RSS CNIL

La CNIL adresse un questionnaire complémentaire à Google suite à ses réponses insuffisantes sur ses nouvelles règles de confidentialité

Wed, 23 May 2012 16:31:00 +0200

La CNIL a été désignée par le groupe des CNIL européennes pour mener l'analyse des nouvelles règles de confidentialité de Google. Dans ce cadre, la CNIL a adressé à Google, le 16 mars dernier, un questionnaire sur ces nouvelles règles. Google a fourni des réponses à l'ensemble des questions le 20 avril. La CNIL se félicite de la collaboration de Google sur cette question mais regrette que les réponses fournies par Google soient souvent incomplètes ou approximatives. Afin de pouvoir finaliser son analyse, la CNIL a donc adressé un questionnaire complémentaire le 22 mai, visant à préciser certaines questions qui avaient été initialement posées. Elle a par ailleurs reçu les représentants de Google le 23 mai lors d'une réunion à la CNIL. La CNIL a donné jusqu'au 8 juin à Google pour y répondre. En l'état, la CNIL considère qu'il est impossible de connaître l'ensemble des traitements de données personnelles réalisé par Google, ainsi que les relations entre données collectées, finalités et destinataires et que l'obligation d'information des personnes sur les traitements n'est donc pas respectée. La CNIL relève également que Google n'est pas en mesure de fournir une durée maximale de conservation des données. Concernant la combinaison des données entre services, la CNIL réitère ses inquiétudes sur la finalité et l'ampleur de ces combinaisons ainsi que sur leur base légale. La CNIL s'interroge également sur les effets réels des mécanismes de désinscription ("opt-out") proposés par Google et leur validité comme moyen d'exercer un droit d'opposition. Enfin, Google n'est aujourd'hui pas en mesure d'apporter une réponse concrète sur la manière dont la Directive "vie privée et communications électroniques" est appliquée pour les "utilisateurs passifs" de Google, c'est-à-dire les personnes qui utilisent les services de Google (publicité, analytics, bouton +1) lorsqu'ils se rendent sur des sites tiers. Une fois les réponses complètes et détaillés obtenues, la CNIL présentera son rapport au G29, qui définira sa position et les éventuelles améliorations que Google devra apporter à ces règles de confidentialité, pour être en conformité avec le cadre européen de protection des données. Les conclusions de cette analyse seront transmises à Google avant la mi-juillet.

Mesurer pour progresser vers l'égalité des chances : la CNIL et le Défenseur des Droits publient un guide méthodologique à l'usage des acteurs de l'emploi

Fri, 11 May 2012 15:41:00 +0200

Ce guide, appuyé sur de nombreuses consultations d'experts, a fait l'objet d'une large diffusion auprès des partenaires sociaux et des responsables d'entreprise de taille et de secteurs d'activités divers, afin de répondre au mieux à leurs attentes en aidant à la construction d'indicateurs fiables pour favoriser la promotion de l'égalité des chances.

Les freins à l'emploi et au développement des carrières – à raison du sexe, de l'origine, de l'orientation sexuelle, de l'âge ou du handicap des personnes – constituent autant d'atteintes au principe d'égalité, socle de l'identité républicaine et les employeurs publics et privés sont soucieux de se mobiliser pour mieux connaître la réalité de la situation, et s'assurer de la mise en place de processus non discriminants à chaque étape du parcours de leurs salariés.

La loi "Informatique et Libertés" du 6 janvier 1978 encadre toutefois la collecte et le traitement des données à caractère personnel, pour garantir les droits des personnes concernées. Elle interdit en particulier la collecte et le traitement de données dites "sensibles", notamment celles relatives à l'origine ou à l'appartenance ethno-raciale réelle ou supposée des personnes – sous réserve de dérogations limitées – sous peine de méconnaître le principe constitutionnel d'égalité devant la loi, rappelé par la décision du Conseil constitutionnel n° 2007-557 DC du 15 novembre 2007.

Face à ce paysage juridique complexe, les employeurs ont ainsi l'impression que mobiliser des outils de mesure pour évaluer et corriger les discriminations et en particulier celles liées à l'origine, les expose à un risque dont ils ne cernent pas la nature.

