RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Wed, 02 Sep 2015 14:29:00 +0200 Vie privée des enfants : une protection insuffisante sur les sites Internet http://www.cnil.fr/nc/linstitution/actualite/article/article/vie-privee-des-enfants-une-protection-insuffisante-sur-les-sites-internet/ 29 autorités dans le monde ont mené un audit pour vérifier le respect des règles de protection de la vie privée par les sites internet consultés par les enfants. Cette opération montre que leurs données personnelles sont insuffisamment protégées.]]> Que ce soit pour jouer, apprendre, s’informer, bénéficier d’un soutien scolaire ou suivre les aventures de son personnage préféré, les enfants et adolescents passent beaucoup de temps sur Internet (en moyenne, par semaine, 3h40 de 1 à 6 ans, 5h30 de 7 à 12 ans, 13h30 de 13 à 19 ans en 2015) et le temps consacré à cette navigation augmente (plus d’une heure  par tranche d’âge entre 2012 et 2015)[1]. En mai dernier, 29 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant au sein de l'OCDE pour la protection de la vie privée) ont mené une opération conjointe d'audit en ligne sur 1 494 sites et applications : l’Internet Sweep Day. La CNIL y a participé. L’objectif était de vérifier si les sites et applications Internet consultés par les enfants et adolescents respectaient bien les règles de protection de la vie privée. Les vérifications effectuées ont porté principalement sur :
  • le type de données collectées,
  • le niveau d'information et l’adaptation de l’information aux utilisateurs (un mineur ou un adolescent peut-il comprendre ?)
  • la présence de mesures de vigilance ou de contrôle liées au jeune âge du public visé (quelles précautions particulières sont prises ?).

Tendances observées par la CNIL et ses homologues


La CNIL a examiné 54 sites internet consultés par les enfants et adolescents (la moitié des sites s’adressaient aux 7-12 ans, un quart aux moins de 7 ans, un quart aux plus de 12 ans). Ces sites couvraient différentes thématiques qui correspondent aux habitudes des jeunes publics [2]  : jeux, offres éducatives, réseau social, mais aussi accès à des chaînes tv, actualité web ou encore soutien scolaire.[3]

Ces vérifications font apparaître :
  • Une large collecte de données personnelles et peu de marge de manœuvre sur la suppression de comptes : 87 % (67% en moyenne pour les homologues) des sites examinés par la CNIL collectent des données personnelles (adresse IP, identifiant du terminal mobile, localisation), notamment à partir de la création obligatoire d’un compte utilisateur (nom, prénom, email). Si pour certaines de ces données, la collecte est justifiée par le service proposé par le site, pour d'autres, cette collecte n’est pas nécessaire. Seuls 39% de ces sites offrent à leurs utilisateurs une manière simple de supprimer leur compte ;
  • Un défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données : 71% des sites examinés comportent une mention d’information relative à la collecte de données à caractère personnel et notamment aux  droits « informatique et libertés » des utilisateurs, mais seulement 33% adaptent l’information au jeune public visé et l’indiquent sur le formulaire rempli par l’enfant (ou son parent) ;
  • Une redirection courante vers des sites tiers, dont des sites marchands : sur 63 % des sites, les enfants peuvent être redirigés vers un autre site, y compris de type marchand, par un simple clic ; [4]
  • Le dépôt de cookies sans bandeau d’information, une pratique encore très courante : tous les sites examinés déposent des cookies sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil sans recueillir son consentement préalable et la plupart (63 %) sans l’apposition du bandeau d’information obligatoire.

Un point d’attention particulier : les mesures de vigilance et de contrôle parental liées au jeune public


Les vérifications effectuées montrent également que :
  • Trop de sites n’ont aucune mesure de vigilance : 62% de ces sites ne proposent aucune mesure de vigilance ou de contrôle parental à destination du jeune public (comme un message de sensibilisation ou l’envoi d’un email aux parents pour les informer de la collecte des données de leur enfant et leur demander leur accord).

  • La case de recueil de l’accord parental est la mesure la plus courante, mais est loin d’être généralisée : 18% des sites observés recueillent l’accord parental au moyen d’une case, 15 % introduisent une mesure de vérification de l’âge, 13 % incitent à la vigilance, 11% mettent en place un tableau de contrôle parental lors de la création du compte.

