RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Fri, 18 Apr 2014 16:05:00 +0200 La directive 2006/24/CE contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne http://www.cnil.fr/nc/linstitution/actualite/article/article/la-directive-200624ce-contraire-aux-articles-7-et-8-de-la-charte-des-droits-fondamentaux-de-lun/ Le 8 avril, la CJUE a invalidé la directive sur la rétention des données de connexion, estimant que ce texte constitue une ingérence dans les droits fondamentaux en particulier le droit au respect à la vie privée et à la protection des données à caractère personnel. Si cette décision importante ne semble pas remettre en cause les législations des Etats membres, les autorités nationales et européennes compétentes étudient actuellement l’impact de cette décision sur les droits nationaux.]]> Par un important arrêt du 8 avril 2014, la Cour de Justice de l’Union Européenne a invalidé la directive sur la conservation des données de connexion (directive 2006/24/CE), communément dite « data retention ».

Suivant les conclusions de l’avocat général, elle a en effet considéré que la directive « comporte une ingérence dans [les] droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire ».

Réuni à Bruxelles, le G29 a fait référence à cette décision dans son communiqué de presse dédié à l’avis sur la surveillance qu’elle a adopté le même jour. Pour mémoire, dans deux avis de 2002 et 2005, le groupe avait exprimé de nombreuses réserves à l’encontre de la directive 2006/24/CE, comme à l’encontre de la directive 2002/58/CE qu’elle était venue modifier.

La Cour ne conteste pas que la conservation des données aux fins de permettre aux autorités compétentes de disposer d’un accès éventuel à celles-ci réponde à un objectif d’intérêt général. Cependant, elle rappelle qu’une telle ingérence n’est possible qu’à la condition que les mesures prévues soient déterminées de manière proportionnée.

Or, elle juge que le texte ne remplit pas les conditions posées par ce « test de proportionnalité ».

Selon elle, ses principales lacunes sont les suivantes :


  • L’obligation de conservation couvre de manière généralisée toute personne, tous les moyens de communication électronique et l’ensemble des données relatives au trafic, sans différenciation, limitation ou exception opérées en fonction de l’objectif de lutte contre les infractions graves ;
  • L’accès ouvert aux données collectées est trop large et est encadré de manière insuffisante ;
  • Cet accès ne fait pas l’objet d’un contrôle préalable par une juridiction ou une autorité indépendante ;
  • Aucune durée de conservation précise n’est imposée aux Etats, seule une fourchette de 6 mois à 2 ans étant prévue, sans distinction entre les personnes ni les infractions concernées.
La Cour, par ailleurs, impose que les données visées par le texte soient conservées sur le territoire de l’Union européenne, afin de garantir pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme la charte l’exige explicitement.

La Commission européenne a annoncé qu’elle procèderait à une évaluation « très attentive » des conséquences de la décision au regard du droit européen. Le service juridique du Parlement a constaté, quant à lui, outre l’effet rétroactif de la décision au jour de son entrée en vigueur, que celle-ci n’affecte pas les législations nationales des Etats membres. En revanche, il a rappelé que les juridictions nationales pourraient être appelées à se prononcer sur la conformité des lois nationales au regard des droits fondamentaux sur la base de l’analyse ainsi livrée par la Cour de Justice.

Au niveau national, les dispositions pertinentes du droit français en matière de conservation des données de connexion demeurent donc applicables (articles L. 34-1 du Code des postes et des communications électroniques (CPCE) concernant les enquêtes judiciaires et L. 34-1-1 du CPCE concernant les enquêtes administratives). Pour autant, il appartient aujourd'hui à l’ensemble des autorités compétentes d’apprécier de manière circonstanciée l’impact de cette décision européenne sur le droit français.

]]>
Actualités Europe Adresse ip Traces informatiques Fri, 18 Apr 2014 16:05:00 +0200
Faille de sécurité Heartbleed : comment réagir ? http://www.cnil.fr/nc/linstitution/actualite/article/article/faille-de-securite-heartbleed-comment-reagir/ Lundi 7 avril une faille de sécurité a été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.]]>

Qu’est-ce que Heartbleed ?


Heartbleed (« cœur qui saigne ») est une faille découverte dans plusieurs versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. Lorsque vous effectuez un achat sur Internet ou que vous consultez vos mails vous voyez souvent apparaitre un petit cadenas à côté de l’adresse du site.  

