RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 10 Aug 2015 17:43:00 +0200 Données traitées par les sites de rencontre : 8 mises en demeure http://www.cnil.fr/nc/linstitution/actualite/article/article/donnees-traitees-par-les-sites-de-rencontre-8-mises-en-demeure/ A la suite de contrôles effectués auprès de plusieurs sites de rencontre ayant révélé de nombreux manquements à la loi Informatique et Libertés, notamment sur les informations sensibles fournies par leurs clients, la Présidente de la CNIL met en demeure huit acteurs du secteur. ]]> De plus en plus de Français se rendent sur les sites de rencontre. La plupart de ces sites offrent à leurs utilisateurs une recherche de partenaires très ciblée : par communauté sociale, ethnique ou religieuse, par localisation géographique, en fonction de l’apparence physique, des pratiques sexuelles ou des opinions politiques, etc. Le nombre important des utilisateurs ainsi que la quantité des données traitées et leur sensibilité ont conduit la CNIL à inscrire les sites de rencontre dans son programme annuel des contrôles pour 2014. 13 sites ont été contrôlés : Meetic, Attractive World, Adopte un mec, Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Feujworld, Marmite love, Gauche rencontre, Celibest. De nombreux manquements à la loi informatique et libertés ont été constatés, notamment :
  • les sites ne recueillent pas le consentement exprès des personnes pour la collecte de données sensibles (par exemple : données relatives à la vie et aux pratiques sexuelles, aux origines ethniques, aux convictions et pratiques religieuses, aux opinions politiques). Or, il est important que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité. Ce recueil pourrait prendre la forme d’une case à cocher permettant de sensibiliser les internautes sur la sensibilité des données qu’ils renseignent ;
Exemple de case à cocher Les informations relatives à vos convictions politiques, croyances et pratiques religieuses, orientations et pratiques sexuelles, collectées pour l’inscription à ce site de rencontres, constituent des informations sensibles.
J’accepte que ces données soient traitées par le site XXX  
                        

  • les sites ne procèdent pas à la suppression des données des membres ayant demandé leur désinscription ou ayant cessé d’utiliser leurs comptes depuis une longue durée ;
  • ils mettent en œuvre des fichiers afin d’exclure des personnes de l’accès au service sans avoir procédé à des demandes d’autorisation auprès de la CNIL ;
  • ils n’informent pas correctement les internautes de leurs droits (accès, suppression, rectification) ainsi que des conditions dans lesquelles des cookies sont déposés sur leur ordinateur. 
La Présidente de la CNIL a décidé de mettre en demeure les huit organismes responsables de ces treize sites ayant fait l’objet des contrôles de se mettre en conformité sur ces différents points. Cette mise en demeure a été rendue publique par le bureau de la CNIL compte tenu de la sensibilité des données en cause et du nombre de personnes concernées. La CNIL rappelle que ces mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si les sociétés se conforment à la loi dans le délai de trois mois. Dans ce cas, la clôture de chacune des procédures fera également l'objet d'une publicité. Si les sociétés ne se conforment pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi  Informatique et Libertés, de prononcer une sanction à leur égard. Accompagnant cette mise en demeure, la CNIL publie des conseils à destination des particuliers.]]>
Actualités Mise en demeure Internet Tue, 28 Jul 2015 16:44:00 +0200
Relations clients : mise en demeure de la société BOULANGER pour commentaires excessifs http://www.cnil.fr/nc/linstitution/actualite/article/article/relations-clients-mise-en-demeure-de-la-societe-boulanger-pour-commentaires-excessifs/ La Présidente de la CNIL met en demeure la société BOULANGER de respecter les dispositions de la loi Informatique et Libertés, et notamment de ne plus enregistrer de commentaires excessifs sur ses clients.]]> A la suite d’une plainte faisant état d’éventuels commentaires relatifs aux clients de la société BOULANGER, la CNIL a effectué un contrôle sur place auprès de la société, ainsi que des constatations en ligne sur le site internet boulanger.com. Ces vérifications ont permis de relever plusieurs manquements à la loi Informatique et Libertés. En particulier, les fichiers de la société comportaient de nombreux commentaires excessifs sur ses clients, comme par exemple « n’a pas de cerveau », « cliente avec problème cardiaque », « client alcoolique » ou encore des propos insultants. Si le recours à l'utilisation de zones de commentaires libres n'est pas interdit dans la mesure où il permet un suivi des dossiers de clients, les informations renseignées doivent être objectives et en relation avec la prestation commerciale. Elles ne doivent pas porter atteinte à l'image de la personne. Il appartient aux sociétés qui disposent de fichiers clients comprenant de telles zones de commentaires de prendre toutes les mesures pour que leurs salariés respectent effectivement ces règles. La Présidente de la CNIL a ainsi décidé de mettre en demeure la société BOULANGER de se conformer à la loi dans un délai de 3 mois, en prenant les mesures nécessaires afin que ses fichiers ne contiennent plus de commentaires excessifs, par exemple en mettant en place un système de détection automatique du type filtre. Cette mise en demeure est rendue publique afin d’appeler notamment l’attention des entreprises sur la nécessité de ne pas enregistrer de commentaires excessifs dans leurs fichiers clients. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si la société BOULANGER ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à l’égard de la société. ]]> Actualités Consommateurs Consommation commerce marketing Gestion du contentieux Marketing Publicité SPAM Surveillance des locaux commerciaux E-commerce Thu, 23 Jul 2015 16:24:00 +0200 Etude d'impacts sur la vie privée : suivez la méthode de la CNIL http://www.cnil.fr/nc/linstitution/actualite/article/article/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil/ La CNIL publie sa méthode pour mener des PIA (Privacy Impact Assessment) pour aider les responsables de traitements dans leur démarche de mise en conformité et les fournisseurs dans la prise en compte de la vie privée dès la conception de leurs produits.]]>