Comment se situe mon entreprise/mon service en matière d'égalité et de "diversité" ? Est-ce que tout est mesurable ? Comment cerner la discrimination liée à l'origine, si l'on ne peut recueillir de données ethno-raciales ? Des actions correctrices sont-elles nécessaires dans mon entreprise/mon service ? Lesquelles ? Comment agir en faveur d'un groupe particulier ? Comment évaluer l'efficacité des mesures mises en œuvre ? Comment rendre compte des progrès réalisés ? … Voilà quelques questions que se posent les responsables d'entreprise.

Il appartenait donc à la CNIL et au Défenseur des droits d'apporter des réponses claires à ces questions en indiquant, à droit constant, les procédures à suivre pour établir des indicateurs de mesure fiables, pour permettre aux acteurs de l'emploi d'agir pour l'égalité dans la sécurité du droit, et le respect des données personnelles.

Tel est l'objet de ce guide, fruit d'une collaboration innovante entre la CNIL et le Défenseur des droits qui se poursuivra dans les mois qui viennent, et réalisé avec le soutien de la Commission européenne dans la cadre du Programme Progress.

Ce guide se veut la déclinaison pratique des règles à respecter pour mesurer les éventuelles discriminations dans l'entreprise ou l'administration et évaluer les actions correctives mises en œuvre. 25 fiches thématiques détaillent les actions qui peuvent être entreprises et les précautions qui doivent les entourer.

Une première partie précise les notions clés : discrimination, action positive, données personnelles, données sensibles...

La deuxième partie rappelle les conditions préalables à respecter pour toute mise en œuvre de traitement de données personnelles en termes juridiques et techniques : formalités préalables, mesures d'information, règles de confidentialité, anonymisation...

La troisième et la quatrième partie donnent les éléments de méthodologie nécessaires pour conduire l'analyse de fichiers de gestion des ressources humaines et pour mener des enquêtes en entreprise : protocole, catégories de données exploitables, mode d'emploi...

La dernière partie permet d'en savoir plus sur les champs d'intervention de la CNIL et du Défenseur des droits. Elle fournit aussi des modèles de courriers, d'information et de recueil du consentement ainsi qu'une clause de confidentialité.

Sécurité des cartes bancaires sans contact : expertise en cours

Thu, 10 May 2012 14:40:00 +0200

La technologie NFC (Near Field Communication) est une technologie sans fil à courte portée et à haute fréquence. Elle permet d'échanger des informations entre une carte à puce et un terminal. Elle est fréquemment utilisée en matière de billettique comme pour le passe Navigo en Île-de-France. Elle peut également être utilisée en matière de paiement. Les cartes bancaires équipées de cette technologie permettent de réaliser des transactions en apposant simplement la carte sur le terminal de paiement lui-même équipé d'un capteur NFC. Selon plusieurs articles de presse parus ces dernières semaines, les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu'elles contiennent. Des tests auraient démontré que ces cartes seraient susceptibles de communiquer sur plusieurs mètres des informations relatives à leur porteur ou aux transactions effectuées par celui-ci. La CNIL réalise donc actuellement des investigations techniques afin d'identifier d'éventuels problèmes de sécurité et d'évaluer leurs conséquences en termes d'impact sur la vie privée des porteurs de carte. La loi Informatique et libertés prévoit que les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu'ils traitent afin notamment d'empêcher que des tiers non autorisés n'y aient accès.

Webinbox.info, frenchcity.info, eopin.info, habitant-ville.info : enquête pénale en cours

Fri, 20 Apr 2012 16:57:00 +0200

En septembre dernier, la CNIL diffusait, sur son site, une information sur les difficultés rencontrées avec le site webinbox.info. Les centaines de plaintes et de témoignages reçus, non seulement à l'encontre de ce site mais également d'autres tels que frenchcity.info, eopin.info, habitant-ville.info, ont mis en lumière l'illégalité des conditions de collecte et de diffusion de ces informations. Les personnes concernées n'ont en effet jamais communiqué leurs coordonnées postales ou téléphoniques au responsable de ces sites et elles n'ont a fortiori pas autorisé leur mise en ligne. Au-delà de l'atteinte à la vie privée, la diffusion de ces coordonnées est susceptible de mettre en danger les personnes en raison de leur profession (magistrats, policiers…) ou de leur situation personnelle (victimes de violences conjugales, etc.).

