RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Thu, 30 Oct 2014 16:47:00 +0100 Vidéosurveillance au travail : mise en demeure de la société APPLE RETAIL France http://www.cnil.fr/nc/linstitution/actualite/article/article/videosurveillance-au-travail-mise-en-demeure-de-la-societe-apple-retail-france/ Le 14 octobre 2014, la Présidente de la CNIL a adopté une mise en demeure à l’encontre de la société APPLE RETAIL France, l’enjoignant à mettre en conformité tous les systèmes de vidéosurveillance des APPLE STORE situés sur le territoire français.]]> En décembre 2013, la société APPLE RETAIL FRANCE a fait l’objet d’une mise en demeure portant sur le dispositif de vidéosurveillance des salariés installé au sein de l’APPLE STORE d’OPERA à Paris. Il était notamment demandé à la société de réorienter certaines caméras qui filmaient en permanence des salariés et de leur délivrer une information complète. En février 2014, la société a justifié s’être mise en conformité avec ses obligations pour le magasin visé à la procédure, entrainant la clôture de la mise en demeure. Toutefois, des contrôles menés en mai et juin 2014 dans d’autres magasins APPLE STORE ont révélé que la société n’avait pas adopté des mesures de conformité similaires à l’ensemble de ses magasins. L’information des salariés sur le dispositif demeurait lacunaire et certaines caméras continuaient à filmer des salariés à leur poste de travail sans justification particulière. La persistance de ces manquements a conduit la Présidente de la CNIL à mettre à nouveau en demeure la société de modifier l’intégralité des dispositifs de vidéosurveillance de ses 16 magasins sur le territoire national. Compte tenu de la nécessité d’informer les nombreux salariés de la société et de rappeler leurs obligations aux employeurs désirant déployer de tels systèmes de vidéosurveillance, eu égard au caractère intrusif des dispositifs en cause, la CNIL a décidé de rendre publique cette mise en demeure. Il est rappelé que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société APPLE RETAIL FRANCE se conforme à la loi dans le délai de deux mois qui lui est imparti. Dans ce cas, la clôture de la procédure fera l'objet d'une même publicité.]]> Actualités Mise en demeure Entreprises privées Salariés Vidéosurveillance Travail Assurance chômage Oeuvres sociales Gestion du personnel des RH Recrutement Thu, 30 Oct 2014 16:47:00 +0100 Les packs de conformité : un succès grandissant http://www.cnil.fr/nc/linstitution/actualite/article/article/les-packs-de-conformite-un-succes-grandissant/ Les packs de conformité constituent de nouveaux outils de pilotage de la conformité pour les secteurs professionnels qui en bénéficient. L'actualité est riche en octobre avec la présentation du pack logement social et le lancement de la concertation pour deux nouveaux packs pour les secteurs social et banque.]]>

Une démarche nouvelle et pragmatique

Les packs de conformité constituent une réponse opérationnelle aux besoins des professionnels concernant l’application de la loi « informatique et libertés ». Il s’agit de travailler, dans le cadre d’une étroite concertation entre la CNIL et les acteurs d’un secteur, à la mise en place d’outils juridiques de simplification ou d’allégement des formalités (normes simplifiées, autorisations uniques, dispenses…) et  de bonnes pratiques spécialement adaptées à un secteur professionnel. Ces packs permettent également d’anticiper sur les changements attendus avec le projet de règlement européen sur la protection des données.  Il en résulte pour les responsables de traitement une simplification substantielle des formalités au profit d’une relation plus dynamique avec le régulateur. En ce sens, la capacité à rendre compte de la mise en conformité avec la loi devient un enjeu essentiel. Les packs déjà existants (compteurs communicants, logement social, déjà publiés, et assurance, qui sera présenté à l’ensemble des professionnels du secteur le 12 novembre prochain) ont été salués par les professionnels comme une initiative pertinente et particulièrement adaptée à leurs besoins.