Les conseils de la CNIL à destination des gestionnaires de sites pour enfants et des parents


La CNIL publie deux fiches pratiques :
  • pour accompagner les éditeurs dans la mise en conformité de leur site, avec conseils et mentions-types  ;
  • pour aider les parents à accompagner leurs enfants pour une navigation respectueuse de leur vie privée.
Les mesures prises par la CNIL à l’issue de cette campagne :
  • envoi d’un courrier aux éditeurs des sites pour enfants leur rappelant leurs obligations et les droits de leurs jeunes utilisateurs ; faute d’une mise en conformité de leur part, la CNIL se réserve la possibilité d’effectuer de nouvelles vérifications et, le cas échéant, d’engager des procédures de sanction ;
  • envoi d’un courrier aux associations de parents afin de les alerter sur les constats du Sweep day et construire avec eux une démarche de vigilance.

Sources

[1] Etude IPSOS, 2 avril 2015, pour Junior Connect, Bayard, Milan et Disney Hachette Presse. [2] Etude IPSOS, 2 avril 2015, pour Junior Connect, Bayard, Milan et Disney Hachette Presse. [3] Les sites et réseaux sociaux susceptibles d’êtres contrôlés simultanément par plusieurs autorités ont été exclus du Sweep Day. Comme pour le Sweep Day « cookies » du G29, la priorité a été donnée aux sites dont le responsable de traitement est établi sur le territoire français.  [4] Un enfant n’est en principe pas en âge de contracter en l’absence de son représentant légal. La pratique des liens HTML semble exploiter l’inexpérience/la crédulité des mineurs pour les amener à contracter, ce qui est contraire à la loi (décret n°92-280 du 27 mars 1992). L’Autorité de régulation de la publicité professionnelle (ARPP)  indique « lorsque le message sollicite directement les enfants et qu’il incite à une dépense, l’appel à y participer doit associer de façon explicite les parents » et le Conseil national de la consommation sur la publicité recommande de son côté que les « publicités diffusées dans les systèmes interactifs n’aient pas pour objet d’amener les enfants à contracter d’engagement sous quelque forme que ce soit sans l’accord des parents. Or, le Sweep a montré que trop souvent, l’enfant pouvait par un simple clic et sans information subsidiaire arriver sur ces sites.]]>
Actualités Internautes Jeunes Parents Education numérique Internet Wed, 02 Sep 2015 11:53:00 +0200
Données traitées par les sites de rencontre : 8 mises en demeure http://www.cnil.fr/nc/linstitution/actualite/article/article/donnees-traitees-par-les-sites-de-rencontre-8-mises-en-demeure/ A la suite de contrôles effectués auprès de plusieurs sites de rencontre ayant révélé de nombreux manquements à la loi Informatique et Libertés, notamment sur les informations sensibles fournies par leurs clients, la Présidente de la CNIL met en demeure huit acteurs du secteur. ]]> De plus en plus de Français se rendent sur les sites de rencontre. La plupart de ces sites offrent à leurs utilisateurs une recherche de partenaires très ciblée : par communauté sociale, ethnique ou religieuse, par localisation géographique, en fonction de l’apparence physique, des pratiques sexuelles ou des opinions politiques, etc. Le nombre important des utilisateurs ainsi que la quantité des données traitées et leur sensibilité ont conduit la CNIL à inscrire les sites de rencontre dans son programme annuel des contrôles pour 2014. 13 sites ont été contrôlés : Meetic, Attractive World, Adopte un mec, Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Feujworld, Marmite love, Gauche rencontre, Celibest. De nombreux manquements à la loi informatique et libertés ont été constatés, notamment :
  • les sites ne recueillent pas le consentement exprès des personnes pour la collecte de données sensibles (par exemple : données relatives à la vie et aux pratiques sexuelles, aux origines ethniques, aux convictions et pratiques religieuses, aux opinions politiques). Or, il est important que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité. Ce recueil pourrait prendre la forme d’une case à cocher permettant de sensibiliser les internautes sur la sensibilité des données qu’ils renseignent ;
Exemple de case à cocher Les informations relatives à vos convictions politiques, croyances et pratiques religieuses, orientations et pratiques sexuelles, collectées pour l’inscription à ce site de rencontres, constituent des informations sensibles.
J’accepte que ces données soient traitées par le site XXX  
                        