La CNIL avait, dans un premier temps, entrepris des démarches auprès du responsable des sites pour obtenir des précisions sur l'origine des coordonnées diffusées et la mise en conformité des sites avec la loi. Face à l'importance du nombre de plaintes reçues et à l'absence de réponse à ses courriers, elle a décidé, le 31 août 2011, de dénoncer les faits au procureur de la République de Douai. Pour ne pas nuire au bon déroulement de l'enquête, la CNIL n'a pas communiqué sur l'ouverture d'une procédure pénale.

L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) de la direction centrale de la police judiciaire a d'abord été chargé de l'affaire. Le responsable des différents sites a ainsi pu être identifié et localisé.

L'enquête est actuellement gérée par la direction interrégionale de la police judiciaire de Bordeaux. Le responsable présumé des faits a été convoqué dans ses locaux pour s'expliquer sur les conditions de collecte et de diffusion des données personnelles en cause. Une mise en conformité avec la loi des différents sites dont il est le gestionnaire est attendue sans délai.

Les suites pénales données à cette affaire devraient bientôt être précisées par le Parquet de Bordeaux.

Quel programme des contrôles pour 2012 ?

Thu, 19 Apr 2012 11:35:00 +0200

La CNIL a fixé son programme des contrôles pour l'année 2012. Ce programme est résolument ambitieux et est tourné, tant vers les problématiques traditionnelles (fichiers de police, fichiers du quotidien), que vers des thèmes jugés innovants (smartphone, failles de sécurité, sécurité des données de santé). La sécurité des données constitue un élément central de l'ensemble de ces contrôles.

Ainsi, la CNIL effectuera, dans le prolongement de son activité de l'année 2011, au moins 150 contrôles sur des dispositifs dits de " vidéoprotection ". Ces contrôles porteront notamment sur des dispositifs dont l'ampleur est notoire, les communes utilisant la " vidéoverbalisation " ou les établissements recevant un nombre très important de personnes.

Concernant l'application de la loi "Informatique et Libertés", la CNIL a choisi d'axer son activité de contrôle sur les thèmes suivants :

Smartphone : un ami qui vous veut du bien ?

Dans le prolongement de son étude sur les nouveaux usages de " smartphones ", la CNIL a décidé d'effectuer des contrôles portant sur l'ensemble du processus d'acquisition d'un Smartphone (collecte de données clients, consultation du fichier PREVENTEL) et sur son utilisation (collecte de données lors de son utilisation ou du téléchargement et de l'utilisation d'applications).

Ces contrôles viseront les modalités de traitement des données ainsi collectées par les opérateurs, mais aussi par les fournisseurs d'application.

Ces contrôles permettront à la CNIL d'avoir une vision précise et globale des conditions de traitement des données des millions d'utilisateurs de Smartphones et des applications qui y sont associées.

La sécurité des données de santé

La CNIL a décidé de continuer les contrôles qu'elle a entamés en 2011. En effet, l'année 2012 va connaître de nouveaux développements avec la relance du dossier médical personnel (DMP), l'extension du dossier pharmaceutique, etc.

Ainsi, des contrôles seront effectués concernant la recherche médicale, les applications de santé en ligne ou encore auprès d'hébergeurs de santé.

Une attention toute particulière sera portée sur les problématiques liées aux solutions d'hébergement à distance des données par l'intermédiaire du Cloud Computing .

Plusieurs contrôles porteront également sur l'ensemble des traitements mis en œuvre au sein de structures hospitalières d'envergure.

Les failles de sécurité

La question de la sécurité des données des personnes est un enjeu central en matière de protection des données. Aussi, la CNIL a édité un guide pratique sur " la sécurité des données personnelles " et de plus en plus de dossiers sont examinés par la formation restreinte sur la base de manquements à l'obligation de sécurité posée par la loi.

L'introduction d'un article 34 bis à la loi du 6 janvier 1978 modifiée obligeant la notification des " violations de données à caractère personnel " par les fournisseurs de services opérateurs de communications électroniques a naturellement conduit la CNIL à inscrire cette question à son programme des contrôles pour l'année 2012.

Sport et vie privée

La CNIL a déjà effectué des contrôles au sein du milieu sportif (clubs de football notamment).

La CNIL a décidé de prolonger son activité sur ce sujet, en effectuant des contrôles auprès des principales fédérations sportives françaises afin de vérifier les conditions de mise en œuvre des traitements relatifs aux licenciés et aux spectateurs : types de données collectées, transmissions éventuelles à des tiers, durées de conservation, gestion éventuelle de listes noires, etc.

