, ou encore des fichiers de prospection commerciale loués ou achetés. La recommandation détaille les obligations légales et les bonnes pratiques applicables à l'utilisation de chacun de ces fichiers.

Par exemple, en cas de location de fichiers commerciaux, la personne sollicitée doit consentir au préalable à recevoir des courriers électroniques à des fins de "prospection politique". Les modalités pratiques de recueil du consentement sont notamment explicitées dans le guide.

2e objectif : clarifier la nature des opérations de communication politique qui peuvent être menées auprès des différents interlocuteurs des élus ou partis (membres, contacts réguliers ou ponctuels, etc.)

Prenant appui sur les expériences tirées des primaires organisées en 2011 par plusieurs partis pour désigner leurs candidats à l'élection présidentielle, la CNIL a fixé les règles concernant l'utilisation des données personnelles des participants à ce nouveau type de consultation : quelles informations peut-on récupérer ? Lesquelles peut-on conserver ? Comment informer les participants de leurs droits ?
Le guide apporte des réponses concrètes à ces questions.

3e objectif : prendre en compte les nouvelles utilisations des technologies à des fins de communication politique.

Courrier électronique, SMS, réseau social, microblogs, sont désormais des outils utilisés par les partis pour "recruter" de nouveaux adhérents ou informer leurs sympathisants. La CNIL précise les garanties et les bonnes pratiques à adopter pour protéger les données personnelles des internautes.

Par exemple, un parti ou candidat ayant une page sur un réseau social peut faire apparaître une liste d'utilisateurs ("fans", "amis") publique ou non. Si cette liste est publique, elle révèle l'opinion réelle ou supposée de l'internaute qui sera visible de tous sans que ce dernier en ait toujours conscience. Ainsi, lorsqu'une personne souhaite devenir "fan" ou "ami", il est recommandé de l'informer du caractère public de sa démarche et l'inviter à régler ses paramètres de confidentialité pour limiter sa visibilité sur le réseau.

Un guide pratique et une nouvelle norme simplifiée

À partir des recommandations, un nouveau "guide pratique" sera prochainement mis en ligne et adressé aux partis. Ce véritable "manuel de campagne à l'ère numérique" à destination des partis et des candidats comme de leurs prestataires, propose de nombreux exemples, cas concrets et modèles de clauses (mentions d'informations, recueil du consentement des personnes, etc.). La CNIL a également souhaité faciliter les déclarations des fichiers les plus couramment utilisés dans le cadre d'opérations de communication politique en mettant à jour sa norme simplifiée (NS n°34).

La mise en place d'un "Observatoire des élections 2012" au sein de la CNIL

Cet observatoire s'intéresse tout particulièrement à l'utilisation des nouvelles technologies dans le cadre de la communication politique. Dans cette période d'activité électorale intense où les données personnelles des citoyens vont susciter beaucoup d'intérêt, l'Observatoire constitue une structure légère et réactive de veille, de dialogue avec les partis et d'information régulière du public. En pratique, il a pour mission :

d'identifier les pratiques qui seraient contraires à la loi "informatique et libertés" en menant une veille notamment sur internet,
d'assurer un traitement rapide des plaintes reçues par la CNIL en la matière, et le cas échéant de mener des contrôles,
de dialoguer avec les partis, élus et candidats et d'informer le public.

Avec la CNIL, apprenez à sécuriser votre smartphone!