De l’application de bonnes pratiques de sécurité à une véritable mise en conformité


La Loi informatique et libertés (article 34), impose aux responsables de traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire.

Pour aider les TPE et PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement des données personnelles.

En juin 2012, la CNIL publiait un autre guide de gestion des risques sur la vie privée pour les traitements complexes ou aux risques élevés. Il aidait les responsables de traitements à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.

Une méthode plus rapide, plus facile à appliquer et plus outillée


Ce guide a été révisé afin d’être plus en phase avec le projet de règlement européen sur la protection des données et les réflexions du G29 sur l’approche par les risques. Il tient aussi compte des retours d’expérience et des améliorations proposées par différents acteurs.

La CNIL propose ainsi une méthode encore plus efficace, qui se compose de deux guides : la démarche méthodologique et l’outillage (modèles et exemples). Ils sont complétés par le guide des bonnes pratiques pour traiter les risques, déjà publié sur le site web de la CNIL.

Un PIA (Privacy Impact Assessment) ou étude d’impacts sur la vie privée (EIVP) repose sur deux piliers :

  • les principes et droits fondamentaux, « non négociables », qui sont fixés par la loi et doivent être respectés. Ils ne peuvent faire l’objet d’aucune modulation, quels que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données personnelles.

Pour mettre en œuvre ces deux piliers, la démarche comprend 4 étapes :


