RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 13 Oct 2014 16:46:00 +0200 Les conseils de la CNIL pour mieux maîtriser la publication de photos http://www.cnil.fr/nc/linstitution/actualite/article/article/les-conseils-de-la-cnil-pour-mieux-maitriser-la-publication-de-photos/ Les photos occupent aujourd'hui une place centrale dans l’activité numérique des internautes : on les publie, on les partage, on les like, on les commente, on tague ses amis… Elles représentent aussi un véritable enjeu économique pour les acteurs d’internet. Comment mieux maîtriser leur publication ?]]>

1. Adaptez le type de photos au site sur lequel vous les publiez

Certains espaces de publication et partage de photos sont totalement publics et ne permettent pas de restreindre la visibilité des photos. Il est important d'avoir conscience que les photos qui y sont partagées sont alors accessibles à tout le monde et d'adapter le contenu en conséquence.
Evitez d'utiliser la même photo de profil sur des sites ayant des finalités différentes (Facebook, Viadéo ou LinkedIn, Meetic). La photo pouvant être utilisée (moteur de recherche d'images) pour faire le lien entre les différents profils.

2. Limitez l'accès aux photos que vous publiez sur les réseaux sociaux

ll est important de bien définir dans les paramètres de confidentialité quel groupe d'amis a accès à quelle photo ou à quel album photo. Sur Facebook, ce contrôle de l'accès peut passer par la création de liste d'amis et le paramétrage des albums photos ou de chaque photo publiée (voir comment maîtriser les informations publiées sur les réseaux sociaux ).

3. Réfléchissez avant de publier une photo

Il n'est pas anodin de publier une photo gênante de ses amis ou de soi-même sur un réseau social. D'autant qu'il peut s'avérer difficile, voire impossible, de la supprimer par la suite (par exemple si elle a été copiée, ou re-partagée par quelqu'un sur le même service ou un autre).

4. Demandez l'autorisation avant de publier une photo de quelqu'un

Il est préférable de s'assurer qu'une photo dans laquelle elle apparaît n'incommode pas une personne avant de la publier.

5. Utilisez avec modération les outils de "tags" (identification) de personnes et la reconnaissance faciale ….

Identifier une personne sur une photo l'expose encore davantage sur la plateforme. Il est donc recommandé de s'assurer que cette identification ne la gêne pas et de restreindre la visibilité de la photo à un cercle de proches.
Attention : cette identification peut être réutilisée par des logiciels de reconnaissance faciale du site qui sont susceptibles du coup d'associer le nom du contact à l'ensemble des photos sur lesquelles il apparait au sein de ce site.

6. Contrôlez la manière dont vous pouvez être identifiés ("taggués") sur les photos dans lesquelles vous apparaissez et qui sont publiées sur les réseaux sociaux.

Il est possible de paramétrer la façon dont vous pouvez être taggué de manière à :
  • Déterminer les contacts ou liste de contacts autorisés à vous identifier ;
  • Recevoir une alerte lorsqu'un contact souhaite vous identifier afin de l'approuver (ou non) ;
  • Etre alerté lorsque vous êtes identifié dans une photo / publication

7. Faites régulièrement le tri dans vos photos

Contrôler régulièrement qui a accès aux photos que vous avez publiées, en particulier les plus anciennes. Des photos qui semblaient anodines dans un certain contexte, il y a plusieurs années  (à une époque où vous aviez moins de contacts, ou une photo publiée pour une occasion spécifique) peuvent s'avérer  gênantes aujourd'hui si elles sont accessibles à un cercle de contacts plus large.

8. Faites supprimer les photos qui vous dérangent

Vous avez le droit de faire effacer une photo de vous d'un site ou d'un réseau social. Vous devez demander à la personne qui l'a publiée de l'enlever. Si vous n'obtenez pas de réponse ou si toutes les photos signalées ne sont pas retirées, vous pouvez vous adresser à la CNIL.