Gros plan sur le pack « logement social » 

Le 9 octobre 2014, l’Union Sociale pour l’Habitat (USH) organisait une journée professionnelle consacrée à la présentation du pack « logement social » et à sa mise en œuvre. Ce pack entièrement dédié aux problématiques informatique et libertés du logement social apporte des outils concrets et pragmatiques aux bailleurs sociaux pour mettre en œuvre des traitements de données personnelles conformes à la loi. Il se compose de trois outils de simplification spécialement adaptés aux besoins des bailleurs sociaux tels qu’ils ont pu les exprimer durant la phase de concertation préalable. Il va permettre à la profession d’être plus efficace dans sa gestion des demandes d’attribution des logements mais aussi de mieux suivre, dans le respect de la loi, les locataires en difficulté.

 

Lancement des consultations pour les packs « banque » et « social »

Le pack « banque » : Les professions bancaires et financières qui manipulent de grandes quantités de données sont déjà très averties de la protection des données à caractère personnel. La concertation qui s’est ouverte le 6 octobre 2014 sur le futur pack doit permettre de faire un état des lieux complet des besoins et des pratiques. Ce pack permettra de réviser et d’adapter les outils existants mais aussi de traiter, pour l’ensemble du secteur, de questions sensibles comme la lutte contre les fraudes. Le  pack « social » : le 3 octobre 2014, les représentants des travailleurs sociaux et des organismes qui œuvrent dans le champ de l’action sociale  se sont réunis pour une journée d’échanges à la CNIL, afin de définir les bases de travail pour la réalisation d’un pack « social ». En effet, ces professionnels  expriment une forte demande d’accompagnement dans leur démarche de mise en conformité avec la loi informatique et libertés. Ces packs de conformité feront l’objet d’une publication systématique et d’une actualisation régulière. ]]>
Actualités Formalités déclaratives Banques Questions sociales logement Energie Logement social Immobilier pack de conformité Tue, 21 Oct 2014 10:30:00 +0200
Les conseils de la CNIL pour mieux maîtriser la publication de photos http://www.cnil.fr/nc/linstitution/actualite/article/article/les-conseils-de-la-cnil-pour-mieux-maitriser-la-publication-de-photos/ Les photos occupent aujourd'hui une place centrale dans l’activité numérique des internautes : on les publie, on les partage, on les like, on les commente, on tague ses amis… Elles représentent aussi un véritable enjeu économique pour les acteurs d’internet. Comment mieux maîtriser leur publication ?]]>

1. Adaptez le type de photos au site sur lequel vous les publiez

Certains espaces de publication et partage de photos sont totalement publics et ne permettent pas de restreindre la visibilité des photos. Il est important d'avoir conscience que les photos qui y sont partagées sont alors accessibles à tout le monde et d'adapter le contenu en conséquence.
Evitez d'utiliser la même photo de profil sur des sites ayant des finalités différentes (Facebook, Viadéo ou LinkedIn, Meetic). La photo pouvant être utilisée (moteur de recherche d'images) pour faire le lien entre les différents profils.

2. Limitez l'accès aux photos que vous publiez sur les réseaux sociaux

ll est important de bien définir dans les paramètres de confidentialité quel groupe d'amis a accès à quelle photo ou à quel album photo. Sur Facebook, ce contrôle de l'accès peut passer par la création de liste d'amis et le paramétrage des albums photos ou de chaque photo publiée (voir comment maîtriser les informations publiées sur les réseaux sociaux ).

3. Réfléchissez avant de publier une photo

Il n'est pas anodin de publier une photo gênante de ses amis ou de soi-même sur un réseau social. D'autant qu'il peut s'avérer difficile, voire impossible, de la supprimer par la suite (par exemple si elle a été copiée, ou re-partagée par quelqu'un sur le même service ou un autre).

4. Demandez l'autorisation avant de publier une photo de quelqu'un

Il est préférable de s'assurer qu'une photo dans laquelle elle apparaît n'incommode pas une personne avant de la publier.

5. Utilisez avec modération les outils de "tags" (identification) de personnes et la reconnaissance faciale ….

Identifier une personne sur une photo l'expose encore davantage sur la plateforme. Il est donc recommandé de s'assurer que cette identification ne la gêne pas et de restreindre la visibilité de la photo à un cercle de proches.
Attention : cette identification peut être réutilisée par des logiciels de reconnaissance faciale du site qui sont susceptibles du coup d'associer le nom du contact à l'ensemble des photos sur lesquelles il apparait au sein de ce site.