  1. étude du contexte : délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  2. étude des mesures : identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  3. étude des risques : apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées, afin de vérifier qu’ils sont traités de manière proportionnée ;
  4. validation : décider de valider la manière dont il est prévu de respecter les exigences légales et de traiter les risques, ou bien refaire une itération des étapes précédentes.
L’application de cette méthode par les entreprises devrait ainsi leur permettre d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités. ]]>
Actualités Recommandations Sécurité du SI Thu, 02 Jul 2015 17:28:00 +0200
Cookies et autres traceurs : premier bilan des contrôles http://www.cnil.fr/nc/linstitution/actualite/article/article/cookies-et-autres-traceurs-premier-bilan-des-controles/ A la suite des contrôles réalisés fin 2014, la Présidente de la CNIL a mis en demeure une vingtaine d’éditeurs de sites internet qui ne respectent pas les règles encadrant l’utilisation des cookies et autres traceurs.]]> La directive européenne dite " paquet télécom " prévoit que l’internaute doit être informé et donner son consentement avant que ne soient déposés sur son ordinateur certains cookies ou autres traceurs. A la suite d'une concertation approfondie avec les principaux acteurs de la publicité en ligne, la CNIL a adopté et publié en décembre 2013 une recommandation qui précise aux professionnels les bonnes pratiques pour se mettre en conformité. La CNIL a accompagné cette recommandation d’outils pratiques et pédagogiques mis à disposition des professionnels comme des particuliers. Un an après la publication de cette recommandation,  la CNIL a effectué des contrôles  pour vérifier le respect des règles applicables. Au total, elle a réalisé 24 contrôles sur place, 27  contrôles en ligne et 2 auditions. Ces vérifications ont permis de constater que, d’une manière générale, les sites internet n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies. En effet, si certains sites ont apposé un bandeau informant les internautes que des cookies sont déposés sur leur ordinateur, aucun des sites contrôlés n’attend d’avoir recueilli le consentement des internautes avant de déposer lesdits cookies. En outre, les sites internet invitent souvent les internautes à paramétrer leur navigateur pour s’opposer au dépôt des cookies, alors qu’un tel paramétrage n’est considéré comme un mécanisme valable d’opposition que dans des cas très limités. Dans ce contexte, la Présidente de la CNIL a mis en demeure une vingtaine de sites internet de se mettre en conformité avec la loi dans un délai déterminé. La CNIL précise qu’une mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le site se conforme à la loi dans le délai imparti. Les premières réponses apportées par les sites internet concernés témoignent d’ailleurs de leur volonté de se mettre en conformité. Ces mises en demeure ne concernent pas les cookies de mesure d’audience, qui sont exemptés sous certaines conditions du recueil de consentement et font l’objet de travaux complémentaires par la Commission. Enfin, la CNIL rappelle que la recommandation de 2013 ne s’applique pas qu’aux seuls éditeurs de sites internet, mais à tous les acteurs du secteur (régies publicitaires, etc.). Des investigations auprès de ces différents acteurs sont actuellement en cours.
A retenir


L’accord libre, spécifique et éclairé prévu par l’article 32 II de la loi Informatique et Libertés implique :

  • une absence de dépôt de cookies ou autres traceurs lors de l’arrivée sur le site et tant que la personne n’a pas exprimé de choix ;
  • la mise à disposition d’outils d’opposition complets, efficaces, aisément utilisables

Une fois le consentement recueilli pour le dépôt d’un cookie répondant à une finalité donnée, le premier niveau d’information (bandeau) peut disparaître.

L’information des personnes via la rubrique dédiée (2ème niveau), doit rester aisément accessible, notamment pour leur offrir la possibilité de s’opposer à tout moment au suivi.

La durée du consentement dépend de celle du traceur concerné. La CNIL recommande une durée maximale de 13 mois à l’issue de laquelle le cookie doit être supprimé et le consentement renouvelé.