Ce petit cadenas indique que la communication entre votre terminal et le site web visité est sécurisée via https, qui s’appuie sur le protocole SSL qui est majoritairement mis en œuvre par le logiciel OpenSSL. Le protocole SSL chiffre les données afin d’empêcher que des informations tels que vos données bancaires, vos identifiants ou vos mots de passe, ne puissent être récupérés par des personnes qui ne devraient pas pouvoir y accéder.

Concrètement la faille Heartbleed rend possible la récupération d’informations confidentielles sur un serveur *.

Quelles sont les conséquences potentielles ?


Les premiers tests effectués ont principalement permis de récupérer des cookies de session ou des données d’authentification. Les clés secrètes des certificats de certains sites auraient également pu être récupérées, comme cela a pu être démontré par plusieurs chercheurs dans le cadre d’un concours proposé par Cloudflare. Les clés secrètes des certificats utilisés doivent donc être considérées, a priori, comme compromises.

Cette faille présente donc un risque pour les données stockées sur les serveurs utilisant les versions vulnérables d’OpenSSL ainsi que pour la confidentialité des échanges.

Que faut-il faire ?


L’article 34 de la loi Informatique et Libertés impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel.

Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Tout responsable de traitement mettant en œuvre une version vulnérable d’OpenSSL doit donc :
  1. mettre à jour les serveurs vulnérables, afin de ne plus utiliser de version affectée par la faille ;
  2. révoquer les clés et certificats utilisés ;
  3. renouveler les clés et mettre à jour les certificats correspondants ;
  4. conseiller aux utilisateurs de renouveler leurs moyens d’authentification, notamment leurs mots de passe.

Attention : le renouvellement des mots de passe des utilisateurs n’est pertinent qu’après la mise en conformité des serveurs. En effet, tout mot de passe renouvelé avant la mise en conformité encourt lui-même un risque de compromission.

La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à  une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité.

Heartbleed et après ?


Afin de limiter au maximum l’impact de telles failles de sécurité, les organismes doivent pratiquer une veille active de la sécurité des protocoles, systèmes d’exploitation et logiciels qu’ils utilisent. A titre d’exemple, le site du CERTA recense les principales vulnérabilités et propose des recommandations.

Afin d’aider les responsables de traitements à mettre en place les mesures nécessaires à la protection de la vie privée dans leurs traitements, la CNIL a publié un guide en juillet 2012 proposant un catalogue de bonnes pratiques de sécurité.  Ce guide propose en particulier des mesures à mettre en œuvre pour gérer les violations de données à caractère personnel, superviser la protection de la vie privée ou réduire les vulnérabilités des logiciels.

* Pour aller plus loin :


Heartbleed affecte les versions 1.0.1 à 1.0.1 f (inclus) d’OpenSSL. Les versions précédentes (0.9.8 et 1.00) et la version suivante (1.0.1g) ne sont pas affectées.

Heartbleed utilise l’extension Heartbeat qui est intégrée dans OpenSSL. Celle-ci a pour objectif de maintenir une connexion sécurisée ouverte entre deux participants, entre un client et un serveur ou entre deux serveurs par exemple. En l’absence de cette fonctionnalité, les connexions sécurisées sont fermées après une certaine durée d’inactivité. Heartbeat permet à l’un des participants d’envoyer un message à son correspondant, qui répond en répétant ce message. Ceci permet de s’assurer que les participants sont toujours connectés.

Une mauvaise implémentation dans OpenSSL, qui ne vérifie pas la taille du message à retourner, permet de recevoir jusqu’à 64ko d’informations stockées à la suite du message initialement envoyé. En effectuant certaines demandes, il devient ainsi possible de récupérer des informations confidentielles stockées chez l’autre participant au protocole.

]]>
Actualités Entreprises privées notification des violations Sécurité du SI Wed, 16 Apr 2014 17:04:00 +0200
Le G 29 publie un avis sur les techniques d’anonymisation http://www.cnil.fr/nc/linstitution/actualite/article/article/le-g-29-publie-un-avis-sur-les-techniques-danonymisation/ Le groupe de l’Article 29 qui regroupe les autorités de protection des données européennes, vient de publier un avis sur les principales techniques d’anonymisation, afin d’expliquer comment les mettre en œuvre.]]> Les solutions d’anonymisation des données sont aujourd’hui essentielles pour de nombreux acteurs qui souhaitent valoriser les informations qu’ils détiennent. Cependant, il est souvent difficile de savoir comment anonymiser correctement des données.

L’avis du G29 rappelle qu’un processus d’anonymisation est un traitement au sens de la directive 95/46/CE, du fait, notamment, que des données personnelles ont été initialement collectées. Il rappelle que la directive ne s’applique pas aux données anonymes mais que les données pseudonymisées ne sont pas des données anonymes.

