RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Tue, 26 Aug 2014 17:55:00 +0200 Avertissement pour le CREDIT AGRICOLE CONSUMER FINANCE en raison de dysfonctionnements relatifs au FICP http://www.cnil.fr/nc/linstitution/actualite/article/article/avertissement-pour-le-credit-agricole-consumer-finance-en-raison-de-dysfonctionnements-relatifs-au-f/ La formation restreinte a sanctionné la société Crédit Agricole Consumer Finance pour non respect des règles de fonctionnement du fichier des incidents de remboursement des crédits aux particuliers (FICP) et pour atteinte à la confidentialité des données bancaires des clients.]]> Entre 2012 et 2014, la CNIL a reçu plusieurs plaintes de particuliers dénonçant soit le bien-fondé de leur inscription au fichier des incidents de remboursement des crédits aux particuliers (FICP), soit la persistance de leur inscription malgré la régularisation de leur incident de paiement. Le FCIP est consulté par les établissements bancaires avant l'octroi d'un crédit à des fins non professionnelles. Encadré par l'arrêté du 26 octobre 2010, ce fichier est tenu par la Banque de France. Par ailleurs, des plaignants ont indiqué avoir reçu par erreur des documents confidentiels relatifs à d'autres clients de la société. La CNIL s'est donc adressée à l'établissement de crédit. A la suite de son intervention, l'établissement a procédé aux radiations du FICP qui s'imposaient et lui a communiqué les procédures mises en œuvre pour renforcer la sécurité et la confidentialité des données de ses clients. Au vu de ces éléments et à la suite d'un contrôle sur place effectué le 24 avril 2014, une procédure de sanction a été engagée pour plusieurs manquements à la loi Informatique et Libertés. Il a été retenu des manquements aux obligations de :
  • tenir informée la Banque de France dans les délais impartis des régularisations d'incidents permettant la radiation des personnes concernées ;
  • procéder à un traitement licite des données - les conditions permettant l'inscription de personnes au FICP n'étaient pas réunies ;
  • assurer la confidentialité des données.
Face à ce constat, un avertissement public a été prononcé par la formation restreinte. ]]>
Actualités Droit d'accès & banque Crédit Sanctions FICP Tue, 26 Aug 2014 17:55:00 +0200
La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing http://www.cnil.fr/nc/linstitution/actualite/article/article/la-societe-orange-sanctionnee-pour-defaut-de-securite-des-donnees-dans-le-cadre-de-campagnes/ A la suite d'une faille de sécurité concernant les données de plus d'un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.]]> En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile. La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction. Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données. La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire. La formation restreinte en a déduit que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi " Informatique et Libertés " et a prononcé à son encontre un avertissement public. ]]> Actualités Sanctions Marketing Téléphonie Mon, 25 Aug 2014 17:38:00 +0200 Mesure de fréquentation et analyse du comportement des consommateurs dans les magasins http://www.cnil.fr/nc/linstitution/actualite/article/article/mesure-de-frequentation-et-analyse-du-comportement-des-consommateurs-dans-les-magasins/ Des dispositifs utilisant les téléphones portables ou des images vidéo permettent de mesurer l'audience de certains panneaux publicitaires ou la fréquentation de magasins. La CNIL accompagne les professionnels pour que ces dispositifs soient mis en œuvre en respectant la vie privée des consommateurs.]]>

Fonctionnement des panneaux publicitaires avec mesure d'audience

Situées, par exemple, dans des galeries commerçantes, ces dispositifs reposent sur des caméras placées sur des panneaux publicitaires. Ils permettent de compter le nombre de personnes qui regardent la publicité et le temps passé devant celle-ci, d'estimer leur âge et leur sexe, voire d'analyser certains comportements (en suivant par exemple les déplacements du regard de la personne sur les différentes parties de la publicité).

Quelles mesures pour garantir la vie privée des personnes ?