]]>
Actualités Cookies et traceurs Contrôles Recommandations Tue, 30 Jun 2015 09:53:00 +0200
Droit au déréférencement : bilan du G29 un an après l’arrêt de la CJUE http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-au-dereferencement-bilan-du-g29-un-an-apres-larret-de-la-cjue/ Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement.]]> L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12) constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. Il accorde en effet la possibilité aux personnes de demander aux moteurs de recherche, sous certaines conditions, le déréférencement de liens apparaissant dans les résultats de recherche effectués sur la base de leurs noms. Le 26 novembre, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères que les autorités utilisent dans le cadre de l’instruction des plaintes leur parvenant suite à des refus de déréférencement par les moteurs. Un réseau de coordination des points de contact a été créé afin d’échanger sur des analyses et des cas concrets pour élaborer une jurisprudence européenne relative aux demandes de déréférencement. Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement. D’ores et déjà, il ressort des réponses apportées au questionnaire envoyé par le G29 que le système mis en place a joué un rôle efficace : A ce stade, près de 2000 plaintes ont été reçues. Les autorités de protection des données ont  commencé à instruire des plaintes et à effectuer des demandes de déréférencement lorsque les conditions fixées par l’arrêt de la CJUE  étaient remplies. Chaque décision est prise en fonction de l’équilibre à respecter entre le droit à la protection de la vie privée d’une part et l’intérêt du public à avoir accès à l’information d’autre part. La plupart des plaintes concernent le moteur de recherche de Google. La cohérence des décisions prises au niveau européen est assurée grâce au recours aux critères communs élaborés par le G29 en novembre 2014. Chacun des critères retenus semble pertinent et efficace. Néanmoins, certains  critères nécessiteraient d’être affinés ou précisés. C’est notamment le cas du critère définissant « la personne publique » ou le fait de « jouer un rôle dans la vie publique ». Les autorités de protection des données ont aussi besoin de mieux évaluer le bien fondé d’une plainte. Elles doivent également préciser les cas dans lesquels une information peut être considérée comme trop ancienne et de ce fait plus pertinente. Afin d’instruire les plaintes, toutes les autorités de protection des données ont mis en place une équipe dédiée à l’analyse, l’évaluation et l’instruction des plaintes conformément aux critères et à l’analyse commune du G29. Pour les cas les plus complexes, certaines autorités ont décidé de les soumettre à la validation au plus haut niveau de leur organisation. Dans la grande majorité des cas, le moteur de recherche justifie le refus de déréférencer par le fait que l’information en question est en lien direct avec l’activité professionnelle du demandeur ou qu’elle est pertinente au regard de l’actualité ou de l’objectif du traitement. Des informations complémentaires seront régulièrement publiées afin de suivre l’avancée des travaux des autorités sur le déréférencement. ]]> Actualités International Conférences internationales Directive 95/46 Autorités de contrôles communes Europe Francophonie Transferts internationaux de données Travaux du Groupe de l’article 29 Standards Internationaux Mon, 29 Jun 2015 10:50:00 +0200 Projet de règlement européen : avis du G29 dans la perspective du trilogue http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-reglement-europeen-avis-du-g29-dans-la-perspective-du-trilogue/ Le 15 juin, les ministres de la Justice de l'UE sont parvenus à obtenir une approche générale sur le projet de règlement proposé par la Commission Européenne en janvier 2012.]]> Les autorités de protection européennes réunies au sein du G29 saluent le fait que les trois institutions européennes – la Commission, le Parlement et le Conseil – vont désormais pouvoir commencer une phase des négociations décisive : le trilogue. Dans la continuité des avis ou déclarations déjà émises sur le projet de réforme, le G29 a adopté une position commune sur un certain nombre de problématiques centrales (les définitions,  le champ d’application, les principes fondateurs, les droits des citoyens, les pouvoirs des autorités de protection, le modèle de gouvernance) et qui doivent être prises en compte par les institutions européennes.   Le 17 juin, le G29 a remis symboliquement cette position aux représentants des trois institutions européennes qui ont tous accueilli favorablement ce travail. Le G29 souhaite contribuer à maintenir un haut niveau de protection pour les données personnelles des citoyens européens et reste à la disposition des institutions européennes pour leur apporter son expertise pendant le trilogue.]]> Actualités Travaux du Groupe de l’article 29 Projet de règlement européen Tue, 23 Jun 2015 09:35:00 +0200 Open data : la CNIL publie 8 nouveaux jeux de données sur data.gouv.fr http://www.cnil.fr/nc/linstitution/actualite/article/article/open-data-la-cnil-publie-9-nouveaux-jeux-de-donnees-sur-datagouvfr/ Après la publication de ses délibérations sur la plateforme des données publiques, la CNIL propose de nouveaux jeux de données sur ses activités et son fonctionnement.]]> La CNIL publie déjà sur la plateforme des données publiques data.gouv.fr l'intégralité de ses délibérations (recommandations, autorisations, avis, mises en demeure publiques, sanctions publiques...). Elle poursuit aujourd'hui sa démarche open data. Huit nouveaux jeux de données sont proposés :