Des contrôles seront également menés sur le thème de la lutte contre le dopage, par exemple en ce qui concerne l'obligation de suivi des sportifs. Enfin, des contrôles seront opérés auprès des stades accueillant des compétitions sportives.

Les fichiers de police

Dans la continuité du second rapport parlementaire des députés BATHO et BENISTI, la CNIL effectuera une série de contrôles, non sur un traitement déterminé, mais sur les traitements mis en œuvre au sein de différents services opérationnels (nationaux et locaux) de police et de gendarmerie. Ces contrôles permettront d‘évaluer l'utilisation quotidienne des traitements comportant des données personnelles.

Au-delà du contrôle de la conformité à la loi des traitements, la Commission pourra alors mieux cerner les enjeux concrets qui peuvent conduire les services opérationnels à mettre en œuvre, parfois localement et en dehors de tout cadre juridique, des fichiers dans leurs activités quotidiennes de police judiciaire ou administrative.

De plus, comme cela avait été annoncé en 2009 lors de la remise du rapport de contrôle global du " système de traitement des infractions constatées " (STIC), un nouveau contrôle sera mené sur ce fichier.

Les fichiers du quotidien

Afin de répondre aux interrogations de nombreux citoyens, des contrôles seront réalisés auprès d'entreprises importantes fournissant des services de première nécessité (eau, gaz, électricité, etc.) dont les fichiers concernent des dizaines de millions de personnes.

Des contrôles seront également menés auprès des sociétés d'autoroutes qui mettent en œuvre des traitements de plus en plus nombreux et innovants (péage sans contact, lutte contre la fraude, sécurité routière, etc.).

Séance plénière du 12 avril 2012

Wed, 18 Apr 2012 17:40:00 +0200

Adoption d’une autorisation unique relative aux données à caractère personnel contenues dans des informations publiques publiées par les services d’archives publiques.
Avis sur un projet de décret autorisant la Caisse nationale d’assurance vieillesse à mettre en œuvre une base d’informations sur les dossiers des allocataires fraudeurs*.
Communication relative au bilan des contrôles "Prendre l’avion : Quelles conséquences pour la vie privée?".
Communication relative aux activités du laboratoire de la CNIL et démonstration des outils développés par le laboratoire.
Adoption de 4 autorisations.

Formation contentieuse du 12 avril 2012

Wed, 18 Apr 2012 17:38:00 +0200

La formation contentieuse de la CNIL s’est réunie le jeudi 12 avril 2012 et a examiné le point suivant:

Le G29 adopte un avis sur le projet de règlement européen réformant le cadre général sur la protection des données