6. Contrôlez la manière dont vous pouvez être identifiés ("taggués") sur les photos dans lesquelles vous apparaissez et qui sont publiées sur les réseaux sociaux.

Il est possible de paramétrer la façon dont vous pouvez être taggué de manière à :
  • Déterminer les contacts ou liste de contacts autorisés à vous identifier ;
  • Recevoir une alerte lorsqu'un contact souhaite vous identifier afin de l'approuver (ou non) ;
  • Etre alerté lorsque vous êtes identifié dans une photo / publication

7. Faites régulièrement le tri dans vos photos

Contrôler régulièrement qui a accès aux photos que vous avez publiées, en particulier les plus anciennes. Des photos qui semblaient anodines dans un certain contexte, il y a plusieurs années  (à une époque où vous aviez moins de contacts, ou une photo publiée pour une occasion spécifique) peuvent s'avérer  gênantes aujourd'hui si elles sont accessibles à un cercle de contacts plus large.

8. Faites supprimer les photos qui vous dérangent

Vous avez le droit de faire effacer une photo de vous d'un site ou d'un réseau social. Vous devez demander à la personne qui l'a publiée de l'enlever. Si vous n'obtenez pas de réponse ou si toutes les photos signalées ne sont pas retirées, vous pouvez vous adresser à la CNIL.

9. Faites attention à la synchronisation automatique des photos, en particulier sur smartphone, tablette ou sur les nouveaux appareils photos numériques connectés

Il est recommandé de ne pas activer (ou de désactiver lorsqu'elles sont actives par défaut) les fonctionnalités permettant de synchroniser automatiquement les photos prises avec des services en ligne ("Flux de photos" d'Apple,  Instant Upload de Google+ ou Facebook Synchronisation des photos (Photo Sync) par exemple) et de bien réfléchir à leur utilité réelle en cas d'activation. Ces services ne sont pas nécessairement adaptés à une fonction de sauvegarde et de protection des photos : ce ne sont pas des coffres-forts numériques mais des espaces de partage et publication. Vos photos peuvent n'être alors qu'à un clic d'être rendues publiques. Si ces fonctionnalités peuvent faciliter le partage, elles compliquent encore davantage la suppression des photos. Même si ces photos ne sont pas automatiquement rendues publiques, elles sont accessibles à l'éditeur du site ou service et pourraient être utilisées par lui pour affiner votre profil, par exemple à des fins publicitaires.

10. Ne partagez pas de photos intimes via votre smartphone !

Ephémère ne veut pas dire sécurisé ! Soyez vigilants si vous utilisez des applications smartphone permettant d’envoyer des photos ou vidéos « éphémères » (Blink, Snapchat, Wickr…). Si l’affichage de la photo est prévu pour durer un temps limité, il est très simple pour le destinataire de conserver une capture d’écran de votre photo. Enfin gardez à l’esprit qu’aucune application smartphone n’est à l’abri d’un piratage, d’un défaut de sécurité ou d’une application tierce malicieuse. ]]>
Internautes Fiches pratiques Consommateurs Jeunes Parents Salariés Internet Téléphonie mobile Facebook réseaux sociaux Moteurs de recherche Mon, 13 Oct 2014 16:46:00 +0200
Contrôles en ligne : mode d'emploi http://www.cnil.fr/nc/linstitution/actualite/article/article/controles-en-ligne-mode-demploi/ La CNIL dispose d'un nouveau pouvoir de contrôles en ligne qui lui offre l'opportunité d'être plus réactive et efficace dans l'univers numérique. Quelles sont les étapes d'un contrôle en ligne, sur quoi portent les vérifications ? ]]>

Les contrôles en ligne, comment ça marche ?