  • les sites ne procèdent pas à la suppression des données des membres ayant demandé leur désinscription ou ayant cessé d’utiliser leurs comptes depuis une longue durée ;
  • ils mettent en œuvre des fichiers afin d’exclure des personnes de l’accès au service sans avoir procédé à des demandes d’autorisation auprès de la CNIL ;
  • ils n’informent pas correctement les internautes de leurs droits (accès, suppression, rectification) ainsi que des conditions dans lesquelles des cookies sont déposés sur leur ordinateur. 
La Présidente de la CNIL a décidé de mettre en demeure les huit organismes responsables de ces treize sites ayant fait l’objet des contrôles de se mettre en conformité sur ces différents points. Cette mise en demeure a été rendue publique par le bureau de la CNIL compte tenu de la sensibilité des données en cause et du nombre de personnes concernées. La CNIL rappelle que ces mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si les sociétés se conforment à la loi dans le délai de trois mois. Dans ce cas, la clôture de chacune des procédures fera également l'objet d'une publicité. Si les sociétés ne se conforment pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi  Informatique et Libertés, de prononcer une sanction à leur égard. Accompagnant cette mise en demeure, la CNIL publie des conseils à destination des particuliers.]]>
Actualités Mise en demeure Internet Tue, 28 Jul 2015 16:44:00 +0200
Relations clients : mise en demeure de la société BOULANGER pour commentaires excessifs http://www.cnil.fr/nc/linstitution/actualite/article/article/relations-clients-mise-en-demeure-de-la-societe-boulanger-pour-commentaires-excessifs/ La Présidente de la CNIL met en demeure la société BOULANGER de respecter les dispositions de la loi Informatique et Libertés, et notamment de ne plus enregistrer de commentaires excessifs sur ses clients.]]> A la suite d’une plainte faisant état d’éventuels commentaires relatifs aux clients de la société BOULANGER, la CNIL a effectué un contrôle sur place auprès de la société, ainsi que des constatations en ligne sur le site internet boulanger.com. Ces vérifications ont permis de relever plusieurs manquements à la loi Informatique et Libertés. En particulier, les fichiers de la société comportaient de nombreux commentaires excessifs sur ses clients, comme par exemple « n’a pas de cerveau », « cliente avec problème cardiaque », « client alcoolique » ou encore des propos insultants. Si le recours à l'utilisation de zones de commentaires libres n'est pas interdit dans la mesure où il permet un suivi des dossiers de clients, les informations renseignées doivent être objectives et en relation avec la prestation commerciale. Elles ne doivent pas porter atteinte à l'image de la personne. Il appartient aux sociétés qui disposent de fichiers clients comprenant de telles zones de commentaires de prendre toutes les mesures pour que leurs salariés respectent effectivement ces règles. La Présidente de la CNIL a ainsi décidé de mettre en demeure la société BOULANGER de se conformer à la loi dans un délai de 3 mois, en prenant les mesures nécessaires afin que ses fichiers ne contiennent plus de commentaires excessifs, par exemple en mettant en place un système de détection automatique du type filtre. Cette mise en demeure est rendue publique afin d’appeler notamment l’attention des entreprises sur la nécessité de ne pas enregistrer de commentaires excessifs dans leurs fichiers clients. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si la société BOULANGER ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à l’égard de la société. ]]> Actualités Consommateurs Consommation commerce marketing Gestion du contentieux Marketing Publicité SPAM Surveillance des locaux commerciaux E-commerce Thu, 23 Jul 2015 16:24:00 +0200 Etude d'impacts sur la vie privée : suivez la méthode de la CNIL http://www.cnil.fr/nc/linstitution/actualite/article/article/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil/ La CNIL publie sa méthode pour mener des PIA (Privacy Impact Assessment) pour aider les responsables de traitements dans leur démarche de mise en conformité et les fournisseurs dans la prise en compte de la vie privée dès la conception de leurs produits.]]>

De l’application de bonnes pratiques de sécurité à une véritable mise en conformité


La Loi informatique et libertés (article 34), impose aux responsables de traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire.

Pour aider les TPE et PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement des données personnelles.