Des mesures pour garantir l'anonymat des personnes doivent être mises en œuvre : les images ne doivent pas être enregistrées, ni transmises à des tiers, ni même visibles par les prestataires qui proposent ces dispositifs à la vente ou à la location. Elles doivent être traitées uniquement " à la volée ".

Comment informer les personnes et quels sont leurs droits ?

Une information claire doit être affichée dans les lieux où sont mis en place ces dispositifs afin de garantir une réelle transparence vis-à-vis du public. Cette information doit, notamment, préciser la finalité du dispositif et l'identité de son responsable. Dans la mesure où les données sont anonymisées immédiatement, l'exercice du droit d'accès, de rectification et d'opposition ne peut pas s'appliquer.

Quelles formalités auprès de la CNIL ?

La loi du 12 juillet 2010 - dite Grenelle II - portant engagement national pour l'environnement a prévu un régime d'autorisation préalable de la CNIL avant l'utilisation de certains dispositifs. L'article L. 581-9 du code de l'environnement prévoit en effet que "Tout système de mesure automatique de l'audience d'un dispositif publicitaire ou d'analyse de la typologie ou du comportement des personnes passant à proximité d'un dispositif publicitaire est soumis à autorisation de la Commission nationale de l'informatique et des libertés." Sont donc soumis à autorisation préalable de la CNIL, les dispositifs :
  • installés sur une voie publique ou privée ouverte à la circulation publique (par exemple, dispositif présent sur du mobilier urbain installé dans la rue) ;
  • non installés mais visibles d'une voie publique ou d'une voie privée ouverte à la circulation publique (par exemple, dispositif installé dans une enceinte sportive mais visible de la rue) ;
  • installés dans des locaux principalement utilisés comme support de publicité (par exemple, dispositif installé dans une vitrine séparée de l'espace de vente).

Fonctionnement des dispositifs de mesure de fréquentation des magasins

Dans un centre commercial, par exemple, des boîtiers captent les données émises par le téléphone portable (adresses MAC de la carte réseau par exemple) et calculent la position géographique des personnes. Ces systèmes permettent d'établir des statistiques de fréquentation, pour savoir combien de personnes ont fréquenté un centre commercial tel jour et à telle heure mais aussi avoir connaissance des trajets d'une même personne à l'intérieur du centre.

Quelles mesures pour garantir la vie privée des personnes ?

Des mesures doivent être prises pour garantir l'anonymat des personnes, par exemple :
  • les données émises par le téléphone portable doivent être supprimées lorsque son porteur sort du magasin;
  • ou l'algorithme d'anonymisation utilisé doit assurer un fort taux de collision, c'est-à-dire qu'un identifiant en base doit correspondre à de nombreuses personnes. L'utilisation d'un tel algorithme permet notamment d'estimer les taux de retour des personnes dans un magasin avec un taux d'erreur non préjudiciable pour le commerçant tout en permettant d'assurer le respect de la vie privée de ses clients.
Le consentement préalable et éclairé des personnes est nécessaire pour pouvoir conserver les données non anonymisées plus longtemps. Ce consentement doit se manifester par une action positive (par exemple, accoler son téléphone sur un boitier spécifique).

Comment informer les personnes et quels sont leurs droits ?

Une information claire doit être affichée dans les lieux où sont mis en place ces dispositifs afin de garantir une réelle transparence vis-à-vis du public. Cette information doit, notamment, préciser la finalité du dispositif et l'identité de son responsable. Lorsque les données sont anonymisées, l'exercice du droit d'accès, de rectification et d'opposition ne peut pas s'appliquer. A défaut d'anonymisation, le consentement des personnes est nécessaire.

Quelles formalités auprès de la CNIL ?