La CNIL dispose depuis mars 2014 d'un nouveau pouvoir de constatations en ligne, introduit au sein de l'article 44 de la loi Informatique et Libertés. Celui-ci vient s'ajouter aux autres moyens d'enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces. La différence majeure de ce nouveau pouvoir réside dans le fait que les constatations sont effectuées depuis les locaux de la CNIL sans la présence du responsable de traitement, qui n'en sera informé qu'une fois les vérifications effectuées. En pratique, voici les différentes étapes d'un contrôle en ligne : 1. La Présidente de la CNIL décide d'un contrôle ; 2. Un ordre de mission désigne les personnes qui sont chargées de réaliser ce contrôle 3. Un procès-verbal factuel décrivant la méthodologie appliquée est rédigé. Il précise l'environnement technique du contrôle, ainsi que les éléments vérifiés ; 4. Le procès-verbal de constatations en ligne ainsi que ses annexes, sont adressés au responsable du traitement contrôlé qui dispose d'un délai afin de faire part de ses observations ; 5. A la suite d'un contrôle en ligne, la CNIL aura la possibilité, lorsque cela apparaîtra nécessaire, de poursuivre ses investigations par un des autres moyens de contrôle dont elle dispose (sur place, audition, etc.) ; 6. Les contrôles en ligne pourront donner lieu à des mises en demeure ainsi que, si la gravité des faits le justifie, à l'ouverture d'une procédure de sanction.

Sur quoi portent les vérifications en ligne ?

Les contrôles en ligne permettent à la CNIL de vérifier plus spécifiquement certains aspects de la loi " Informatique et Libertés " tels que :
  • la pertinence des données collectées (article 6 de la loi " informatique et libertés ") ;
  • les mentions d'information à destination du public (article 32) ;
  • la sécurité des données collectées et traitées (article 34) ;
  • la réalité des formalités indiquées (articles 22 et suivants).
En particulier, ces contrôles en ligne permettront de vérifier la conformité des pratiques des acteurs du web à la recommandation cookies et autres traceurs adoptée par la Commission le 5 décembre 2013. Ainsi, la CNIL vérifiera :
  • le nombre et la nature des cookies déposés sur le poste informatique de l'internaute ;
  • les modalités d'information à destination de public en matière de cookies ;
  • la qualité et la pertinence de l'information ;
  • les modalités de recueil du consentement de l'internaute.
]]>
Actualités Cookies et traceurs Contrôles Internet Tue, 07 Oct 2014 16:04:00 +0200
Lancement des Trophées EDUCNUM : Opération vie privée http://www.cnil.fr/nc/linstitution/actualite/article/article/lancement-des-trophees-educnum-operation-vie-privee/ Pour que le web reste un espace d'échange et d'inspiration, mais aussi de respect de la vie privée, le collectif pour l'éducation au numérique lance, lundi 13 octobre 2014, un concours pour les étudiants : les Trophées EDUCNUM.]]>

L’ambition des trophées 

Les trophées ont pour ambition de :
  • sensibiliser les plus jeunes, de l’école primaire au lycée, aux bons usages du web, par un dialogue intergénérationnel ;
  • susciter et valoriser la créativité des étudiants ;
  • mettre en lumière et donner vie à des projets innovants.
Les étudiants ont carte blanche pour participer : application mobile, dataviz, goodies ou kit de survie sur les réseaux sociaux, tous les projets seront les bienvenus. 
Les Trophées seront remis le 28 janvier 2015, à l’occasion de la Journée européenne de protection des données. Le projet gagnant bénéficiera d’un soutien financier, de l’accès à un réseau professionnel et d’une forte visibilité. 

Les dates clés 

  • Lancement officiel des Trophées EDUCNUM : lundi 13 octobre 2014
  • Date limite de dépôt des projets : lundi 15 décembre 2014
  • Sélection des dossiers par le jury : mardi 20 janvier 2015
  • Remise des Trophées : mercredi 28 janvier 2015

Comment participer aux trophées ? 

