RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 29 Jun 2015 10:50:00 +0200 Droit au déréférencement : bilan du G29 un an après l’arrêt de la CJUE http://www.cnil.fr/nc/linstitution/actualite/article/article/droit-au-dereferencement-bilan-du-g29-un-an-apres-larret-de-la-cjue/ Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement.]]> L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12) constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. Il accorde en effet la possibilité aux personnes de demander aux moteurs de recherche, sous certaines conditions, le déréférencement de liens apparaissant dans les résultats de recherche effectués sur la base de leurs noms. Le 26 novembre, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères que les autorités utilisent dans le cadre de l’instruction des plaintes leur parvenant suite à des refus de déréférencement par les moteurs. Un réseau de coordination des points de contact a été créé afin d’échanger sur des analyses et des cas concrets pour élaborer une jurisprudence européenne relative aux demandes de déréférencement. Un an après l’arrêt et six mois après l’instruction des premières plaintes, le G29 a lancé un audit afin d‘évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement. D’ores et déjà, il ressort des réponses apportées au questionnaire envoyé par le G29 que le système mis en place a joué un rôle efficace : A ce stade, près de 2000 plaintes ont été reçues. Les autorités de protection des données ont  commencé à instruire des plaintes et à effectuer des demandes de déréférencement lorsque les conditions fixées par l’arrêt de la CJUE  étaient remplies. Chaque décision est prise en fonction de l’équilibre à respecter entre le droit à la protection de la vie privée d’une part et l’intérêt du public à avoir accès à l’information d’autre part. La plupart des plaintes concernent le moteur de recherche de Google. La cohérence des décisions prises au niveau européen est assurée grâce au recours aux critères communs élaborés par le G29 en novembre 2014. Chacun des critères retenus semble pertinent et efficace. Néanmoins, certains  critères nécessiteraient d’être affinés ou précisés. C’est notamment le cas du critère définissant « la personne publique » ou le fait de « jouer un rôle dans la vie publique ». Les autorités de protection des données ont aussi besoin de mieux évaluer le bien fondé d’une plainte. Elles doivent également préciser les cas dans lesquels une information peut être considérée comme trop ancienne et de ce fait plus pertinente. Afin d’instruire les plaintes, toutes les autorités de protection des données ont mis en place une équipe dédiée à l’analyse, l’évaluation et l’instruction des plaintes conformément aux critères et à l’analyse commune du G29. Pour les cas les plus complexes, certaines autorités ont décidé de les soumettre à la validation au plus haut niveau de leur organisation. Dans la grande majorité des cas, le moteur de recherche justifie le refus de déréférencer par le fait que l’information en question est en lien direct avec l’activité professionnelle du demandeur ou qu’elle est pertinente au regard de l’actualité ou de l’objectif du traitement. Des informations complémentaires seront régulièrement publiées afin de suivre l’avancée des travaux des autorités sur le déréférencement. ]]> Actualités International Conférences internationales Directive 95/46 Autorités de contrôles communes Europe Francophonie Transferts internationaux de données Travaux du Groupe de l’article 29 Standards Internationaux Mon, 29 Jun 2015 10:50:00 +0200 Projet de règlement européen : avis du G29 dans la perspective du trilogue http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-reglement-europeen-avis-du-g29-dans-la-perspective-du-trilogue/ Le 15 juin, les ministres de la Justice de l'UE sont parvenus à obtenir une approche générale sur le projet de règlement proposé par la Commission Européenne en janvier 2012.]]> Les autorités de protection européennes réunies au sein du G29 saluent le fait que les trois institutions européennes – la Commission, le Parlement et le Conseil – vont désormais pouvoir commencer une phase des négociations décisive : le trilogue. Dans la continuité des avis ou déclarations déjà émises sur le projet de réforme, le G29 a adopté une position commune sur un certain nombre de problématiques centrales (les définitions,  le champ d’application, les principes fondateurs, les droits des citoyens, les pouvoirs des autorités de protection, le modèle de gouvernance) et qui doivent être prises en compte par les institutions européennes.   