Ces dispositifs doivent faire l'objet d'une déclaration auprès de la CNIL sauf s'ils entrent dans le champ d'application des dispositions précitées de l'article L. 581-9 du code de l'environnement, c'est-à-dire qu'ils ont pour finalité de mesurer l'audience d'un dispositif publicitaire, ou d'analyser la typologie ou le comportement des personnes passant à proximité d'un dispositif publicitaire. Dans ces cas, ils doivent faire l'objet d'une autorisation.]]>
Actualités Consommateurs Reconnaissance Faciale Vidéosurveillance Surveillance des locaux commerciaux Publicité Marketing Statistiques Téléphonie mobile Tue, 19 Aug 2014 14:14:00 +0200
La lecture automatisée de plaques d'immatriculation (LAPI) n'est pas autorisée pour les communes http://www.cnil.fr/nc/linstitution/actualite/article/article/refus-de-la-mise-en-oeuvre-dun-dispositif-de-lecture-automatisee-de-plaques-dimmatriculation-pa/ A l'occasion d'une demande d'autorisation déposée par une commune pour la mise en œuvre d'un dispositif de Lecture automatisée de plaques d'immatriculation, la Commission précise sa position : le cadre juridique actuel ne permet pas aux polices municipales de mettre en œuvre de tels dispositifs.]]>

Que sont les dispositifs LAPI ?

Les dispositifs de Lecture automatisée de plaques d'immatriculation (LAPI) sont des caméras vidéo, fixes ou mobiles, capables de capter, lire et enregistrer les plaques d'immatriculation des véhicules passant dans leur champ de vision. Afin de lutter contre certaines infractions particulièrement graves ou, à titre temporaire, de préserver l'ordre public (Art. L. 233-1 et L. 233-2 du Code de la sécurité intérieure), les dispositifs LAPI permettent aux forces de l'ordre de collecter automatiquement les données signalétiques et la photographie des véhicules, puis de les recroiser avec le fichier des véhicules volés ou le Système d'Information Schengen.

Qui peut utiliser les dispositifs LAPI ?