9. Faites attention à la synchronisation automatique des photos, en particulier sur smartphone, tablette ou sur les nouveaux appareils photos numériques connectés

Il est recommandé de ne pas activer (ou de désactiver lorsqu'elles sont actives par défaut) les fonctionnalités permettant de synchroniser automatiquement les photos prises avec des services en ligne ("Flux de photos" d'Apple,  Instant Upload de Google+ ou Facebook Synchronisation des photos (Photo Sync) par exemple) et de bien réfléchir à leur utilité réelle en cas d'activation. Ces services ne sont pas nécessairement adaptés à une fonction de sauvegarde et de protection des photos : ce ne sont pas des coffres-forts numériques mais des espaces de partage et publication. Vos photos peuvent n'être alors qu'à un clic d'être rendues publiques. Si ces fonctionnalités peuvent faciliter le partage, elles compliquent encore davantage la suppression des photos. Même si ces photos ne sont pas automatiquement rendues publiques, elles sont accessibles à l'éditeur du site ou service et pourraient être utilisées par lui pour affiner votre profil, par exemple à des fins publicitaires.

10. Ne partagez pas de photos intimes via votre smartphone !

Ephémère ne veut pas dire sécurisé ! Soyez vigilants si vous utilisez des applications smartphone permettant d’envoyer des photos ou vidéos « éphémères » (Blink, Snapchat, Wickr…). Si l’affichage de la photo est prévu pour durer un temps limité, il est très simple pour le destinataire de conserver une capture d’écran de votre photo. Enfin gardez à l’esprit qu’aucune application smartphone n’est à l’abri d’un piratage, d’un défaut de sécurité ou d’une application tierce malicieuse. ]]>
Internautes Fiches pratiques Consommateurs Jeunes Parents Salariés Internet Téléphonie mobile Facebook réseaux sociaux Moteurs de recherche Mon, 13 Oct 2014 16:46:00 +0200
Contrôles en ligne : mode d'emploi http://www.cnil.fr/nc/linstitution/actualite/article/article/controles-en-ligne-mode-demploi/ La CNIL dispose d'un nouveau pouvoir de contrôles en ligne qui lui offre l'opportunité d'être plus réactive et efficace dans l'univers numérique. Quelles sont les étapes d'un contrôle en ligne, sur quoi portent les vérifications ? ]]>

Les contrôles en ligne, comment ça marche ?

La CNIL dispose depuis mars 2014 d'un nouveau pouvoir de constatations en ligne, introduit au sein de l'article 44 de la loi Informatique et Libertés. Celui-ci vient s'ajouter aux autres moyens d'enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces. La différence majeure de ce nouveau pouvoir réside dans le fait que les constatations sont effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n'en sera informé qu'une fois les vérifications effectuées. En pratique, voici les différentes étapes d'un contrôle en ligne : 1. La Présidente de la CNIL décide d'un contrôle ; 2. Un ordre de mission désigne les personnes qui sont chargées de réaliser ce contrôle 3. Un procès-verbal factuel décrivant la méthodologie appliquée est rédigé. Il précise l'environnement technique du contrôle, ainsi que les éléments vérifiés ; 4. Le procès-verbal de constatations en ligne ainsi que ses annexes, sont adressés au responsable du traitement contrôlé qui dispose d'un délai afin de faire part de ses observations ; 5. A la suite d'un contrôle en ligne, la CNIL aura la possibilité, lorsque cela apparaîtra nécessaire, de poursuivre ses investigations par un des autres moyens de contrôle dont elle dispose (sur place, audition, etc.) ; 6. Les contrôles en ligne pourront donner lieu à des mises en demeure ainsi que, si la gravité des faits le justifie, à l'ouverture d'une procédure de sanction.

Sur quoi portent les vérifications en ligne ?

Les contrôles en ligne permettent à la CNIL de vérifier plus spécifiquement certains aspects de la loi " Informatique et Libertés " tels que :
  • la pertinence des données collectées (article 6 de la loi " informatique et libertés ") ;
  • les mentions d'information à destination du public (article 32) ;
  • la sécurité des données collectées et traitées (article 34) ;
  • la réalité des formalités indiquées (articles 22 et suivants).
En particulier, ces contrôles en ligne permettront de vérifier la conformité des pratiques des acteurs du web à la recommandation cookies et autres traceurs adoptée par la Commission le 5 décembre 2013. Ainsi, la CNIL vérifiera :
  • le nombre et la nature des cookies déposés sur le poste informatique de l'internaute ;
  • les modalités d'information à destination de public en matière de cookies ;
  • la qualité et la pertinence de l'information ;
  • les modalités de recueil du consentement de l'internaute.
]]>
Actualités Cookies et traceurs Contrôles Internet Tue, 07 Oct 2014 16:04:00 +0200
Lancement des Trophées EDUCNUM : Opération vie privée http://www.cnil.fr/nc/linstitution/actualite/article/article/lancement-des-trophees-educnum-operation-vie-privee/ Pour que le web reste un espace d'échange et d'inspiration, mais aussi de respect de la vie privée, le collectif pour l'éducation au numérique lance, lundi 13 octobre 2014, un concours pour les étudiants : les Trophées EDUCNUM.]]>