  • Organismes ayant désigné un correspondant Informatique et Libertés (liste intégrale) 
  • Plaintes (volumes annuels)
  • Droit d'accès indirect (volumes annuels)
  • Contrôles (volumes annuels et liste des contrôles réalisés)
  • Budget
  • Effectifs
  • Marchés publics.
Ces jeux de données sont accessibles sur OpenCNIL ou directement sur data.gouv.fr. Ils sont disponibles, gratuitement, au format csv. licence ouverte Une large réutilisation de ces données est possible (Licence ouverte / Open licence). Faites connaître vos réutilisations en les partageant sur data.gouv.fr ! ]]>
Actualités Opendata Transparence Mon, 15 Jun 2015 10:48:00 +0200
La CNIL met en demeure Google de procéder aux déréférencements sur toutes les extensions du moteur de recherche http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-met-en-demeure-google-de-proceder-aux-dereferencements-sur-toutes-les-extensions-du-mote/ Un an après l’arrêt de la cour de Justice de l’Union européenne, Google a donné suite à de nombreuses demandes de déréférencement, mais seulement sur les « extensions » européennes du moteur de recherche.]]> La Cour de justice de l’Union européenne a consacré le droit au déréférencement par un arrêt du 13 mai 2014. L’exercice de ce droit résulte de l’application du droit européen de la protection des données aux moteurs de recherche, notamment à celui mis en œuvre par la société Google. Concrètement, toute personne qui souhaite voir effacer un ou plusieurs résultats apparaissant sous une requête à partir de son nom peut en faire la demande au moteur de recherche. Celui-ci examine alors la demande, et y fait droit si les conditions légales sont remplies. En cas de refus du moteur de recherche de procéder au déréférencement sollicité, la personne concernée peut contester cette décision auprès de l’autorité de contrôle de protection des données (la CNIL, en France) ou de l’autorité judiciaire compétente au sein de chaque Etat membre. A ce titre, la CNIL a été saisie de plusieurs centaines de demandes de  particuliers s’étant vu refuser le déréférencement de liens Internet (ou adresses URL) par Google. A la suite de l’examen de ces réclamations, la CNIL a demandé à la société Google de procéder au déréférencement de plusieurs résultats. Elle a expressément demandé que le déréférencement soit réalisé sur l’ensemble du moteur de recherches, quelle que soit « l’extension » de celui-ci (.fr ; .uk ; .com ; etc.). Si la société a fait droit à certaines des demandes, elle n’a octroyé le déréférencement que sur des recherches effectuées sur l’une des extensions géographiques européennes du moteur de recherche. Il ne s’applique pas, par exemple, sur des recherches effectuées à partir de « google.com » ou d’extensions non européennes. La CNIL considère, conformément à l’arrêt de la CJUE que le déréférencement, pour être effectif, doit concerner toutes les extensions et que le service proposé via le moteur de recherche « Google search » correspond à un traitement unique. Dans ces conditions, la Présidente de la CNIL demande qu’il soit procédé, dans un délai de 15 jours, au déréférencement des demandes favorablement accueillies sur l’ensemble du traitement et donc sur toutes les extensions du moteur de recherche. Au regard de la nécessité d’appeler l’attention des exploitants de moteurs de recherche, des internautes et des éditeurs de contenus sur l’étendue et la portée des droits d’opposition et d’effacement des données, dont il faut assurer la pleine effectivité, cette mise en demeure est rendue publique. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si Google Inc. ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », de prononcer une sanction à l’égard de la société.]]> Actualités Mise en demeure Droit à l'oubli Moteurs de recherche Fri, 12 Jun 2015 09:35:00 +0200 Envoi sans consentement de lettres d’information électroniques contenant de la prospection : sanction de 15.000 euros http://www.cnil.fr/nc/linstitution/actualite/article/article/envoi-sans-consentement-de-lettres-dinformation-electroniques-contenant-de-la-prospection-sanc/ La formation restreinte a prononcé une sanction de 15.000 euros à l’encontre de la société PRISMA MEDIA, spécialisée dans l’édition et la commercialisation de magazines périodiques et des sites internet de ces magazines.]]