Dans sa délibération n° 2014-219, la CNIL relève que les dispositions du code de la sécurité intérieure applicables en matière de LAPI limitent la mise en œuvre de ces dispositifs aux seuls services de police, gendarmerie nationales et douane. Les communes ne peuvent donc pas les mettre en œuvre. En outre, la CNIL observe que la collecte massive des numéros de plaques d'immatriculation, sans justification particulière, pourrait conduire à identifier toutes les personnes empruntant la voie publique à l'entrée ou la sortie du territoire d'une commune. Une telle collecte serait dès lors susceptible de méconnaître le principe de proportionnalité.]]>
Actualités Autorisations Police Collectivités locales Routes Thu, 14 Aug 2014 16:00:00 +0200
Vidéosurveillance : sanction pécuniaire de 5.000 euros à l'encontre de PROVIDIS LOGISTIQUE http://www.cnil.fr/nc/linstitution/actualite/article/article/videosurveillance-sanction-pecuniaire-de-5000-euros-a-lencontre-de-providis-logistique/ La formation restreinte de la CNIL a prononcé une sanction de 5.000 euros à l'encontre de la société PROVIDIS LOGISTIQUE pour différents manquements à la loi " Informatique et Libertés " concernant principalement son dispositif de vidéosurveillance.]]> La CNIL a été saisie par l'inspection du travail de Rhône-Alpes au sujet des conditions de mise en œuvre des dispositifs de vidéosurveillance dans les filiales de la société PROVIDIS LOGISTIQUE. Les contrôles de la CNIL réalisés dans les locaux de la société et de certaines de ses filiales avaient révélé de nombreux manquements à la loi Informatique et Libertés. Une mise en demeure a donc été adoptée par la Présidente de la CNIL le 12 juillet 2013. En réponse à cette mise en demeure, la société a indiqué avoir corrigé certaines défaillances. Pourtant, de nouveaux contrôles sur place ont révélé la persistance de certains manquements relatifs notamment à la proportionnalité des dispositifs de vidéosurveillance et ont motivé l'engagement d'une procédure de sanction. Dans sa délibération, la formation restreinte a notamment examiné la légalité des dispositifs de vidéosurveillance au regard des impératifs de sécurité des biens et des personnes invoqués en défense par la société. La société continuait à filmer de manière continue certaines zones réservées aux salariés (accès aux vestiaires et aux locaux affectés au repos des salariés). La formation restreinte a retenu qu'aucune justification particulière ne pouvait légitimer une telle atteinte à la vie privée des salariés concernés. La formation restreinte a aussi considéré que l'information relative à ces dispositifs était incomplète et que les mesures de sécurité permettant de garantir la confidentialité des données issues des traitements déployés étaient insuffisantes. En conséquence, la formation restreinte a prononcé une sanction pécuniaire de 5.000 euros à l'encontre de la société. Elle a décidé, eu égard à l'absence de mise en conformité malgré un accompagnement constant de la CNIL, de rendre sa délibération publique. ]]> Actualités Vidéosurveillance Sanctions Surveillance des salariés Fri, 01 Aug 2014 10:37:00 +0200 Clôture de la mise en demeure du centre commercial E. LECLERC http://www.cnil.fr/nc/linstitution/actualite/article/article/cloture-de-la-mise-en-demeure-du-centre-commercial-e-leclerc/ La Présidente de la CNIL a adopté le 15 janvier 2014 une mise en demeure publique à l'encontre de la société SAS HYPERCOSMOS. La société s'étant depuis mise en conformité, la mise en demeure est donc clôturée. ]]> La Présidente de la CNIL a mis en demeure le centre commercial E. LECLERC de Saint-Médard-en-Jalles, notamment en raison de la mise en œuvre d'un dispositif de vidéosurveillance et d'un dispositif biométrique excessifs. Cette mise en demeure est intervenue à la suite d'une plainte qui a donné lieu à un contrôle sur place. Le courrier de réponse de la