Le 17 juin, le G29 a remis symboliquement cette position aux représentants des trois institutions européennes qui ont tous accueilli favorablement ce travail. Le G29 souhaite contribuer à maintenir un haut niveau de protection pour les données personnelles des citoyens européens et reste à la disposition des institutions européennes pour leur apporter son expertise pendant le trilogue.]]> Actualités Travaux du Groupe de l’article 29 Projet de règlement européen Tue, 23 Jun 2015 09:35:00 +0200 Open data : la CNIL publie 8 nouveaux jeux de données sur data.gouv.fr http://www.cnil.fr/nc/linstitution/actualite/article/article/open-data-la-cnil-publie-9-nouveaux-jeux-de-donnees-sur-datagouvfr/ Après la publication de ses délibérations sur la plateforme des données publiques, la CNIL propose de nouveaux jeux de données sur ses activités et son fonctionnement.]]> La CNIL publie déjà sur la plateforme des données publiques data.gouv.fr l'intégralité de ses délibérations (recommandations, autorisations, avis, mises en demeure publiques, sanctions publiques...). Elle poursuit aujourd'hui sa démarche open data. Huit nouveaux jeux de données sont proposés :
  • Organismes ayant désigné un correspondant Informatique et Libertés (liste intégrale) 
  • Plaintes (volumes annuels)
  • Droit d'accès indirect (volumes annuels)
  • Contrôles (volumes annuels et liste des contrôles réalisés)
  • Budget
  • Effectifs
  • Marchés publics.
Ces jeux de données sont accessibles sur OpenCNIL ou directement sur data.gouv.fr. Ils sont disponibles, gratuitement, au format csv. licence ouverte Une large réutilisation de ces données est possible (Licence ouverte / Open licence). Faites connaître vos réutilisations en les partageant sur data.gouv.fr ! ]]>
Actualités Opendata Transparence Mon, 15 Jun 2015 10:48:00 +0200
La CNIL met en demeure Google de procéder aux déréférencements sur toutes les extensions du moteur de recherche http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-met-en-demeure-google-de-proceder-aux-dereferencements-sur-toutes-les-extensions-du-mote/ Un an après l’arrêt de la cour de Justice de l’Union européenne, Google a donné suite à de nombreuses demandes de déréférencement, mais seulement sur les « extensions » européennes du moteur de recherche.]]> La Cour de justice de l’Union européenne a consacré le droit au déréférencement par un arrêt du 13 mai 2014. L’exercice de ce droit résulte de l’application du droit européen de la protection des données aux moteurs de recherche, notamment à celui mis en œuvre par la société Google. Concrètement, toute personne qui souhaite voir effacer un ou plusieurs résultats apparaissant sous une requête à partir de son nom peut en faire la demande au moteur de recherche. Celui-ci examine alors la demande, et y fait droit si les conditions légales sont remplies. En cas de refus du moteur de recherche de procéder au déréférencement sollicité, la personne concernée peut contester cette décision auprès de l’autorité de contrôle de protection des données (la CNIL, en France) ou de l’autorité judiciaire compétente au sein de chaque Etat membre. A ce titre, la CNIL a été saisie de plusieurs centaines de demandes de  particuliers s’étant vu refuser le déréférencement de liens Internet (ou adresses URL) par Google. A la suite de l’examen de ces réclamations, la CNIL a demandé à la société Google de procéder au déréférencement de plusieurs résultats. Elle a expressément demandé que le déréférencement soit réalisé sur l’ensemble du moteur de recherches, quelle que soit « l’extension » de celui-ci (.fr ; .uk ; .com ; etc.). Si la société a fait droit à certaines des demandes, elle n’a octroyé le déréférencement que sur des recherches effectuées sur l’une des extensions géographiques européennes du moteur de recherche. Il ne s’applique pas, par exemple, sur des recherches effectuées à partir de « google.com » ou d’extensions non européennes. La CNIL considère, conformément à l’arrêt de la CJUE que le déréférencement, pour être effectif, doit concerner toutes les extensions et que le service proposé via le moteur de recherche « Google search » correspond à un traitement unique. Dans ces conditions, la Présidente de la CNIL demande qu’il soit procédé, dans un délai de 15 jours, au déréférencement des demandes favorablement accueillies sur l’ensemble du traitement et donc sur toutes les extensions du moteur de recherche. Au regard de la nécessité d’appeler l’attention des exploitants de moteurs de recherche, des internautes et des éditeurs de contenus sur l’étendue et la portée des droits d’opposition et d’effacement des données, dont il faut assurer la pleine effectivité, cette mise en demeure est rendue publique. La CNIL rappelle que cette mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si Google Inc. ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », de prononcer une sanction à l’égard de la société.]]> Actualités Mise en demeure Droit à l'oubli Moteurs de recherche Fri, 12 Jun 2015 09:35:00 +0200 Envoi sans consentement de lettres d’information électroniques contenant de la prospection : sanction de 15.000 euros http://www.cnil.fr/nc/linstitution/actualite/article/article/envoi-sans-consentement-de-lettres-dinformation-electroniques-contenant-de-la-prospection-sanc/ La formation restreinte a prononcé une sanction de 15.000 euros à l’encontre de la société PRISMA MEDIA, spécialisée dans l’édition et la commercialisation de magazines périodiques et des sites internet de ces magazines.]]> En juillet 2012, la société PRISMA MEDIA a été mise en demeure par la Présidente de la CNIL de se mettre en conformité avec les obligations légales, notamment pour ses traitements de données relatifs aux prospects. Au regard des mesures prises et annoncées par la société, la présidente de la CNIL a clôturé cette mise en demeure en janvier 2013. Toutefois, en mars 2014, un nouveau contrôle a fait apparaître que la société n’informait toujours pas systématiquement ni suffisamment les personnes concernées des traitements mis en œuvre. En effet, lorsqu’un internaute se rend sur le site d’une publication du groupe, il peut demander à recevoir la lettre d’information du titre du site qu’il consulte mais également celles des autres revues ou périodiques édités par la société en cochant la case : « oui, je souhaite recevoir les newsletters du groupe Prisma Media ». Or, ce faisant, il ne dispose pas systématiquement d’information sur les autres newsletters qu’il va recevoir, n’ayant pas notamment connaissance des publications concernées. Ainsi, l’information délivrée ne permet pas de considérer que le consentement des personnes à recevoir des lettres d’information par voie électronique est libre et spécifique. En outre, la société ne faisait pas totalement droit aux demandes d’opposition des internautes et conservait les données pendant des durées excessives. En octobre 2014, la présidente de la CNIL a décidé de mettre en demeure la société PRISMA MEDIA et de rendre publique cette décision. Cette mise en demeure n’ayant pas été entièrement satisfaite, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 15.000 euros à l'encontre de la société PRISMA MEDIA, qu’elle a décidé de rendre publique. La formation restreinte a considéré que la société ne s’était pas mise en conformité sur plusieurs points :
  • La société n’a pas apporté d’éléments de réponse concernant le manquement relatif au défaut de recueil du consentement des internautes ;
  • La mention présente sur les formulaires d’inscription aux lettres d’information n’indiquait pas aux internautes leur droit d’opposition au traitement de leurs données. La formation restreinte a toutefois  relevé que les formulaires d’inscription aux lettres d’information de PRISMA MEDIA indiquent depuis aux internautes leur droit d’opposition et que la procédure de gestion des désabonnements est de nature à garantir une correcte prise en compte de l’exercice de ce droit.
  • Contrairement à ce que soutient la société, la simple ouverture d’une lettre d’information par un internaute ne peut constituer un « contact » au sens de la norme simplifiée n° 48, et être ainsi le point de départ de la durée de conservation des données.
]]>
Actualités Sanctions Fri, 12 Jun 2015 09:10:00 +0200