Sur le site www.educnum.fr se trouvent : le règlement du concours, le formulaire de candidature à remplir en ligne et une webographie sur le thème de la protection de la vie privée.
* Le collectif pour l’éducation au numérique a été initié par la Commission nationale de l’informatique et des libertés (CNIL) en mai 2013. Il est aujourd’hui composé de près de 60 acteurs très divers du monde de l’éducation, de la recherche et de l’économie numérique. Tous ces acteurs ont choisi de se mobiliser, ensemble, pour faire de l’éducation au numérique une action prioritaire pour notre pays. Les membres du collectif se sont engagés sur d’autres actions en 2014 : la réalisation de mini séries « Parents, mode d’emploi » sur le numérique avec France Télévisions, la mise en place d’un portail de ressources sur l’éducation au numérique, la réalisation de kits pédagogiques pour les 6-8 ans et les 9-12 ans ou encore la création d’un test de maturité numérique pour les entreprises. Pour consulter la liste des membres du collectif rendez-vous sur : www.educnum.fr
]]>
Actualités Parents Jeunes Etablissements d'enseignement Internautes Education numérique Internet Mon, 06 Oct 2014 09:32:00 +0200
[Communiqué G29] Avis sur l'Internet des objets http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-avis-sur-linternet-des-objets/ Les autorités européennes de protection des données ont adopté les 16 et 17 septembre 2014 un avis sur l'Internet des objets. Face au développement rapide des " objets intelligents " dans la vie quotidienne, le G29 souhaite contribuer à l'application uniforme du cadre réglementaire européen. Dans son avis, il propose aux acteurs des recommandations pratiques leur permettant de se conformer à la réglementation. ]]> Le développement de l'Internet des objets est source de croissance et comporte de nombreux avantages pour les entreprises et les citoyens. Ces objets du quotidien, très proches de l'intimité des personnes, doivent rester sous le contrôle de celles-ci. C'est la raison pour laquelle ce développement doit intégrer le plus en amont possible le respect de la vie privée et la protection des données personnelles. L'avis du G29 se concentre sur les développements récents de l'Internet des objets - quantified self, " technologies prêtes à porter " (montres, bracelets, lunettes, etc.) et domotique. Il contient des recommandations pratiques aux différents acteurs impliqués (fabricants d'appareils, développeurs d'applications, plateformes sociales, destinataires ultérieurs des données, plateformes de données et organismes de standardisation). L'avis rappelle d'abord que le cadre réglementaire de l'Union européenne s'applique au traitement de données collectées par des appareils, applications ou services utilisés par les " objets intelligents ". Tenant compte de l'écosystème complexe de l'Internet des objets, l'avis indique par des exemples spécifiques :
  • les obligations qui incombent aux acteurs ;
  • les droits reconnus aux utilisateurs des objets connectés ;
  • les mesures de sécurité à mettre en œuvre par les responsables de traitement.
Avec cet avis, le G29 entend favoriser un développement de l'Internet des objets plus robuste par rapport aux craintes et attentes des utilisateurs. Les acteurs qui permettent aux utilisateurs de rester maîtres du partage de leurs données et qui recueillent leur consentement peuvent même faire de ces pratiques vertueuses un avantage concurrentiel. Enfin, cet avis alimentera les discussions sur prévues sur ce thème lors de la Conférence internationale des Commissaires des Commissaires à la vie privée et à la protection des données qui se tiendra du 13 au 16 octobre 2014.]]>
Actualités Données de santé Géolocalisation Bracelet électronique Europe Quantified self Travaux du Groupe de l’article 29 Thu, 02 Oct 2014 16:40:00 +0200