En juin 2012, la CNIL publiait un autre guide de gestion des risques sur la vie privée pour les traitements complexes ou aux risques élevés. Il aidait les responsables de traitements à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.

Une méthode plus rapide, plus facile à appliquer et plus outillée


Ce guide a été révisé afin d’être plus en phase avec le projet de règlement européen sur la protection des données et les réflexions du G29 sur l’approche par les risques. Il tient aussi compte des retours d’expérience et des améliorations proposées par différents acteurs.

La CNIL propose ainsi une méthode encore plus efficace, qui se compose de deux guides : la démarche méthodologique et l’outillage (modèles et exemples). Ils sont complétés par le guide des bonnes pratiques pour traiter les risques, déjà publié sur le site web de la CNIL.

Un PIA (Privacy Impact Assessment) ou étude d’impacts sur la vie privée (EIVP) repose sur deux piliers :

  • les principes et droits fondamentaux, « non négociables », qui sont fixés par la loi et doivent être respectés. Ils ne peuvent faire l’objet d’aucune modulation, quels que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données personnelles.

Pour mettre en œuvre ces deux piliers, la démarche comprend 4 étapes :


  1. étude du contexte : délimiter et décrire les traitements considérés, leur contexte et leurs enjeux ;
  2. étude des mesures : identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée) ;
  3. étude des risques : apprécier les risques liés à la sécurité des données et qui pourraient avoir des impacts sur la vie privée des personnes concernées, afin de vérifier qu’ils sont traités de manière proportionnée ;
  4. validation : décider de valider la manière dont il est prévu de respecter les exigences légales et de traiter les risques, ou bien refaire une itération des étapes précédentes.
L’application de cette méthode par les entreprises devrait ainsi leur permettre d’assurer une prise en compte optimale de la protection des données personnelles dans le cadre de leurs activités. ]]>
Actualités Recommandations Sécurité du SI Thu, 02 Jul 2015 17:28:00 +0200
Cookies et autres traceurs : premier bilan des contrôles http://www.cnil.fr/nc/linstitution/actualite/article/article/cookies-et-autres-traceurs-premier-bilan-des-controles/ A la suite des contrôles réalisés fin 2014, la Présidente de la CNIL a mis en demeure une vingtaine d’éditeurs de sites internet qui ne respectent pas les règles encadrant l’utilisation des cookies et autres traceurs.]]> La directive européenne dite " paquet télécom " prévoit que l’internaute doit être informé et donner son consentement avant que ne soient déposés sur son ordinateur certains cookies ou autres traceurs. A la suite d'une concertation approfondie avec les principaux acteurs de la publicité en ligne, la CNIL a adopté et publié en décembre 2013 une recommandation qui précise aux professionnels les bonnes pratiques pour se mettre en conformité. La CNIL a accompagné cette recommandation d’outils pratiques et pédagogiques mis à disposition des professionnels comme des particuliers. Un an après la publication de cette recommandation,  la CNIL a effectué des contrôles  pour vérifier le respect des règles applicables. Au total, elle a réalisé 24 contrôles sur place, 27  contrôles en ligne et 2 auditions. Ces vérifications ont permis de constater que, d’une manière générale, les sites internet n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies. En effet, si certains sites ont apposé un bandeau informant les internautes que des cookies sont déposés sur leur ordinateur, aucun des sites contrôlés n’attend d’avoir recueilli le consentement des internautes avant de déposer lesdits cookies. En outre, les sites internet invitent souvent les internautes à paramétrer leur navigateur pour s’opposer au dépôt des cookies, alors qu’un tel paramétrage n’est considéré comme un mécanisme valable d’opposition que dans des cas très limités. Dans ce contexte, la Présidente de la CNIL a mis en demeure une vingtaine de sites internet de se mettre en conformité avec la loi dans un délai déterminé. La CNIL précise qu’une mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si le site se conforme à la loi dans le délai imparti. Les premières réponses apportées par les sites internet concernés témoignent d’ailleurs de leur volonté de se mettre en conformité. Ces mises en demeure ne concernent pas les cookies de mesure d’audience, qui sont exemptés sous certaines conditions du recueil de consentement et font l’objet de travaux complémentaires par la Commission. Enfin, la CNIL rappelle que la recommandation de 2013 ne s’applique pas qu’aux seuls éditeurs de sites internet, mais à tous les acteurs du secteur (régies publicitaires, etc.). Des investigations auprès de ces différents acteurs sont actuellement en cours.
A retenir