Fri, 27 Jan 2012 14:30:00 +0100

Notre smartphone contient de plus en plus d'informations sur nous. Pourtant, contrairement à un ordinateur, nous sécurisons peu, voire pas du tout, son accès. Une récente étude de la CNIL et Médiamétrie révèle que 40% des possesseurs de smartphone stockent des données à caractère secret (coordonnées bancaires 7%, codes secrets 17%, codes d'accès aux immeubles 17%, informations médicales 3%…) dans leur téléphone. Et 30% d'entre eux déclarent n'avoir aucun code de protection actif sur leur téléphone. Pourtant les smartphones peuvent être volés, perdus ou victimes de logiciels ou applications malveillants, et dans ces cas, des informations très personnelles peuvent être lues, rendues publiques ou détruites La CNIL a donc élaboré ce tutoriel vidéo pour montrer en 6 étapes comment sécuriser son smartphone afin que les données contenues dans votre téléphone ne tombent pas entre de mauvaises mains ! Conseils illustrés dans la vidéo : 1) Toujours mettre en place un code PIN
2) Mettre en place un code de verrouillage du téléphone
3) Notez le numéro « IMEI » du téléphone
4) Activer le chiffrement des sauvegardes du téléphone
5) Avant d'installer une application
6) Paramétrer les options de géolocalisation Voir le tutoriel CNIL #2 Sécuriser son smartphone

Les CIL parés pour la 6ème journée européenne de la protection des données

Fri, 27 Jan 2012 09:44:00 +0100

Les correspondants manifestent régulièrement leur souhait d' être accompagnés par la CNIL dans le cadre d' actions de communication présentant la loi Informatique et Libertés et leur métier. Ce besoin est particulièrement aigu à la veille de la journée européenne de la protection des données, organisée chaque 28 janvier depuis 2007. Dans ce contexte, la CNIL a souhaité répondre à leurs attentes, en constituant un "kit de communication" à destination exclusive des correspondants. Il comprend notamment des affiches, autocollants et cartes postales dédiés aux missions du CIL et à la journée européenne du 28 janvier. Ces outils poursuivent un double objectif :

rendre le CIL plus visible au sein de son organisme ;
diffuser le plus largement possible la culture Informatique et Libertés.

A cet égard, un questionnaire sur la protection des données au quotidien est également proposé aux correspondants. Il a pour but de leur permettre de sensibiliser les différentes personnes de leur entourage (collègues, clients, famille ou amis), de manière interactive et ludique. Ce "kit de communication" vient compléter les outils mis en ligne et proposés au plus grand nombre par la CNIL ainsi que ceux exclusivement dédiés aux correspondants sur l'extranet des CIL. Il contribuera utilement à l' amélioration du respect de la loi Informatique et Libertés et des droits qu' elle accorde à toutes les personnes dont les données sont traitées.

Projet de règlement européen : la défense de la vie privée s'éloigne du citoyen

Thu, 26 Jan 2012 10:23:00 +0100

La CNIL reconnait que le projet de règlement apporte des avancées substantielles qui étaient attendues et nécessaires. Les droits des citoyens sont ainsi en grande partie renforcés : reconnaissance d'un droit à l'oubli, d'un droit à la portabilité de leurs données et clarification des règles relatives au recueil du consentement et à l'exercice de leurs droits.

Dans le même temps, les entreprises bénéficient d'une simplification en matière de formalités administratives tout en étant soumises à des obligations accrues. Elles devront désigner des correspondants informatique et libertés et mettre en œuvre des procédures internes pour assurer la mise en œuvre des principes de protection (audits, registres, prise en compte de la protection des données dès la conception dans les produits et services des entreprises…). Le renforcement des pouvoirs de sanction des autorités de protection nationales et l'obligation d'une coopération accrue au niveau européen sont également accueillis favorablement par la CNIL.

La CNIL considère toutefois que le fonctionnement du système n'est pas optimum et ne permettra pas d'assurer l'application effective de ces nouvelles avancées.

La CNIL s'inquiète en particulier du risque d'éloignement entre les citoyens européens et leurs autorités nationales. En effet, en proposant que l'autorité compétente soit celle où se situe l'établissement principal d'une entreprise, quel que soit le public ciblé par son activité, la Commission européenne conduit les autorités nationales à ne jouer qu'un rôle de boîte aux lettres. Concrètement, cela signifie qu'en cas de problème pour un internaute sur un réseau social dont l'établissement principal est implanté dans un autre Etat membre, cette plainte sera traitée par l'autorité de ce dernier. Une telle réforme renforcera l'image bureaucratique et lointaine des institutions communautaires et privera largement les citoyens de la protection offerte par leur autorité nationale.