L’ambition des trophées 

Les trophées ont pour ambition de :
  • sensibiliser les plus jeunes, de l’école primaire au lycée, aux bons usages du web, par un dialogue intergénérationnel ;
  • susciter et valoriser la créativité des étudiants ;
  • mettre en lumière et donner vie à des projets innovants.
Les étudiants ont carte blanche pour participer : application mobile, dataviz, goodies ou kit de survie sur les réseaux sociaux, tous les projets seront les bienvenus. 
Les Trophées seront remis le 28 janvier 2015, à l’occasion de la Journée européenne de protection des données. Le projet gagnant bénéficiera d’un soutien financier, de l’accès à un réseau professionnel et d’une forte visibilité. 

Les dates clés 

  • Lancement officiel des Trophées EDUCNUM : lundi 13 octobre 2014
  • Date limite de dépôt des projets : lundi 15 décembre 2014
  • Sélection des dossiers par le jury : mardi 20 janvier 2015
  • Remise des Trophées : mercredi 28 janvier 2015

Comment participer aux trophées ? 

Sur le site www.educnum.fr se trouvent : le règlement du concours, le formulaire de candidature à remplir en ligne et une webographie sur le thème de la protection de la vie privée.
* Le collectif pour l’éducation au numérique a été initié par la Commission nationale de l’informatique et des libertés (CNIL) en mai 2013. Il est aujourd’hui composé de près de 60 acteurs très divers du monde de l’éducation, de la recherche et de l’économie numérique. Tous ces acteurs ont choisi de se mobiliser, ensemble, pour faire de l’éducation au numérique une action prioritaire pour notre pays. Les membres du collectif se sont engagés sur d’autres actions en 2014 : la réalisation de mini séries « Parents, mode d’emploi » sur le numérique avec France Télévisions, la mise en place d’un portail de ressources sur l’éducation au numérique, la réalisation de kits pédagogiques pour les 6-8 ans et les 9-12 ans ou encore la création d’un test de maturité numérique pour les entreprises. Pour consulter la liste des membres du collectif rendez-vous sur : www.educnum.fr
]]>
Actualités Parents Jeunes Etablissements d'enseignement Internautes Education numérique Internet Mon, 06 Oct 2014 09:32:00 +0200
[Communiqué G29] Avis sur l'Internet des objets http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-avis-sur-linternet-des-objets/ Les autorités européennes de protection des données ont adopté les 16 et 17 septembre 2014 un avis sur l'Internet des objets. Face au développement rapide des " objets intelligents " dans la vie quotidienne, le G29 souhaite contribuer à l'application uniforme du cadre réglementaire européen. Dans son avis, il propose aux acteurs des recommandations pratiques leur permettant de se conformer à la réglementation. ]]> Le développement de l'Internet des objets est source de croissance et comporte de nombreux avantages pour les entreprises et les citoyens. Ces objets du quotidien, très proches de l'intimité des personnes, doivent rester sous le contrôle de celles-ci. C'est la raison pour laquelle ce développement doit intégrer le plus en amont possible le respect de la vie privée et la protection des données personnelles. L'avis du G29 se concentre sur les développements récents de l'Internet des objets - quantified self, " technologies prêtes à porter " (montres, bracelets, lunettes, etc.) et domotique. Il contient des recommandations pratiques aux différents acteurs impliqués (fabricants d'appareils, développeurs d'applications, plateformes sociales, destinataires ultérieurs des données, plateformes de données et organismes de standardisation). L'avis rappelle d'abord que le cadre réglementaire de l'Union européenne s'applique au traitement de données collectées par des appareils, applications ou services utilisés par les " objets intelligents ". Tenant compte de l'écosystème complexe de l'Internet des objets, l'avis indique par des exemples spécifiques :
  • les obligations qui incombent aux acteurs ;
  • les droits reconnus aux utilisateurs des objets connectés ;
  • les mesures de sécurité à mettre en œuvre par les responsables de traitement.
Avec cet avis, le G29 entend favoriser un développement de l'Internet des objets plus robuste par rapport aux craintes et attentes des utilisateurs. Les acteurs qui permettent aux utilisateurs de rester maîtres du partage de leurs données et qui recueillent leur consentement peuvent même faire de ces pratiques vertueuses un avantage concurrentiel. Enfin, cet avis alimentera les discussions sur prévues sur ce thème lors de la Conférence internationale des Commissaires des Commissaires à la vie privée et à la protection des données qui se tiendra du 13 au 16 octobre 2014.]]>