L’accord libre, spécifique et éclairé prévu par l’article 32 II de la loi Informatique et Libertés implique :

  • une absence de dépôt de cookies ou autres traceurs lors de l’arrivée sur le site et tant que la personne n’a pas exprimé de choix ;
  • la mise à disposition d’outils d’opposition complets, efficaces, aisément utilisables

Une fois le consentement recueilli pour le dépôt d’un cookie répondant à une finalité donnée, le premier niveau d’information (bandeau) peut disparaître.

L’information des personnes via la rubrique dédiée (2ème niveau), doit rester aisément accessible, notamment pour leur offrir la possibilité de s’opposer à tout moment au suivi.

La durée du consentement dépend de celle du traceur concerné. La CNIL recommande une durée maximale de 13 mois à l’issue de laquelle le cookie doit être supprimé et le consentement renouvelé.

]]>
Actualités Cookies et traceurs Contrôles Recommandations Tue, 30 Jun 2015 09:53:00 +0200
Droit au déréférencement : bilan du G29 un an après l’arrêt de la CJUE http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-au-dereferencement-bilan-du-g29-un-an-apres-larret-de-la-cjue/ Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement.]]> L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12) constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. Il accorde en effet la possibilité aux personnes de demander aux moteurs de recherche, sous certaines conditions, le déréférencement de liens apparaissant dans les résultats de recherche effectués sur la base de leurs noms. Le 26 novembre, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères que les autorités utilisent dans le cadre de l’instruction des plaintes leur parvenant suite à des refus de déréférencement par les moteurs. Un réseau de coordination des points de contact a été créé afin d’échanger sur des analyses et des cas concrets pour élaborer une jurisprudence européenne relative aux demandes de déréférencement. Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement. D’ores et déjà, il ressort des réponses apportées au questionnaire envoyé par le G29 que le système mis en place a joué un rôle efficace : A ce stade, près de 2000 plaintes ont été reçues. Les autorités de protection des données ont  commencé à instruire des plaintes et à effectuer des demandes de déréférencement lorsque les conditions fixées par l’arrêt de la CJUE  étaient remplies. Chaque décision est prise en fonction de l’équilibre à respecter entre le droit à la protection de la vie privée d’une part et l’intérêt du public à avoir accès à l’information d’autre part. La plupart des plaintes concernent le moteur de recherche de Google. La cohérence des décisions prises au niveau européen est assurée grâce au recours aux critères communs élaborés par le G29 en novembre 2014. Chacun des critères retenus semble pertinent et efficace. Néanmoins, certains  critères nécessiteraient d’être affinés ou précisés. C’est notamment le cas du critère définissant « la personne publique » ou le fait de « jouer un rôle dans la vie publique ». Les autorités de protection des données ont aussi besoin de mieux évaluer le bien fondé d’une plainte. Elles doivent également préciser les cas dans lesquels une information peut être considérée comme trop ancienne et de ce fait plus pertinente. Afin d’instruire les plaintes, toutes les autorités de protection des données ont mis en place une équipe dédiée à l’analyse, l’évaluation et l’instruction des plaintes conformément aux critères et à l’analyse commune du G29. Pour les cas les plus complexes, certaines autorités ont décidé de les soumettre à la validation au plus haut niveau de leur organisation. Dans la grande majorité des cas, le moteur de recherche justifie le refus de déréférencer par le fait que l’information en question est en lien direct avec l’activité professionnelle du demandeur ou qu’elle est pertinente au regard de l’actualité ou de l’objectif du traitement. Des informations complémentaires seront régulièrement publiées afin de suivre l’avancée des travaux des autorités sur le déréférencement. ]]> Actualités International Conférences internationales Directive 95/46 Autorités de contrôles communes Europe Francophonie Transferts internationaux de données Travaux du Groupe de l’article 29 Standards Internationaux Mon, 29 Jun 2015 10:50:00 +0200 Projet de règlement européen : avis du G29 dans la perspective du trilogue http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-reglement-europeen-avis-du-g29-dans-la-perspective-du-trilogue/ Le 15 juin, les ministres de la Justice de l'UE sont parvenus à obtenir une approche générale sur le projet de règlement proposé par la Commission Européenne en janvier 2012.]]