> En juillet 2012, la société PRISMA MEDIA a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec les obligations légales, notamment pour ses traitements de données relatifs aux prospects. Au regard des mesures prises et annoncées par la société, la présidente de la CNIL a clôturé cette mise en demeure en janvier 2013. Toutefois, en mars 2014, un nouveau contrôle a fait apparaître que la société n’informait toujours pas systématiquement ni suffisamment les personnes concernées des traitements mis en œuvre. En effet, lorsqu’un internaute se rend sur le site d’une publication du groupe, il peut demander à recevoir la lettre d’information du titre du site qu’il consulte mais également celles des autres revues ou périodiques édités par la société en cochant la case : « oui, je souhaite recevoir les newsletters du groupe Prisma Media ». Or, ce faisant, il ne dispose pas systématiquement d’information sur les autres newsletters qu’il va recevoir, n’ayant pas notamment connaissance des publications concernées. Ainsi, l’information délivrée ne permet pas de considérer que le consentement des personnes à recevoir des lettres d’information par voie électronique est libre et spécifique. En outre, la société ne faisait pas totalement droit aux demandes d’opposition des internautes et conservait les données pendant des durées excessives. En octobre 2014, la présidente de la CNIL a décidé de mettre en demeure la société PRISMA MEDIA et de rendre publique cette décision. Cette mise en demeure n’ayant pas été entièrement satisfaite, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 15.000 euros à l'encontre de la société PRISMA MEDIA, qu’elle a décidé de rendre publique. La formation restreinte a considéré que la société ne s’était pas mise en conformité sur plusieurs points :
  • La société n’a pas apporté d’éléments de réponse concernant le manquement relatif au défaut de recueil du consentement des internautes ;
  • La mention présente sur les formulaires d’inscription aux lettres d’information n’indiquait pas aux internautes leur droit d’opposition au traitement de leurs données. La formation restreinte a toutefois  relevé que les formulaires d’inscription aux lettres d’information de PRISMA MEDIA indiquent depuis aux internautes leur droit d’opposition et que la procédure de gestion des désabonnements est de nature à garantir une correcte prise en compte de l’exercice de ce droit.
  • Contrairement à ce que soutient la société, la simple ouverture d’une lettre d’information par un internaute ne peut constituer un « contact » au sens de la norme simplifiée n° 48, et être ainsi le point de départ de la durée de conservation des données.
]]>
Actualités Sanctions Fri, 12 Jun 2015 09:10:00 +0200
Interdits de stade : mise en demeure pour le PSG FOOTBALL http://www.cnil.fr/nc/linstitution/actualite/article/article/interdits-de-stade-mise-en-demeure-pour-le-psg-football/ La Présidente de la CNIL met en demeure le PSG FOOTBALL de respecter le cadre des autorisations relatives aux interdictions et aux exclusions de stade que la CNIL lui a délivrées en 2013 et 2014. ]]> Le législateur a défini un cadre légal précis pour les dispositifs d’exclusion des stades. Le code du sport prévoit ainsi que seuls le préfet ou le juge peuvent prendre des mesures d’interdiction de stade à l’égard des personnes et en fixer la durée. Afin d’assurer l’effectivité de ces interdictions de stade, le PSG FOOTBALL a été autorisé par la CNIL, le 7 novembre 2013, à créer un fichier permettant de gérer les suites des mesures prises par les autorités administratives et judiciaires. Le PSG FOOTBALL a ensuite obtenu une autre autorisation de la CNIL, le 30 janvier 2014, pour mettre en œuvre une liste d’exclusion des clients, au delà des cas d’interdits de stade. Concrètement, cette autorisation permet par exemple l’exclusion des personnes pour les motifs suivants : existence d’un impayé, non respect des règles de billetterie, activité commerciale dans l’enceinte sportive en violation des conditions générales de vente, etc. Or, les contrôles sur place effectués au mois d’octobre et novembre 2014 ont permis de constater que la société méconnaissait partiellement le cadre fixé par les deux autorisations. En effet, le PSG FOOTBALL ne s’est pas borné à gérer la liste des interdits de stade à l’intérieur du cadre légal, mais a décidé d’exclure les personnes faisant l’objet de ces mesures, après l’expiration de celles-ci, pendant une durée au moins équivalente. Cette pratique a ainsi conduit la société, a minima, à doubler la durée d’un dispositif d’interdiction de stade pourtant prévu par la loi. Cette pratique du PSG FOOTBALL est donc intervenue sans aucune base légale et en méconnaissance des autorisations délivrées par la CNIL. C’est la raison pour laquelle la Présidente de la CNIL a décidé d’adopter une mise en demeure à l’encontre de la société afin que celle-ci se conforme à la loi. Afin d’appeler l’attention des organismes sportifs sur le dispositif légal encadrant les exclusions des personnes des stades et d’informer le public de ses droits en la matière, dont les plaignants ayant saisi la CNIL, cette mise en demeure est rendue publique. La CNIL rappelle qu’une telle mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti d’un mois. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si le PSG FOOTBALL ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », de prononcer une sanction à l’égard de la société.]]> Actualités Mise en demeure Wed, 10 Jun 2015 09:09:00 +0200