Actualités Données de santé Géolocalisation Bracelet électronique Europe Quantified self Travaux du Groupe de l’article 29 Thu, 02 Oct 2014 16:40:00 +0200
Politique de confidentialité de Google : le G29 propose un pack de conformité http://www.cnil.fr/nc/linstitution/actualite/article/article/politique-de-confidentialite-de-google-le-g29-propose-un-pack-de-conformite/ A la suite de plusieurs sanctions prononcées par des autorités européennes de protection des données à l'encontre de la société Google, le G29 vient de lui adresser un pack de mesures pratiques pour se mettre en conformité avec la législation applicable. ]]> En 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes européens sont concernés par cette décision. Le G29 - le groupe des CNIL européennes - a mené, de février à octobre 2012, une analyse de ces règles au regard de la législation européenne en matière de protection des données.
  • Le 16 octobre 2012, le G29 a rendu publique son analyse, concluant que la politique de confidentialité n'était pas conforme au cadre juridique européen. Il a émis plusieurs recommandations.
  • La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé des procédures répressives, chacune en ce qui la concerne.
  • Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros, estimant que la société GOOGLE Inc ne respectait pas plusieurs dispositions de la loi " informatique et libertés ". Elle a également enjoint à Google Inc. de procéder à la publication d'un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures.
Afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions, le G29 a adopté un pack de mesures dédié. Ce pack a pour objectif de proposer à Google des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles. ]]>
Actualités Internet Moteurs de recherche Thu, 25 Sep 2014 10:13:00 +0200
[Communiqué G29] Droit au déréférencement : le G29 se dote d'une boîte à outils pour le traitement des plaintes http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-droit-au-dereferencement-le-g29-se-dote-dune-boite-a-outils-pour-le-traite/ Le G29 s'est réuni en séance plénière les 16 et 17 septembre 2014. A cette occasion, les autorités européennes de protection des données se sont organisées pour coordonner le traitement des plaintes résultant d'une réponse négative des moteurs de recherche à une demande de déréférencement.]]> Lors de la séance plénière du G29 des 16 et 17 septembre, les autorités européennes de protection des données ont poursuivi leurs échanges sur les effets de l'arrêt de la Cour de Justice de l'Union européenne du 13 mai 2014. Depuis cet arrêt, une personne peut demander à ce que des liens qui la concernent, c'est-à-dire des adresses de pages web (urls) qui sont référencées par les moteurs de recherche pour une requête contenant ou incluant son nom, fassent l'objet d'un déréférencement. Pendant l'été 2014, les autorités européennes de protection des données ont reçu des  plaintes résultant d'une réponse négative des moteurs de recherche à une demande de déréférencement. La CNIL a d'ores et déjà reçu plusieurs dizaines de plaintes. Le G29 souhaite répondre à ces plaintes de manière coordonnée et cohérente. C'est pourquoi il a décidé de mettre en place un réseau de points de contacts au sein des autorités, chargé d'élaborer un référentiel commun aux autorités pour traiter les plaintes dont elles sont saisies. Ce réseau fournira par ailleurs aux autorités :
  • un registre commun des suites données aux plaintes ;
  • un tableau de bord pour faciliter l'identification des plaintes similaires ou, au contraire, des cas les plus complexes.
Le G29 a également poursuivi ses consultations. Après une réunion avec les moteurs de recherche en juillet, il a rencontré les éditeurs de presse en marge de la plénière. Compte tenu de tous ces éléments, le G29 poursuit son analyse sur la façon dont les moteurs de recherche se conforment à l'arrêt de la CJUE. ]]>
Actualités Droit à l'oubli Moteurs de recherche Travaux du Groupe de l’article 29 Thu, 18 Sep 2014 14:58:00 +0200
Le Cookies Sweep Day : une action européenne d'audit en ligne http://www.cnil.fr/nc/linstitution/actualite/article/article/le-cookies-sweep-day-une-action-europeenne-daudit-en-ligne/ Du 15 au 19 septembre 2014, la CNIL mène, aux côtés de ses homologues européens, un audit des principaux sites internet européens, afin de dresser un état des lieux des pratiques en matière de cookies.]]>

Qu'est-ce qu'un cookie ?