> Les autorités de protection européennes réunies au sein du G29 saluent le fait que les trois institutions européennes – la Commission, le Parlement et le Conseil – vont désormais pouvoir commencer une phase des négociations décisive : le trilogue. Dans la continuité des avis ou déclarations déjà émises sur le projet de réforme, le G29 a adopté une position commune sur un certain nombre de problématiques centrales (les définitions,  le champ d’application, les principes fondateurs, les droits des citoyens, les pouvoirs des autorités de protection, le modèle de gouvernance) et qui doivent être prises en compte par les institutions européennes.   Le 17 juin, le G29 a remis symboliquement cette position aux représentants des trois institutions européennes qui ont tous accueilli favorablement ce travail. Le G29 souhaite contribuer à maintenir un haut niveau de protection pour les données personnelles des citoyens européens et reste à la disposition des institutions européennes pour leur apporter son expertise pendant le trilogue.]]> Actualités Travaux du Groupe de l’article 29 Projet de règlement européen Tue, 23 Jun 2015 09:35:00 +0200 Open data : la CNIL publie 8 nouveaux jeux de données sur data.gouv.fr http://www.cnil.fr/nc/linstitution/actualite/article/article/open-data-la-cnil-publie-9-nouveaux-jeux-de-donnees-sur-datagouvfr/ Après la publication de ses délibérations sur la plateforme des données publiques, la CNIL propose de nouveaux jeux de données sur ses activités et son fonctionnement.]]> La CNIL publie déjà sur la plateforme des données publiques data.gouv.fr l'intégralité de ses délibérations (recommandations, autorisations, avis, mises en demeure publiques, sanctions publiques...). Elle poursuit aujourd'hui sa démarche open data. Huit nouveaux jeux de données sont proposés :
  • Organismes ayant désigné un correspondant Informatique et Libertés (liste intégrale) 
  • Plaintes (volumes annuels)
  • Droit d'accès indirect (volumes annuels)
  • Contrôles (volumes annuels et liste des contrôles réalisés)
  • Budget
  • Effectifs
  • Marchés publics.
Ces jeux de données sont accessibles sur OpenCNIL ou directement sur data.gouv.fr. Ils sont disponibles, gratuitement, au format csv. licence ouverte Une large réutilisation de ces données est possible (Licence ouverte / Open licence). Faites connaître vos réutilisations en les partageant sur data.gouv.fr ! ]]>
Actualités Opendata Transparence Mon, 15 Jun 2015 10:48:00 +0200
La CNIL met en demeure Google de procéder aux déréférencements sur toutes les extensions du moteur de recherche http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-met-en-demeure-google-de-proceder-aux-dereferencements-sur-toutes-les-extensions-du-mote/ Un an après l’arrêt de la cour de Justice de l’Union européenne, Google a donné suite à de nombreuses demandes de déréférencement, mais seulement sur les « extensions » européennes du moteur de recherche.]]> La Cour de justice de l’Union européenne a consacré le droit au déréférencement par un arrêt du 13 mai 2014. L’exercice de ce droit résulte de l’application du droit européen de la protection des données aux moteurs de recherche, notamment à celui mis en œuvre par la société Google. Concrètement, toute personne qui souhaite voir effacer un ou plusieurs résultats apparaissant sous une requête à partir de son nom peut en faire la demande au moteur de recherche. Celui-ci examine alors la demande, et y fait droit si les conditions légales sont remplies. En cas de refus du moteur de recherche de procéder au déréférencement sollicité, la personne concernée peut contester cette décision auprès de l’autorité de contrôle de protection des données (la CNIL, en France) ou de l’autorité judiciaire compétente au sein de chaque Etat membre. A ce titre, la CNIL a été saisie de plusieurs centaines de demandes de  particuliers s’étant vu refuser le déréférencement de liens Internet (ou adresses URL) par Google. A la suite de l’examen de ces réclamations, la CNIL a demandé à la société Google de procéder au déréférencement de plusieurs résultats. Elle a expressément demandé que le déréférencement soit réalisé sur l’ensemble du moteur de recherches, quelle que soit « l’extension » de celui-ci (.fr ; .uk ; .com ; etc.). Si la société a fait droit à certaines des demandes, elle n’a octroyé le