société, ainsi que le deuxième contrôle effectué sur place, ont démontré que les manquements relevés ne perduraient plus. La Présidente de la CNIL a considéré que l'organisme s'était mis en conformité avec la loi " Informatique et Libertés " et a ainsi décidé de procéder à la clôture de la décision de mise en demeure. ]]> Actualités Mise en demeure Salariés Surveillance des salariés Thu, 31 Jul 2014 17:42:00 +0200 Géolocalisation des clients : la CNIL sanctionne un dispositif illégal http://www.cnil.fr/nc/linstitution/actualite/article/article/geolocalisation-des-clients-la-cnil-sanctionne-un-dispositif-illegal/ La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 5 000 euros à l’encontre de la société LOC CAR DREAM pour avoir mis en œuvre un système de géolocalisation non conforme à la loi « Informatique et Libertés ».]]> La CNIL a reçu une plainte d'un client de la société LOC CAR DREAM relative à la mise en œuvre d'un dispositif de géolocalisation au sein des véhicules de luxe mis en location. Il dénonçait le caractère excessif des données recueillies et traitées par ce dispositif, mis en œuvre sans déclaration ni information préalable. La CNIL a adressé trois courriers à la société afin de lui rappeler ses obligations. Aucune réponse n'y a été apportée. Dès lors, un contrôle auprès de la société a été réalisé. Au vu des faits constatés, la présidente de la CNIL a mis en demeure la société LOC CAR DREAM et lui a demandé :
  • de procéder aux formalités préalables pour les traitements relatifs à la géolocalisation et à la gestion des clients,
  • de limiter la collecte des données de géolocalisation aux situations de non restitution et de vols,
  • d'informer les clients de la mise en œuvre des deux traitements précités,
  • de définir une politique sécurisée de gestion des mots de passe.
La société n'ayant apporté aucune réponse à cette mise en demeure, une procédure de sanction a donc été engagée. La formation restreinte de la CNIL a décidé de prononcer une sanction pécuniaire de 5 000 euros à l'encontre de la société. Elle a sanctionné l'ensemble des manquements auxquels il était demandé de remédier dans la mise en demeure, notamment le caractère excessif des données traitées par le dispositif de géolocalisation. En effet, la société a traité de nombreuses données, notamment de temps et de lieu, considérées comme excessives au regard des finalités pour lesquelles elles sont collectées et traitées.]]>
Actualités Géolocalisation Sanctions Surveillance des déplacements Mon, 28 Jul 2014 10:32:00 +0200
Sanction pécuniaire de 3.000 euros pour la Fédération Française d’Athlétisme http://www.cnil.fr/nc/linstitution/actualite/article/article/sanction-pecuniaire-de-3000-euros-pour-la-federation-francaise-dathletisme/ La formation restreinte de la CNIL a sanctionné la Fédération Française d’Athlétisme pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet et à la sécurité et la confidentialité des données. ]]> La CNIL a effectué un contrôle auprès de la Fédération Française d'Athlétisme dans le cadre de son programme annuel en matière de sport. Le contrôle a permis notamment de vérifier les traitements de données mis en œuvre par la Fédération s'agissant des licenciés. Il a porté en outre sur une plainte dont la CNIL avait été saisie concernant une personne qui souhaitait obtenir la suppression des résultats sportifs de son enfant mineur publiés sur le site web de la Fédération. A la suite de ce contrôle, la Présidente de la Commission a relevé de nombreux manquements à la loi du 6 janvier 1978 modifiée et a ainsi mis en demeure la Fédération le 14 février 2013 de se mettre en conformité. A l'expiration du délai de la mise en demeure, et malgré les échanges par courrier et une réunion au cours de laquelle la Fédération a été reçue par la CNIL, certains manquements ont persisté. Une procédure de sanction a alors été engagée.