Les cookies sont des traceurs déposés sur le disque dur d'un internaute par le serveur du site visité et qui permettent à celui qui les a déposés de reconnaître, d'une visite à une autre, un internaute grâce à un identifiant unique. Ces cookies peuvent être utilisés à différentes fins : pour stocker le contenu d'un panier d'achat, pour enregistrer les paramètres de langue d'un site, ou encore pour faire de la publicité ciblée par l'analyse de la navigation.

L'obligation de recueillir le consentement préalable de l'internaute

Depuis la directive européenne 2009/136/CE dite "paquet télécom", les internautes doivent être informés et donner leur consentement préalable à l'insertion de traceurs sur leur ordinateur. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils naviguent sur un site internet et les éditeurs ont l'obligation de solliciter au préalable leur consentement avant d'installer des cookies sur leur disque dur. Certains traceurs, tels que les cookies techniques, sont dispensés du recueil de ce consentement. L'article 32-II de la loi du 6 janvier 1978 reprend ces principes.

Le Cookies Sweep Day  : une action européenne d'audit en ligne

Afin de vérifier la conformité des pratiques des acteurs du web à la législation européenne, le G29, groupe des autorités européennes de protection des données a choisi de réaliser un audit en ligne simultané des principaux sites internet européens. Du 15 au 19 septembre, chaque autorité consacre une à deux journées à la vérification des sites internet européens les plus fréquentés, dans les domaines de l'e-commerce et des médias. La CNIL a choisi les 18 et 19 septembre pour examiner 100 sites internet français. Concrètement, il s'agira pour la CNIL de vérifier :
  • Le nombre et la nature des cookies déposés sur le terminal de l'internaute ;
  • Les modalités d'information du public en matière de cookies ;
  • La visibilité et la qualité de l'information ;
  • Les modalités de recueil du consentement de l'internaute ;
  • Les conséquences en cas de refus de l'internaute d'être tracé.
La CNIL utilisera une grille d'analyse commune aux autres autorités participantes. L'opération Cookies Sweep Day est l'occasion pour les 28 " CNIL " européennes de mener une action conjointe pour dresser un comparatif des pratiques des principaux sites internet européens en matière de cookies. Il s'inscrit dans le prolongement des actions coordonnées d'audits en ligne menées par les autorités de protection de données à l'échelle internationale.]]>
Actualités Contrôles Internet Cookies et traceurs Travaux du Groupe de l’article 29 Thu, 18 Sep 2014 09:59:00 +0200
Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-sweep-day-des-applications-mobiles-peu-transparentes-sur-le-traitement-de-vos-donnees/ En mai 2014, la CNIL et 26 de ses homologues dans le monde ont mené un audit en ligne simultané de plus de 1 200 applications mobiles. Cette opération montre que l'information sur l'utilisation faite des données personnelles est insuffisante.]]> Que ce soit pour s'informer, s'orienter ou connaitre la météo, les utilisateurs de terminaux mobiles (smartphones ou tablettes) téléchargent régulièrement de nouvelles applications. En mai dernier, 27 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne. Il s'agissait cette année de vérifier si l'information relative aux données personnelles dispensée par les principales applications mobiles est satisfaisante. Au total, 1211 applications mobiles ont été examinées : applications gratuites et payantes, tous secteurs confondus, allant des jeux au quantified self, en passant par la gestion des comptes bancaires, etc. Les vérifications ont principalement porté sur :
  • le type de données collectées par les applications,
  • le niveau d'information des utilisateurs,
  • la qualité des explications données par l'application concernant le motif de la collecte de ces données.

Les constats communs au différents pays participants au Sweep day 2014

Concernant la collecte des données personnelles :

  • La collecte est généralisée puisqu'elle concerne les 3/4 des applications examinées ;
  • les données les plus collectées sont : la localisation, l'identifiant du terminal mobile, ainsi que les données d'accès à des comptes utilisateurs. Si pour certaines de ces données, leur collecte est justifiée par la finalité de l'application, pour d'autres cette collecte semble moins évidente. 