Wed, 18 Apr 2012 15:21:00 +0200

Le G29 se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Plus particulièrement, le G29 soutient les dispositions incitant les responsables de traitement à prendre des mesures protectrices tout au long du cycle de vie de l'information (études d'impact, protection dès la conception et par défaut, mise en place de BCR, notification des failles de sécurité, désignation de délégués à la protection des données) et celles militant pour une meilleure protection des personnes concernées (droit à la transparence, droit à la portabilité, droit à l'oubli). Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations. Concernant la compétence des autorités en cas de pluralité d'établissements dans l'Union européenne, le G29 est favorable à la création d'un concept de guichet unique pour les entreprises avec une autorité chef de file devant coopérer avec les autres autorités grâce au mécanisme dit de "cohérence" et agissant en accord entre elles et ce, à partir du moment où les personnes situées dans plusieurs Etats membres sont impactées. Cette approche devrait permettre un exercice effectif des droits de recours des citoyens, leur donnant la possibilité de se défendre devant le tribunal de leur résidence quelque soit la procédure civile, pénale ou administrative choisie. Toutefois, afin que ce mécanisme puisse fonctionner, l'identification de l'établissement principal d'une entreprise doit être impérativement clarifiée. La définition de l'établissement principal est en effet essentielle comme critère de désignation de l'autorité chef de file et éventuellement, de détermination des responsabilités des parties impliquées. Pour ce qui concerne les transferts internationaux de données, le G29 considère que le champ d'application des dérogations aux règles d'encadrement des transferts est trop large et souhaite les limiter aux transferts non massifs et non répétitifs. Le G29, comme la CNIL, appellent à supprimer la possibilité de recourir à des instruments non contraignants et à consulter obligatoirement le comité européen qui remplacera le G29, en cas de décisions d'adéquation prises par la Commission européenne. Par ailleurs, le G29 a exprimé ses inquiétudes sur l'importance du rôle de la Commission européenne, le recours à des actes d'exécution ou actes délégués étant prévu dans plus de 40 cas, ainsi que par son implication dans la procédure de mise en cohérence des positions des autorités nationales pour un cas donné. Le G29 propose une gouvernance plus équilibrée fondée sur une meilleure ventilation des pouvoirs normatifs entre les autorités de contrôle, le comité européen (ex G29) et la Commission européenne. L'avis du G29 reflète également les positions de la CNIL sur d'autres points nécessitant des éclaircissements, notamment sur la possibilité de faire valoir ses droits directement auprès d'un tiers dans le cadre du droit à l'oubli, sur la reconnaissance de l'adresse IP comme donnée personnelle, sur l'inclusion de la proportionnalité et de la modulation des sanctions en fonction des efforts "d' accountability" ou encore sur l'obligation d'information entre autorités de contrôle en cas d'événements impactant leurs territoires respectifs. S'agissant de la directive en matière de coopération policière et judicaire en matière pénale, l'avis regrette le manque d'ambition de la Commission européenne et souligne la nécessité d'en renforcer les dispositions. En particulier, le G29 regrette le manque de cohérence entre la directive et le règlement au niveau des principes généraux de protection des données (conservation des données, transparence), des droits des personnes concernées ou des obligations qui incombent aux responsables de traitement. Il souhaite également une meilleure complémentarité entre les projets de directive et de règlement, notamment afin de clarifier leurs champs d'application respectifs. Enfin, le G29 recommande que soit menée une analyse approfondie des coûts supplémentaires et des modes de financement pour les autorités de protection des données qui devront mener à bien leurs missions au regard des propositions de texte et appelle les membres du Conseil et du Parlement Européen à améliorer les deux propositions pour la protection des données personnelles des quinze prochaines années.

Un syndicat sanctionné pour n’avoir pas répondu à une mise en demeure de la CNIL

Thu, 12 Apr 2012 17:57:00 +0200

En aout 2010, la CNIL a reçu une plainte émanant d'un professeur de l'Université des sciences et technologies de Lille 1 qui ne souhaitait plus recevoir de courriels de prospection syndicale sur sa messagerie professionnelle. Ce professeur avait demandé à plusieurs reprises à l'Union régionale des syndicats CGT des établissements d'enseignement supérieur de l'Académie de Lille ("le syndicat") de cesser l'envoi de courriels sur sa messagerie professionnelle. Ces demandes ont été ignorées. La CNIL a adressé plusieurs courriers au syndicat pour lui rappeler que les adresses électroniques professionnelles utilisées pour l'envoi de courriels de prospection devaient avoir été collectées de manière loyale et que les personnes démarchées bénéficiaient de certains droits, en particulier, celui de s'opposer à recevoir de la prospection. Ces courriers, ainsi que la mise en demeure adoptée par le Président de la CNIL le 19 mai 2011 et la convocation du représentant du syndicat à une audition dans les locaux de la CNIL, sont restés sans réponse. La formation contentieuse de la CNIL a décidé de prononcer une sanction pécuniaire de 5 000 euros à l'encontre du syndicat. Elle rappelle dans sa délibération qu'une adresse électronique à caractère professionnel doit être considérée comme une donnée à caractère personnel si elle permet d'identifier la personne titulaire de cette messagerie. En l'espèce, l'adresse de la plaignante permettait de l'identifier parmi les enseignants de l'université dans la mesure où elle comportait ses nom et prénom (prénom.nom@nomdedomaine.fr). En outre, cette décision confirme, dans la continuité de la sanction pécuniaire de 10 000 euros rendue à l'encontre de l'association LEXEEK (décision qui fait l'objet d'un recours) la volonté de la CNIL de sanctionner les organismes qui ne répondent pas à ses mises en demeure.

Séance plénière du 5 avril 2012

Tue, 10 Apr 2012 12:21:00 +0200

Autorisation accordée à la société Banque Accord pour mettre en œuvre un traitement ayant pour finalité la lutte contre la fraude à l'octroi de crédit et à la carte bancaire.
Communication relative au traitement des dix premiers chiffres du numéro de sécurité sociale ("NIR tronqué") en lien avec l'application de gestion budgétaire, financière et comptable de l'Etat dénommée CHORUS.
Adoption de 15 autorisations.