Comment évaluer une solution d’anonymisation ?


Une solution d’anonymisation doit être construite au cas par cas et adaptée aux usages prévus. Pour aider à évaluer une bonne solution d’anonymisation, le G29 propose trois critères :
  • L’individualisation : est-il toujours possible d’isoler un individu ?
  • La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
  • L’inférence : peut-on déduire de l’information sur un individu ?
Ainsi :
  1. un ensemble de données pour lequel il n’est possible ni d’individualiser ni de corréler ni d’inférer est a priori anonyme ;
  2. un ensemble de données pour lequel au moins un des trois critères n’est pas respecté ne pourra être considéré comme anonyme qu’à la suite d’une analyse détaillée des risques de ré-identification.

Comment choisir les techniques d’anonymisation ?

L’avis décrit les principales techniques d’anonymisation utilisées aujourd’hui. Ces techniques se regroupent autour de deux grand principes : transformer les données pour qu’elles ne se référent plus à une personne réelle et généraliser les données de façon à ce qu’elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes. Pour chaque technique, une analyse de ses forces et faiblesses au regard des trois critères d’évaluation est fournie ainsi que des recommandations pratiques pour son utilisation.

L’anonymisation et la ré-identification de données sont des thématiques de recherche particulièrement actives et par conséquent il est indispensable, pour tout responsable de traitement mettant en œuvre des solutions d’anonymisation, d’effectuer une veille régulière pour préserver, dans le temps, le caractère anonyme des données produites. Voir : communiqué de presse -  ARTICLE 29 DATA PROTECTION WORKING (EN) ]]>
Actualités Responsables de données (déclarants) Anonymisation Opendata Europe Wed, 16 Apr 2014 14:38:00 +0200
La CNIL publie les résultats de sa consultation « open data et données personnelles » http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-publie-les-resultats-de-sa-consultation-open-data-et-donnees-personnelles/ Près de 400 personnes ou organismes ont répondu au questionnaire en ligne de la CNIL sur l’open data et les données personnelles. Les résultats révèlent des interrogations persistantes et une demande forte pour des solutions pratiques, notamment en termes d’anonymisation. Les résultats complets sont mis à disposition librement sur data.gouv.fr]]>

Le questionnaire et les personnes ayant répondu :


Pour compléter et élargir les débats de la journée « OpenCNIL » de juillet 2013, la CNIL a mené, au début de l’année 2014, une consultation publique: auprès des acteurs impliqués dans la mise en œuvre d’une plateforme ou d’une politique d’open data ; des producteurs ou gestionnaires d'informations publiques susceptibles d’être ouvertes ; des réutilisateurs à divers titres ; ainsi qu’auprès des référents ou Correspondants Informatique et Libertés (CIL). Au total, 391 personnes ou organismes ont répondu au questionnaire : 199 CILs et référents Informatique et Libertés, 98 réutilisateurs, 45 gestionnaires de données publiques et 49 responsables open data. Si ces chiffres sont assez importants eu égard à la nature de la consultation, cette consultation ne peut, pour autant, être représentative statistiquement de l’ensemble des publics concernés.

L’ensemble des résultats bruts anonymisés du questionnaire sont mis à disposition de tous par la CNIL (les réponses libres aux questions ouvertes ont été en partie effacées afin de ne pas faire courir de risque de ré-identification aux répondants) :
  • Rapport question par question [PDF]
  • Tableau des résultats [XLS] sur data.gouv.fr
La CNIL remercie toutes les personnes qui ont répondu à ces questions.

Les principaux enseignements de la consultation :

Dans leur majorité, les acteurs de l’écosystème de l’open data ont déjà été confrontés à la question des données personnelles.


55% des répondants « responsables open data » et « gestionnaires de données publiques » se sont déjà demandés si certains jeux de données dont l’ouverture était envisagée, pouvaient contenir des données personnelles.
44% des réutilisateurs répondants se sont également posé cette question. Quant aux CIL et référents, seuls 15% disent ne jamais avoir été consultés concernant ces questions d’open data, la moitié d’entre eux ayant été consultés par des « responsables open data » et/ou des « gestionnaires de données publiques », et entre 20 et 25% l’ayant été par des réutilisateurs. Enfin, 1/3 des CIL ou référents Informatique et Libertés répondants ont déjà eu l’occasion de soulever un risque de diffusion de données à caractère personnel lorsqu’ils étaient consultés dans le cadre d’un projet d’open data.

Lorsque cette question se pose, les CILs et la CNIL constituent des interlocuteurs privilégiés. 