Concernant l'information sur l'utilisation des données personnelles :

  • pour près de la moitié des applications, l'information est difficile à trouver (consultation de la politique de confidentialité sur le site internet du développeur) ou inadaptée à un écran de petite taille ;
  • seul un quart des applications fournit une information satisfaisante, sous la forme d'explications brèves et faciles à comprendre.

Les spécificités françaises

La CNIL a examiné 121 applications parmi les plus populaires en France et ce, à partir des 3 principaux systèmes d'exploitation. Les tendances générales sont comparables à celles décrites au niveau mondial.

Les données les plus collectées :

(Cliquer sur l'image pour l'agrandir)

Type de données collectées et nombre d'applications concernées par la collecte

  • 15% des applications examinées ne fournissent aucune information sur le traitement des données collectées. 
  • Lorsqu'une information est fournie, près de la moitié des applications concernées ne la rendent pas facilement accessible, imposant à l'utilisateur une recherche active sur le site internet de l'éditeur ou dans les différents onglets de l'application. 
  • L'information n'est pas suffisamment claire et compréhensible dans la plupart des cas. Il a ainsi été constaté que les mentions d'information de certaines applications à destination d'utilisateurs français ne sont disponibles qu'en anglais.

Les conseils de la CNIL :

  • A destination des développeurs : la qualité de l'information et la transparence sur l'utilisation des données personnelles constituent des éléments déterminants de la confiance de vos utilisateurs. Faites de vos avancées concrètes sur ces deux points un atout concurrentiel !
  • A destination des utilisateurs : soyez curieux, vigilants et exigeants ! Il existe un large choix d'applications offrant des services similaires, détournez vous de celles qui en demandent le plus et en disent le moins !
]]>
Actualités Contrôles Coopération internationale Téléphonie mobile Tue, 16 Sep 2014 15:23:00 +0200
Avertissement pour le CREDIT AGRICOLE CONSUMER FINANCE en raison de dysfonctionnements relatifs au FICP http://www.cnil.fr/nc/linstitution/actualite/article/article/avertissement-pour-le-credit-agricole-consumer-finance-en-raison-de-dysfonctionnements-relatifs-au-f/ La formation restreinte a sanctionné la société Crédit Agricole Consumer Finance pour non respect des règles de fonctionnement du fichier des incidents de remboursement des crédits aux particuliers (FICP) et pour atteinte à la confidentialité des données bancaires des clients.]]> Entre 2012 et 2014, la CNIL a reçu plusieurs plaintes de particuliers dénonçant soit le bien-fondé de leur inscription au fichier des incidents de remboursement des crédits aux particuliers (FICP), soit la persistance de leur inscription malgré la régularisation de leur incident de paiement. Le FCIP est consulté par les établissements bancaires avant l'octroi d'un crédit à des fins non professionnelles. Encadré par l'arrêté du 26 octobre 2010, ce fichier est tenu par la Banque de France. Par ailleurs, des plaignants ont indiqué avoir reçu par erreur des documents confidentiels relatifs à d'autres clients de la société. La CNIL s'est donc adressée à l'établissement de crédit. A la suite de son intervention, l'établissement a procédé aux radiations du FICP qui s'imposaient et lui a communiqué les procédures mises en œuvre pour renforcer la sécurité et la confidentialité des données de ses clients. Au vu de ces éléments et à la suite d'un contrôle sur place effectué le 24 avril 2014, une procédure de sanction a été engagée pour plusieurs manquements à la loi Informatique et Libertés. Il a été retenu des manquements aux obligations de :
  • tenir informée la Banque de France dans les délais impartis des régularisations d'incidents permettant la radiation des personnes concernées ;
  • procéder à un traitement licite des données - les conditions permettant l'inscription de personnes au FICP n'étaient pas réunies ;
  • assurer la confidentialité des données.
Face à ce constat, un avertissement public a été prononcé par la formation restreinte. ]]>
Actualités Droit d'accès & banque Crédit Sanctions FICP Tue, 26 Aug 2014 17:55:00 +0200
La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing http://www.cnil.fr/nc/linstitution/actualite/article/article/la-societe-orange-sanctionnee-pour-defaut-de-securite-des-donnees-dans-le-cadre-de-campagnes/ A la suite d'une faille de sécurité concernant les données de plus d'un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.]]> En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données. La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. La formation restreinte en a déduit que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi " Informatique et Libertés " et a prononcé à son encontre un avertissement public. ]]> Actualités Sanctions Marketing Téléphonie Mon, 25 Aug 2014 17:38:00 +0200