Interdits de stade : mise en demeure pour le PSG FOOTBALL http://www.cnil.fr/nc/linstitution/actualite/article/article/interdits-de-stade-mise-en-demeure-pour-le-psg-football/ La Présidente de la CNIL met en demeure le PSG FOOTBALL de respecter le cadre des autorisations relatives aux interdictions et aux exclusions de stade que la CNIL lui a délivrées en 2013 et 2014. ]]> Le législateur a défini un cadre légal précis pour les dispositifs d’exclusion des stades. Le code du sport prévoit ainsi que seuls le préfet ou le juge peuvent prendre des mesures d’interdiction de stade à l’égard des personnes et en fixer la durée. Afin d’assurer l’effectivité de ces interdictions de stade, le PSG FOOTBALL a été autorisé par la CNIL, le 7 novembre 2013, à créer un fichier permettant de gérer les suites des mesures prises par les autorités administratives et judiciaires. Le PSG FOOTBALL a ensuite obtenu une autre autorisation de la CNIL, le 30 janvier 2014, pour mettre en œuvre une liste d’exclusion des clients, au delà des cas d’interdits de stade. Concrètement, cette autorisation permet par exemple l’exclusion des personnes pour les motifs suivants : existence d’un impayé, non respect des règles de billetterie, activité commerciale dans l’enceinte sportive en violation des conditions générales de vente, etc. Or, les contrôles sur place effectués au mois d’octobre et novembre 2014 ont permis de constater que la société méconnaissait partiellement le cadre fixé par les deux autorisations. En effet, le PSG FOOTBALL ne s’est pas borné à gérer la liste des interdits de stade à l’intérieur du cadre légal, mais a décidé d’exclure les personnes faisant l’objet de ces mesures, après l’expiration de celles-ci, pendant une durée au moins équivalente. Cette pratique a ainsi conduit la société, a minima, à doubler la durée d’un dispositif d’interdiction de stade pourtant prévu par la loi. Cette pratique du PSG FOOTBALL est donc intervenue sans aucune base légale et en méconnaissance des autorisations délivrées par la CNIL. C’est la raison pour laquelle la Présidente de la CNIL a décidé d’adopter une mise en demeure à l’encontre de la société afin que celle-ci se conforme à la loi. Afin d’appeler l’attention des organismes sportifs sur le dispositif légal encadrant les exclusions des personnes des stades et d’informer le public de ses droits en la matière, dont les plaignants ayant saisi la CNIL, cette mise en demeure est rendue publique. La CNIL rappelle qu’une telle mise en demeure n'est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti d’un mois. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité. Si le PSG FOOTBALL ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », de prononcer une sanction à l’égard de la société.]]> Actualités Mise en demeure Wed, 10 Jun 2015 09:09:00 +0200 Le collectif éducation au numérique présent à futur en seine http://www.cnil.fr/nc/linstitution/actualite/article/article/le-collectif-education-au-numerique-present-a-futur-en-seine/ Le collectif Education au numérique organise un atelier le 11 juin prochain à la Gaité lyrique, sur le thème « Comment sensibiliser les plus jeunes aux bons usages du numérique ? ». ]]> Une vidéo tournée auprès d’élèves de classes de CE2 et CM2 d’une école primaire du Kremlin-Bicêtre a filmé les réactions des enfants au web documentaire « Les aventures croustillantes de Prince chip », Grand Prix du jury des Trophées EDUCNUM en 2014. Prince chip webdocumentaireRéalisé par des étudiants en master « Droit des activités numériques » à l’université Panthéon Sorbonne, il retrace les aventures d’une pomme de terre (Prince Chip) qui explore les risques liés à la protection de la vie privée sur Internet. L’expérience consiste à tester l’efficacité d’un tel support, tant sur le plan des messages que sur la forme, directement auprès du public concerné : les 8-10 ans. L’atelier organisé avec le soutien du ministère de l’éducation nationale et animé par la CNIL sera l’occasion pour les enseignants des deux classes, et les experts Serge TISSERON et Divina FRAU-MEIGS, de débattre de la meilleure manière de s’adresser aux enfants pour leur parler du numérique, de ses opportunités et pour leur apprendre les bons réflexes. Programme de l’atelier et modalités d’inscription Suivez la 2ème édition des Trophées EDUCNUM sur le site www.educnum.fr]]> Actualités Jeunes Etablissements d'enseignement Education numérique Tue, 02 Jun 2015 14:50:00 +0200 Programme des contrôles 2015 http://www.cnil.fr/nc/linstitution/actualite/article/article/programme-des-controles-2015/ En 2015, la CNIL contrôlera des technologies ou des traitements récemment mis en œuvre et faisant partie du quotidien des Français.]]> En 2015, un objectif d’environ 550 contrôles est prévu (421 contrôles réalisés en 2014), se décomposant de la façon suivante :  
  • environ 350 vérifications sur place, sur audition ou sur pièces. Un quart des contrôles sur place portera sur les dispositifs de vidéoprotection / vidéosurveillance
  • 200 contrôles en ligne.