Pour tous les publics, le CIL ou référent Informatique & Libertés et le référent pour l’accès aux documents administratifs semblent des recours assez naturels lorsqu’ils existent et sont connus. La CNIL est également citée dans entre 20 et 30% des réponses. En dehors de ces acteurs, les personnes ou entités consultées sont plus diverses :  les  pilotes et responsables open data ainsi que les réutilisateurs font ainsi appel à des réseaux informels d’experts et autres acteurs du domaine.

« Vous avez pris contact avec : »






Le risque de présence de données personnelles est souvent pris en compte, sans pour autant bloquer la diffusion de données si des solutions simples peuvent être trouvées.


Près de 50% des gestionnaires de données publiques répondants ont indiqué avoir déjà fait part de leur opposition à l’ouverture de certaines données au motif d’un risque d’identification de personnes physiques.

Avez-vous déjà fait part de votre opposition à l’ouverture de certaines informations/données détenues ou produites par votre organisme au motif d’un risque d’identification des personnes concernées par les données ?(en valeur absolue)

# (en nombre de réponses)%
Oui souvent37
Oui parfois1635
Non2658
Total45100

Un peu moins de 25% des réutilisateurs répondants ont également indiqué avoir déjà essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes (exemples : données concernant des professions libérales et artisans, décisions de justice, données géolocalisées, données INSEE, données de santé, données relatives aux marchés publics, liste des bans de mariage, noms d'élus, …).

Avez-vous déjà, suite à une demande précise, essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes concernées par les données ?

# (en nombre de réponses)%
Oui souvent66
Oui parfois1717
Non7677
Total99100

Lorsque les données contiennent ou semblent contenir des données personnelles, l’ouverture des données n’est pas nécessairement bloquée pour autant. Les CIL interrogés recommandent alors l’anonymisation des données (47 cas) ou le recueil du consentement (35 cas), et rarement l’abandon du projet d’ouverture (seulement 6 cas évoqués, en particulier pour des listes incluant des coordonnées de personnes).

Des solutions pratiques (anonymisation ou recueil du consentement) encore vagues


Peu de répondants ont su se positionner face aux questions concernant les techniques d’anonymisation ou de recueil du consentement. Souvent, les méthodes d’anonymisation évoquées sont sommaires (retrait des identifiants directs comme les noms et prénoms).

Comment avez-vous procédé à l'anonymisation ?








Au-delà de ces éléments, la CNIL poursuit ces réflexions en lien étroit avec les autres acteurs open-data.

]]>
Opendata Collectivités locales Actualités Wed, 16 Apr 2014 10:27:00 +0200
Séance plénière du G29 des 9 et 10 avril http://www.cnil.fr/nc/linstitution/actualite/article/article/seance-pleniere-du-g29-ordre-du-jour-des-9-et-10-avril/ Le G29, groupe des CNIL européennes, s’est réuni en séance plénière les 9 et 10 avril 2014, présidé pour la première fois par Isabelle Falque-Pierrotin. Il a adopté plusieurs avis et lancé une consultation interne sur les éventuelles améliorations à apporter à ses méthodes de travail et de collaboration. ]]>

Les documents adoptés par la 95ème séance plénière :

  • un avis sur la surveillance qui fait suite aux révélations sur les programmes de surveillance ;
  • une réponse à la Communication de la Commission européenne sur le fonctionnement du Safe Harbor ;
  • une déclaration sur la notion de « guichet unique » présentée dans le projet de règlement de l'Union sur la protection des données ;
  • un avis sur l'intérêt légitime sous l'égide de la directive actuelle, mais aussi dans le contexte de la réforme en cours ;
  • un avis sur les techniques d'anonymisation.
Ces documents devraient être prochainement disponibles sur le site du Groupe de travail.

Safe Harbor

Le G29 souligne que la restauration de la confiance dans les transferts UE-USA passe nécessairement par le renforcement des garanties offertes par Safe Harbor qui aujourd’hui n’apporte pas une protection adéquate aux citoyens de l'UE. Si le processus de révision en cours entre la Commission et les autorités américaines ne connaît pas une issue positive, l'accord Safe Harbor devra être suspendu.

Projet de règlement européen et notion de « guichet unique »

Dans sa déclaration sur le guichet unique, le G29 suggère un compromis entre la position du Parlement européen et les propositions actuellement à l'étude au sein du Conseil de l'Union concernant la gouvernance des autorités de protection dans des situations transfrontalières. Le G29 définit les éléments essentiels pour que le guichet unique puisse répondre à la fois aux attentes des citoyens (proximité avec l’autorité de protection pour la défense de leurs droits) et à celles des entreprises (simplification des formalités).