Politique de confidentialité de Google : le G29 propose un pack de conformité http://www.cnil.fr/nc/linstitution/actualite/article/article/politique-de-confidentialite-de-google-le-g29-propose-un-pack-de-conformite/ A la suite de plusieurs sanctions prononcées par des autorités européennes de protection des données à l'encontre de la société Google, le G29 vient de lui adresser un pack de mesures pratiques pour se mettre en conformité avec la législation applicable. ]]> En 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes européens sont concernés par cette décision. Le G29 - le groupe des CNIL européennes - a mené, de février à octobre 2012, une analyse de ces règles au regard de la législation européenne en matière de protection des données.
  • Le 16 octobre 2012, le G29 a rendu publique son analyse, concluant que la politique de confidentialité n'était pas conforme au cadre juridique européen. Il a émis plusieurs recommandations.
  • La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé des procédures répressives, chacune en ce qui la concerne.
  • Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros, estimant que la société GOOGLE Inc ne respectait pas plusieurs dispositions de la loi " informatique et libertés ". Elle a également enjoint à Google Inc. de procéder à la publication d'un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures.
Afin d'accompagner la société Google dans ses efforts de conformité à la suite de ces décisions, le G29 a adopté un pack de mesures dédié. Ce pack a pour objectif de proposer à Google des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles. ]]>
Actualités Internet Moteurs de recherche Thu, 25 Sep 2014 10:13:00 +0200
[Communiqué G29] Droit au déréférencement : le G29 se dote d'une boîte à outils pour le traitement des plaintes http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-g29-droit-au-dereferencement-le-g29-se-dote-dune-boite-a-outils-pour-le-traite/ Le G29 s'est réuni en séance plénière les 16 et 17 septembre 2014. A cette occasion, les autorités européennes de protection des données se sont organisées pour coordonner le traitement des plaintes résultant d'une réponse négative des moteurs de recherche à une demande de déréférencement.]]> Lors de la séance plénière du G29 des 16 et 17 septembre, les autorités européennes de protection des données ont poursuivi leurs échanges sur les effets de l'arrêt de la Cour de Justice de l'Union européenne du 13 mai 2014. Depuis cet arrêt, une personne peut demander à ce que des liens qui la concernent, c'est-à-dire des adresses de pages web (urls) qui sont référencées par les moteurs de recherche pour une requête contenant ou incluant son nom, fassent l'objet d'un déréférencement. Pendant l'été 2014, les autorités européennes de protection des données ont reçu des  plaintes résultant d'une réponse négative des moteurs de recherche à une demande de déréférencement. La CNIL a d'ores et déjà reçu plusieurs dizaines de plaintes. Le G29 souhaite répondre à ces plaintes de manière coordonnée et cohérente. C'est pourquoi il a décidé de mettre en place un réseau de points de contacts au sein des autorités, chargé d'élaborer un référentiel commun aux autorités pour traiter les plaintes dont elles sont saisies. Ce réseau fournira par ailleurs aux autorités :
  • un registre commun des suites données aux plaintes ;
  • un tableau de bord pour faciliter l'identification des plaintes similaires ou, au contraire, des cas les plus complexes.
Le G29 a également poursuivi ses consultations. Après une réunion avec les moteurs de recherche en juillet, il a rencontré les éditeurs de presse en marge de la plénière. Compte tenu de tous ces éléments, le G29 poursuit son analyse sur la façon dont les moteurs de recherche se conforment à l'arrêt de la CJUE. ]]>
Actualités Droit à l'oubli Moteurs de recherche Travaux du Groupe de l’article 29 Thu, 18 Sep 2014 14:58:00 +0200
Le Cookies Sweep Day : une action européenne d'audit en ligne http://www.cnil.fr/nc/linstitution/actualite/article/article/le-cookies-sweep-day-une-action-europeenne-daudit-en-ligne/ Du 15 au 19 septembre 2014, la CNIL mène, aux côtés de ses homologues européens, un audit des principaux sites internet européens, afin de dresser un état des lieux des pratiques en matière de cookies.]]>