Les thématiques prioritaires des contrôles 2015 

Comme chaque année, la CNIL prévoit de dédier une part significative de son activité de contrôle à des thèmes choisis du fait de leur impact sur les libertés et du nombre important de personnes concernées.   Le paiement sans contact : le large développement de ces dispositifs en fait une thématique de première importance, eu égard notamment au nombre de personnes concernées. Outre les questions de sécurité, la prise en compte du droit d'opposition sera notamment vérifiée. Le traitement de données personnelles dans le cadre de la gestion des risques psycho-sociaux (RPS) en entreprise : dans le prolongement de l’accord national interprofessionnel de 2008 relatif à l’amélioration des conditions de travail, de plus en plus d’entreprises diligentent des enquêtes sur les risques psychosociaux auprès de leur salariés afin d’évaluer et de mieux lutter contre le stress au travail. Ces enquêtes soulèvent des questions pratiques qui ont conduit de nombreux salariés à saisir la CNIL. Les contrôles s’opèreront auprès de prestataires et d’entreprises (publiques et privées) ayant mené une enquête RPS ces dernières années. Le Fichier National des Permis de Conduire mis en œuvre par le ministère de l’Intérieur : ce fichier répertorie l’ensemble des permis de conduire enregistrés en France (environ 40 millions). Le solde des points restants sur le permis est consultable en ligne depuis le site telepoints.info. Le FNPC comporte également toutes les décisions relatives au permis de conduire, et notamment, les décisions administratives (retrait, suspension, annulation, restriction du droit d’en faire usage) et judiciaires (y compris les compositions pénales, amendes ainsi que les procès-verbaux des infractions constatées). Les vérifications porteront en particulier sur la fiabilité et la mise à jour des données, leurs modalités d’accès et leur sécurisation. Les objets connectés « bien-être et santé » : un écosystème s’est développé autour d’une offre bien-être et santé comprenant des objets connectés et des services en ligne, permettant le suivi individuel et le partage de données relatives par exemple à l’activité physique ou l’évolution de la corpulence du détenteur. Ces dispositifs suscitent de nombreuses interrogations quant à l’information et au consentement des utilisateurs. Les outils de mesure de fréquentation des lieux publics : ces nouveaux dispositifs déployés dans l’espace public (centres commerciaux, quartiers ou villes entières) permettent via les connexions aux bornes mobiles et wifi une mesure fine du trafic de données personnelles. Ces mesures permettent entre autres objectifs de monétiser l’espace publicitaire. Des contrôles sur ces thèmes permettront de renforcer la doctrine naissante. Les « Binding Corporate Rules » (BCR) : à ce jour, 68 sociétés ont adopté des BCR. Ces dispositifs n’ont fait pour l’heure l’objet d’aucun contrôle ex-post. La réalisation de contrôles de quelques entreprises ayant adopté des BCR fournira un éclairage sur l’impact du dispositif au regard de la protection des données personnelles et du respect de la vie privée au sein des groupes concernés. Enfin, l’année 2015 sera l’occasion pour la CNIL de continuer le travail de coopération internationale entre autorités de protection des données. Cette coopération s’effectuera notamment au travers du troisième volet du « Sweep Day » coordonnée par le GPEN ("Global Privacy Enforcement Network" – réseau international d’autorités en charge de la protection de la vie privée) qui concernera le thème de « la vie privée de la jeunesse » (« Youth Privacy »). Concrètement, l’audit conjoint qui sera réalisé en mai  portera sur les services en ligne proposés aux mineurs (sites visant particulièrement les utilisateurs de moins de 12 ans et/ou les adolescents). Les autorités se concentreront notamment sur l’information,  et le contrôle de l’âge. En outre, des contrôles seront menés dans le cadre de la coopération européenne en matière de police (Europol, Schengen, etc.).]]>
Actualités Contrôles Mon, 25 May 2015 10:00:00 +0200
Carte de paiement sans contact : mode d’emploi http://www.cnil.fr/nc/linstitution/actualite/article/article/carte-de-paiement-sans-contact-mode-demploi/ En France, plus de 33 millions de cartes de paiement ont des fonctionnalités sans contact, ce qui représente plus de 50% des cartes en circulation*. Comment ça marche, quelle sécurité, quels droits ?]]>