La formation restreinte, instance contentieuse de la CNIL, a retenu :

Un manquement à l'obligation d'informer les personnes :

Le fait d'informer les sportifs non-licenciés, de la publication de leurs résultats sur le site web de la FFA et notamment de leur droit d'opposition, par l'intermédiaire des différents organisateurs des compétitions, n'était pas impossible et ne constituait pas un effort disproportionné comme l'avait soutenu dans un premier temps la Fédération. La formation restreinte considère, en tout état de cause, que la délivrance de cette information aux licenciés comme aux non-licenciés est d'autant plus importante que la diffusion de données sur internet est considérée comme plus intrusive qu'un moyen hors ligne.

Un manquement à l'obligation d'assurer la sécurité et la confidentialité des données :

Il a fallu la procédure de sanction pour que la Fédération mette en place des mots de passe robustes malgré l'accompagnement de la CNIL dans sa mise en conformité. Au vu de ces éléments, la formation restreinte a prononcé une sanction pécuniaire de 3.000 euros à l'encontre de la Fédération et a décidé de rendre sa délibération publique. ]]>
Actualités Sanctions Mon, 28 Jul 2014 10:14:00 +0200
Droit à l’oubli : le G29 a réuni les moteurs de recherche le 24 juillet http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-a-laEURTMoubli-le-g29-a-racuni-les-moteurs-de-recherche-le-24-juillet/ A la suite de l'arrêt de la Cour de Justice de l’Union européenne (CJUE) portant sur le droit à l’oubli, le G29 a rencontré, le 24 juillet à Bruxelles, des représentants de Google, Microsoft et Yahoo !.]]> L’objectif de cette rencontre était d’interroger les moteurs de recherche sur leur mise en œuvre pratique des principes clés du jugement, notamment afin d’élaborer les lignes directrices du G29. Ces lignes directrices permettront aux autorités de protection européennes de traiter de manière coordonnée les plaintes d'individus qui peuvent les saisir en cas de réponse négative des moteurs de recherche à leur demande de déréférencement. Elles devront aussi préciser comment les moteurs de recherche doivent répondre aux demandes, de manière à garantir une application cohérente et uniforme de la décision au niveau européen. Plusieurs questions ont été posées aux moteurs de recherche durant la réunion. Elles portent principalement sur leurs modalités de déréférencement (champ territorial de l’arrêt, raisons particulières pour lesquelles l’intérêt général du public à accéder à une information est considéré comme un élément prépondérant, notification du déréférencement aux sites, justification du refus de déréférencement). Les autorités européennes ont également demandé aux moteurs de recherche de répondre à certaines questions par écrit avant la fin du mois de juillet. Des rencontres pourront être organisées ultérieurement avec d’autres parties prenantes. Les lignes directrices du G29 seront finalisées à l’automne. ]]> Actualités Internautes Presse Traces informatiques Droit à l'oubli Internet Travaux du Groupe de l’article 29 Fri, 25 Jul 2014 14:22:00 +0200 Logement social : adoption d'un pack de conformité http://www.cnil.fr/nc/linstitution/actualite/article/article/logement-social-adoption-dun-pack-de-conformite/ Pour aider les bailleurs sociaux à mieux comprendre et appliquer la loi « Informatique et Libertés », la CNIL a conçu avec des acteurs de ce secteur un nouvel outil pratique, appelé « pack de conformité ».]]> A la suite d'une mise en demeure publique prononcée en 2011 à l'encontre d'un bailleur social, la CNIL a souhaité engager une phase de concertation avec certains des acteurs de ce secteur. Cette concertation lui a permis de mieux appréhender leurs pratiques, leurs besoins et d'identifier avec eux les difficultés qu'ils rencontrent pour mettre en œuvre des traitements de données conformes à la loi " Informatique et Libertés ". Pour simplifier les démarches que les bailleurs sociaux doivent accomplir auprès de la CNIL avant de créer un fichier, trois outils de simplification ont ainsi été élaborés en concertation avec l'Union sociale pour l'habitat et des bailleurs sociaux. Ces outils concernent des fichiers couramment utilisés, notamment pour instruire les demandes de logements, gérer le parc immobilier, ou instruire des précontentieux et des contentieux avec les résidents. Si ces outils ont par nature une forte composante juridique, ils présentent également une dimension pédagogique, en expliquant concrètement comment respecter certaines règles juridiques.

Le pack de conformité dédié aux bailleurs sociaux comprend :

Trois outils de simplification des formalités prévues par la loi " Informatique et Libertés "

  • une refonte de la norme simplifiée n° 20 permettant de déclarer plus facilement les fichiers qui servent à enregistrer et instruire les demandes de logement social ou à assurer une gestion courante du patrimoine immobilier ;
  • une autorisation unique permettant de mettre en œuvre des fichiers comportant des appréciations sur des difficultés sociales des résidents aux fins d'attribution, d'adaptation et de mutation des logements ou, si les personnes concernées le souhaitent, de mise en place d'un suivi social personnalisé ;
  • une autorisation unique concernant la gestion du précontentieux et du contentieux et permettant également de traiter des décisions de justice lorsqu'elles ont une incidence sur un lieu de résidence ;

Un guide pratique et pédagogique

Ayant vocation à évoluer avec le temps, ce guide précise et illustre les outils juridiques pour aider les bailleurs à mettre concrètement en application les principes " Informatique et Libertés ". Il aborde sous la forme de fiches pratiques : Les outils de simplification des formalités CNIL ;
Les destinataires des données et les tiers autorisés ;
La durée de conservation des données et l'archivage
La vidéosurveillance et la vidéoprotection dans les ensembles immobiliers à caractère social ;
la bonne utilisation des zones de commentaires ;
le traitement d'appréciations sur des difficultés sociales ;
le traitement des données de santé ;
les données d'infractions ou de condamnations ;
l'information des résidents ;
La sécurité des données.]]>
Actualités Presse Services publics Logement social Wed, 23 Jul 2014 15:20:00 +0200