Qu'est-ce qu'un cookie ?

Les cookies sont des traceurs déposés sur le disque dur d'un internaute par le serveur du site visité et qui permettent à celui qui les a déposés de reconnaître, d'une visite à une autre, un internaute grâce à un identifiant unique. Ces cookies peuvent être utilisés à différentes fins : pour stocker le contenu d'un panier d'achat, pour enregistrer les paramètres de langue d'un site, ou encore pour faire de la publicité ciblée par l'analyse de la navigation.

L'obligation de recueillir le consentement préalable de l'internaute

Depuis la directive européenne 2009/136/CE dite "paquet télécom", les internautes doivent être informés et donner leur consentement préalable à l'insertion de traceurs sur leur ordinateur. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils naviguent sur un site internet et les éditeurs ont l'obligation de solliciter au préalable leur consentement avant d'installer des cookies sur leur disque dur. Certains traceurs, tels que les cookies techniques, sont dispensés du recueil de ce consentement. L'article 32-II de la loi du 6 janvier 1978 reprend ces principes.

Le Cookies Sweep Day  : une action européenne d'audit en ligne

Afin de vérifier la conformité des pratiques des acteurs du web à la législation européenne, le G29, groupe des autorités européennes de protection des données a choisi de réaliser un audit en ligne simultané des principaux sites internet européens. Du 15 au 19 septembre, chaque autorité consacre une à deux journées à la vérification des sites internet européens les plus fréquentés, dans les domaines de l'e-commerce et des médias. La CNIL a choisi les 18 et 19 septembre pour examiner 100 sites internet français. Concrètement, il s'agira pour la CNIL de vérifier :
  • Le nombre et la nature des cookies déposés sur le terminal de l'internaute ;
  • Les modalités d'information du public en matière de cookies ;
  • La visibilité et la qualité de l'information ;
  • Les modalités de recueil du consentement de l'internaute ;
  • Les conséquences en cas de refus de l'internaute d'être tracé.
La CNIL utilisera une grille d'analyse commune aux autres autorités participantes. L'opération Cookies Sweep Day est l'occasion pour les 28 " CNIL " européennes de mener une action conjointe pour dresser un comparatif des pratiques des principaux sites internet européens en matière de cookies. Il s'inscrit dans le prolongement des actions coordonnées d'audits en ligne menées par les autorités de protection de données à l'échelle internationale.]]>
Actualités Contrôles Internet Cookies et traceurs Travaux du Groupe de l’article 29 Thu, 18 Sep 2014 09:59:00 +0200
Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-sweep-day-des-applications-mobiles-peu-transparentes-sur-le-traitement-de-vos-donnees/ En mai 2014, la CNIL et 26 de ses homologues dans le monde ont mené un audit en ligne simultané de plus de 1 200 applications mobiles. Cette opération montre que l'information sur l'utilisation faite des données personnelles est insuffisante.]]> Que ce soit pour s'informer, s'orienter ou connaitre la météo, les utilisateurs de terminaux mobiles (smartphones ou tablettes) téléchargent régulièrement de nouvelles applications. En mai dernier, 27 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne. Il s'agissait cette année de vérifier si l'information relative aux données personnelles dispensée par les principales applications mobiles est satisfaisante. Au total, 1211 applications mobiles ont été examinées : applications gratuites et payantes, tous secteurs confondus, allant des jeux au quantified self, en passant par la gestion des comptes bancaires, etc. Les vérifications ont principalement porté sur :
  • le type de données collectées par les applications,
  • le niveau d'information des utilisateurs,
  • la qualité des explications données par l'application concernant le motif de la collecte de ces données.

Les constats communs au différents pays participants au Sweep day 2014

Concernant la collecte des données personnelles :

  • La collecte est généralisée puisqu'elle concerne les 3/4 des applications examinées ;
  • les données les plus collectées sont : la localisation, l'identifiant du terminal mobile, ainsi que les données d'accès à des comptes utilisateurs. Si pour certaines de ces données, leur collecte est justifiée par la finalité de l'application, pour d'autres cette collecte semble moins évidente. 

Concernant l'information sur l'utilisation des données personnelles :

  • pour près de la moitié des applications, l'information est difficile à trouver (consultation de la politique de confidentialité sur le site internet du développeur) ou inadaptée à un écran de petite taille ;
  • seul un quart des applications fournit une information satisfaisante, sous la forme d'explications brèves et faciles à comprendre.

Les spécificités françaises

La CNIL a examiné 121 applications parmi les plus populaires en France et ce, à partir des 3 principaux systèmes d'exploitation. Les tendances générales sont comparables à celles décrites au niveau mondial.

Les données les plus collectées :

(Cliquer sur l'image pour l'agrandir)

Type de données collectées et nombre d'applications concernées par la collecte

  • 15% des applications examinées ne fournissent aucune information sur le traitement des données collectées. 
  • Lorsqu'une information est fournie, près de la moitié des applications concernées ne la rendent pas facilement accessible, imposant à l'utilisateur une recherche active sur le site internet de l'éditeur ou dans les différents onglets de l'application. 
  • L'information n'est pas suffisamment claire et compréhensible dans la plupart des cas. Il a ainsi été constaté que les mentions d'information de certaines applications à destination d'utilisateurs français ne sont disponibles qu'en anglais.

Les conseils de la CNIL :

  • A destination des développeurs : la qualité de l'information et la transparence sur l'utilisation des données personnelles constituent des éléments déterminants de la confiance de vos utilisateurs. Faites de vos avancées concrètes sur ces deux points un atout concurrentiel !
  • A destination des utilisateurs : soyez curieux, vigilants et exigeants ! Il existe un large choix d'applications offrant des services similaires, détournez vous de celles qui en demandent le plus et en disent le moins !
]]>
Actualités Contrôles Coopération internationale Téléphonie mobile Tue, 16 Sep 2014 15:23:00 +0200