déréférencement que sur des recherches effectuées sur l’une des extensions géographiques européennes du moteur de recherche. Il ne s’applique pas, par exemple, sur des recherches effectuées à partir de « google.com » ou d’extensions non européennes. La CNIL considère, conformément à l’arrêt de la CJUE que le déréférencement, pour être effectif, doit concerner toutes les extensions et que le service proposé via le moteur de recherche « Google search » correspond à un traitement unique. Dans ces conditions, la Présidente de la CNIL demande qu’il soit procédé, dans un délai de 15 jours, au déréférencement des demandes favorablement accueillies sur l’ensemble du traitement et donc sur toutes les extensions du moteur de recherche. Au regard de la nécessité d’appeler l’attention des exploitants de moteurs de recherche, des internautes et des éditeurs de contenus sur l’étendue et la portée des droits d’opposition et d’effacement des données, dont il faut assurer la pleine effectivité, cette mise en demeure est rendue publique. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si Google Inc. ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », de prononcer une sanction à l’égard de la société.]]> Actualités Mise en demeure Droit à l'oubli Moteurs de recherche Fri, 12 Jun 2015 09:35:00 +0200 Envoi sans consentement de lettres d’information électroniques contenant de la prospection : sanction de 15.000 euros http://www.cnil.fr/nc/linstitution/actualite/article/article/envoi-sans-consentement-de-lettres-dinformation-electroniques-contenant-de-la-prospection-sanc/ La formation restreinte a prononcé une sanction de 15.000 euros à l’encontre de la société PRISMA MEDIA, spécialisée dans l’édition et la commercialisation de magazines périodiques et des sites internet de ces magazines.]]> En juillet 2012, la société PRISMA MEDIA a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec les obligations légales, notamment pour ses traitements de données relatifs aux prospects. Au regard des mesures prises et annoncées par la société, la présidente de la CNIL a clôturé cette mise en demeure en janvier 2013. Toutefois, en mars 2014, un nouveau contrôle a fait apparaître que la société n’informait toujours pas systématiquement ni suffisamment les personnes concernées des traitements mis en œuvre. En effet, lorsqu’un internaute se rend sur le site d’une publication du groupe, il peut demander à recevoir la lettre d’information du titre du site qu’il consulte mais également celles des autres revues ou périodiques édités par la société en cochant la case : « oui, je souhaite recevoir les newsletters du groupe Prisma Media ». Or, ce faisant, il ne dispose pas systématiquement d’information sur les autres newsletters qu’il va recevoir, n’ayant pas notamment connaissance des publications concernées. Ainsi, l’information délivrée ne permet pas de considérer que le consentement des personnes à recevoir des lettres d’information par voie électronique est libre et spécifique. En outre, la société ne faisait pas totalement droit aux demandes d’opposition des internautes et conservait les données pendant des durées excessives. En octobre 2014, la présidente de la CNIL a décidé de mettre en demeure la société PRISMA MEDIA et de rendre publique cette décision. Cette mise en demeure n’ayant pas été entièrement satisfaite, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 15.000 euros à l'encontre de la société PRISMA MEDIA, qu’elle a décidé de rendre publique. La formation restreinte a considéré que la société ne s’était pas mise en conformité sur plusieurs points :
  • La société n’a pas apporté d’éléments de réponse concernant le manquement relatif au défaut de recueil du consentement des internautes ;
  • La mention présente sur les formulaires d’inscription aux lettres d’information n’indiquait pas aux internautes leur droit d’opposition au traitement de leurs données. La formation restreinte a toutefois  relevé que les formulaires d’inscription aux lettres d’information de PRISMA MEDIA indiquent depuis aux internautes leur droit d’opposition et que la procédure de gestion des désabonnements est de nature à garantir une correcte prise en compte de l’exercice de ce droit.
  • Contrairement à ce que soutient la société, la simple ouverture d’une lettre d’information par un internaute ne peut constituer un « contact » au sens de la norme simplifiée n° 48, et être ainsi le point de départ de la durée de conservation des données.
]]>
Actualités Sanctions Fri, 12 Jun 2015 09:10:00 +0200