Comment reconnaître une carte bancaire sans contact ?

Le format d’une carte bancaire sans contact est le même que celui d’une carte bancaire classique. La puce sans contact n’est pas visible à l’œil nu car elle est à l’intérieur du plastique. C’est un logo spécifique sur la carte qui permet de savoir que celle-ci est sans contact (des vagues d’ondes comme pour représenter le signal wifi sur certains ordinateurs).

Pour quel type de transaction puis-je l’utiliser ?

La transaction peut uniquement s’effectuer à courte distance (jusqu’à une distance de 10 centimètres, NFC signifiant near field communication) et pour un montant inférieur à 20€. Au-delà de ce montant, il sera nécessaire de saisir son code. De plus, la saisie du code de la carte est exigée à partir d’un certain montant de transactions cumulées (par exemple tous les 80€ d’achat). Pour savoir si un commerçant l’accepte, il suffit de regarder si figure le logo avec des ondes sur son terminal de paiement.

Cette carte est-elle utilisable à l’étranger ?

Oui, vous pourrez utiliser votre carte de paiement sans contact à l’étranger chez tout commerçant acceptant ce mode de paiement. Les modalités de plafond peuvent varier.

Les établissements bancaires offrent-ils tous le choix de l’activation de la fonction paiement sans contact ? Quelles sont leurs obligations ?

Depuis la recommandation de la CNIL de juillet 2013, les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact (article 32 de la loi « informatique et libertés ») et doivent pouvoir la refuser. Pour répondre à la demande des clients de ne pas avoir de carte sans contact : certaines proposent de distribuer une nouvelle carte identique aux anciens modèles, d’autres proposent une désactivation via le site internet de la banque et une prise en compte lors de la prochaine utilisation de la carte dans un distributeur automatique de billets. Ce cadre juridique n’empêche en aucun cas les banques de faire le choix de distribuer des cartes dont l’interface sans contact n’est pas active par défaut et qui peut être activée à la demande de l’utilisateur. Certaines banques ont d’ailleurs déjà fait ce choix.

Je ne souhaite pas avoir de carte de paiement sans contact, à qui m’adresser ?

Vous pouvez vous tourner vers votre banque dans un premier temps pour lui demander la désactivation ou la réédition gratuite d’une nouvelle carte sans cette fonctionnalité.

Je refuse cette nouvelle fonctionnalité et la banque ne répond pas à ma demande, que peut faire la CNIL ?

La banque a refusé de désactiver le sans contact gratuitement et sans condition ? Vous pouvez saisir la CNIL d'une plainte. Ajoutez toutes les preuves justificatives et le plus de détails possibles. La CNIL, après vérification qu’il s’agit bien d’une plainte et qu’elle dispose d’éléments suffisants, interviendra auprès de la banque. Parallèlement, vous pouvez saisir le médiateur de votre banque

Quelle sécurité pour les cartes sans contact ?