La CNIL s'oppose donc fermement à un tel critère qui constituera une véritable régression vis-à-vis des droits des citoyens. Il serait paradoxal que la protection en matière de données personnelles soit finalement plus faible qu'en droit de la consommation qui privilégie une compétence basée sur le lieu de résidence du consommateur.

De façon générale, la CNIL considère que le dispositif proposé par la Commission européenne conduit à une centralisation de la régulation de la vie privée au profit d'un nombre limité d'autorités, au profit également de la Commission qui dispose d'un pouvoir normatif important.

Afin d'assurer une gouvernance efficace et démocratique de la protection des données, la CNIL souhaite au contraire un système participatif, reposant sur une coopération approfondie entre autorités compétentes.

Dans un contexte de forte concurrence internationale, le monde se tourne vers l'Europe et regarde ses capacités à moderniser son modèle tout en réaffirmant effectivement la vie privée en tant que droit fondamental, conditionnant l'exercice d'autres libertés telles que la liberté d'expression, de réunion ou d'aller et venir anonymement.

La géolocalisation à partir des points d'accès wi-fi

Fri, 20 Jan 2012 14:15:00 +0100

Les points d'accès WiFi, qui se trouvent dans la plupart des "box Internet", émettent en permanence des signaux permettant à des ordinateurs ou à des téléphones mobiles de les reconnaître et de s'y connecter. Ces signaux contiennent notamment un numéro d'identification unique propre à chaque point d'accès (appelé "BSSID")Ce numéro est, utilisé par les smartphones pour géolocaliser une personne.

Fonctionnement de la géolocalisation à partir des points d'accès wi-fi

Lorsqu'une personne lance une application de géolocalisation sur son smartphone, celui-ci peut lister les points d'accès WiFi à sa portée et interroger une base de données qui permet d'associer un point d'accès WiFi à une position géographique. Le smartphone va donc être capable de géolocaliser précisément le propriétaire du smartphone. Plusieurs sociétés telles que Google, Skyhook Wireless, Microsoft et Apple ont donc constitué des bases cartographiques recensant ces points d'accès WiFi pour fournir leurs services de géolocalisation. Ces bases peuvent être créées de deux manières :

à partir des données transmises par les téléphones mobiles eux-mêmes lorsqu'ils demandent à être géolocalisés,
à partir des données WiFi collectées par des véhicules se déplaçant dans les rues des villes et sur les principaux axes routiers.

Par exemple, lors de la mise en place de son service "Street View" en France, la société Google a constitué sa base de données de géolocalisation des points d'accès WiFi grâce au du passage des « Google Cars ». Microsoft a fonctionné de la même manière pour son service "Streetside".

Position de la CNIL par rapport à la constitution de ces bases de données.

S'il n'est pas possible d'informer individuellement les possesseurs de "box internet" de la collecte de leurs point d'accès wi-fi la CNIL recommande que l'information soit publiée, par exemple sur un site internet dédié, et que la société communique largement sur ce sujet.
Les possesseurs de points d'accès WiFi doivent être en mesure de s'opposer à la collecte d'informations relatives à leur point d'accès WiFi.
Enfin, ces bases cartographiques doivent être déclarées à la CNIL.

Mise en place d'un système d'opposition à la collecte de ces données par Google

Conformément aux demandes de la CNIL, Google a mis en place une procédure d'opposition pour permettre à ceux qui le souhaitent de supprimer leurs points d'accès de la base de géolocalisation de Google.
La solution consiste à ajouter au nom du point d'accès le suffixe "_nomap". Par exemple, si le nom de mon point d'accès est "mon_wifi", il faudra le renommer en "mon_wifi_nomap" pour qu'il ne soit plus utilisé par les services de géolocalisation de Google.
Cette solution est réversible : si le propriétaire du point d'accès supprime le suffixe "_nomap", lors du passage d'un appareil Androïd à proximité du point d'accès, celui-ci sera de nouveau inscrit dans la base de géolocalisation.