A la demande de la CNIL, sur les cartes émises depuis septembre 2012, le nom du porteur n’est plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire. Et, depuis juin 2013, il n’est plus possible de lire l’historique des transactions. La réduction des données présentes sur la carte permet de réduire les risques d’atteintes à la vie privée. Ces données ne suffiraient pas à recréer de fausses cartes ou retirer de l’argent dans un distributeur automatique. La CNIL reste préoccupée par l’accessibilité des données. C’est pourquoi, dès juillet 2013, elle appelait le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers.  Elle invite donc à la mise en œuvre des recommandations émises par l’Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009 ainsi qu’à terme à un chiffrement des échanges, rendant tout accès aux données impossible. 

Après la carte sans contact, le paiement mobile ?

L’observatoire du NFC et du sans contact estime qu’il y a déjà 75 modèles de téléphones mobiles avec une fonctionnalité de paiement mobile sur le marché soit 6,5 millions d’appareils en France. Les professionnels considèrent que l’intégration de cette technologie dans l’iphone 6 devrait avoir des impacts significatifs sur le marché, même si aujourd’hui certains estiment que moins de 1% des paiements dans le monde sont réalisés avec un mobile. Pour que le paiement mobile sans contact se développe, il faut aussi que les commerçants soient équipés de terminaux de paiement sans contact. Aujourd’hui, seul 20,6% du parc de terminaux de paiement acceptent le sans contact.]]>
Actualités NFC Moyens de paiement Fiches pratiques Tue, 19 May 2015 14:39:00 +0200
Internet Sweep day : les sites pour enfants sont-ils respectueux de la vie privée ? http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/ Le 12 mai 2015, la CNIL et 28 autorités dans le monde mèneront, une opération conjointe d’audit en ligne pour examiner si les sites web destinés aux enfants respectent la vie privée.]]> Les résultats des précédents sweep day avaient démontré que de nombreux sites web et applications mobiles recueillent beaucoup de renseignements personnels, avec une information souvent insuffisante : information incomplète, voire absente, information difficile à trouver ou inadaptée à un écran de smartphone pour les applications mobiles (Voir l'article : "Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données"). Or, les sites internet destinés aux enfants impliquent une attention particulière quant aux données collectées et aux mesures de protection mises en place.
En France, les enfants de 7 à 12 ans passent chaque semaine 5 heures sur internet et plus de 11 heures pour les adolescents de 13 à 19 ans (Ipsos/ Etude Connect 2014).
Cette année, 29 autorités de protection des données dans le monde, rassemblées au sein du GPEN (Global Privacy Enforcement Network)*, ont décidé de s’intéresser au respect de la vie privée par les sites à destination des enfants. Chaque autorité mènera donc, entre le 11 et le 15 mai, sur son territoire national des opérations d’audit. La CNIL a choisi le 12 mai pour examiner 50 sites à destination d’un jeune public. Il s’agira principalement de sites de jeux, de réseaux sociaux, ainsi que de sites offrant des services éducatifs ou de soutien scolaire. Concrètement, la CNIL et ses homologues vérifieront si les sites destinés au jeune public :
  • prévoient un accord parental avant l’utilisation des services et la collecte de données personnelles,
  • sensibilisent leur public aux enjeux de vie privée,
  • fournissent une information relative à la protection des données adaptée au jeune public visé (langage clair, animations, etc.),
  • facilitent la suppression des informations personnelles qui seraient transmises par des enfants.
Comme les années précédentes, la CNIL utilisera une grille d’analyse commune à l’ensemble des autorités participantes. Les résultats permettront de dresser un panorama mondial des pratiques des sites à destination des enfants, ainsi que des spécificités nationales. Ils devraient être rendus publics à l’automne 2015. Dans l’hypothèse où des manquements importants à la loi seraient relevés, la CNIL se réserve la possibilité d’effectuer des contrôles et, le cas échéant, d’engager des procédures de sanction. Au-delà de la collaboration entre autorités de protection des données, cette opération permettra de sensibiliser le public, notamment les parents d’enfants utilisateurs de services en ligne, ainsi que de promouvoir les bonnes pratiques auprès des acteurs du secteur.]]>
Actualités Internautes Internet Protection des mineurs Mon, 11 May 2015 14:30:00 +0200