Intérêt légitime

L'avis sur l'intérêt légitime précise les conditions à remplir et les étapes à suivre par le responsable de traitement lorsqu'il recoure à cette notion en application de l'article 7(f) de la directive 1995/46/CE. Il s'agit de garantir que les autres bases légales pour le traitement de données – notamment le consentement préalable – ne sont pas écartées par une invocation systématique de l'intérêt légitime. Le G29 recommande d'insérer dans le règlement européen un considérant précisant les critères à prendre en considération par le responsable de traitement.

Techniques d’anonymisation

Les données anonymes sortent du champ d'application de la réglementation sur la protection des données personnelles.  Pour autant, le G29 formule des recommandations afin d'aider les responsables de traitement à faire le bon choix parmi les différentes techniques d’anonymisation, ce qui est essentiel dans le cadre du développement du Big Data.

Parmi les autres sujets à l’ordre du jour :

la coopération internationale pour le contrôle de l’application de la loi ; traçage à travers l’identification par calcul d’empreinte du terminal ; l’internet des objets ; le cloud computing ; l’approché basée sur les risques ; la convention du Conseil de l’Europe sur la cybercriminalité ; Smart Borders ; la notifcation des failles ; les suites de l’adoption du référentiel CBPR de l’APEC- BCR de l’UE.

Agenda : prochain rendez-vous

Tenue à Strasbourg le 5 juin 2014 de la Conférence européenne des Commissaires à la protection des données. Cette conférence est conjointement organisée par le Conseil de l’Europe et la CNIL.

]]>
Actualités Travaux du Groupe de l’article 29 Projet de règlement européen Fri, 11 Apr 2014 18:09:00 +0200
Affaire PRISM : avis du G29 sur la surveillance massive des citoyens européens http://www.cnil.fr/nc/linstitution/actualite/article/article/affaire-prism-avis-du-g29-sur-la-surveillance-massive-des-citoyens-europeens/ Le 10 avril 2014, le G29 a adopté un avis sur la surveillance des citoyens européens qui fait suite aux révélations sur le programme PRISM. Il appelle à plus de transparence dans les activités des services de renseignement et à un contrôle renforcé de ces activités.]]> Les révélations d’Edward Snowden sur les activités de surveillance massive de la part des services de renseignement aux Etats-Unis et dans l'Union ont provoqué un débat international sur les conséquences de ces pratiques sur la vie privée des citoyens qui ont manifesté leur grande préoccupation. Dans son avis, le G29 souligne l'illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d'autres considérations de sécurité publique. Il rappelle que de telles restrictions aux droits fondamentaux des citoyens européens ne sont pas acceptables dans une société démocratique. En conséquence, le G29 recommande notamment que :
  • Les Etats Membres de l'Union doivent garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement. Les individus doivent être informés et bénéficier de garanties adéquates de protection de leurs données lorsque celles-ci sont collectées et transférées.  A cette fin, le G29 souhaite organiser à l’automne un débat sur le thème de la surveillance afin de mieux informer et conseiller les citoyens. Cet événement sera ouvert à toutes les parties prenantes.
  • Afin que les abus des programmes de surveillance ne se répètent pas, un contrôle effectif et indépendant des services de renseignement est nécessaire, contrôle dans lequel les autorités de protection des données doivent jouer un rôle ;
  • Les institutions de l'UE doivent finaliser les négociations sur la réforme de la protection des données personnelles et, en particulier, retenir la proposition faite par le Parlement européen d'un nouvel article 43a, dans le futur règlement, prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois ;
  • Un traité intergouvernemental contraignant devrait être adopté afin de donner aux citoyens des garanties fortes en matière d’activité de renseignement.
Le G29 rappelle par ailleurs que le cadre légal européen actuel doit être pleinement respecté. Si tel n’est pas le cas, les responsables de traitement soumis à la juridiction de l'UE peuvent être sanctionnés et les flux de données suspendus par les autorités de protection des données. L'adoption de cet avis du G29 prend une importance particulière du fait de la publication au même moment d’un arrêt de la Cour de justice de l'UE du 8 avril 2014, dans lequel celle-ci déclare la directive 2006/24/CE relative à la rétention des données contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d'ensemble des données de communications par les Etats, ne limite pas l'impact sur les droits fondamentaux à ce qui est strictement nécessaire.]]>
Citoyens Presse Travaux du Groupe de l’article 29 Société de Surveillance A la une Fri, 11 Apr 2014 18:03:00 +0200
Surveillance excessive des salariés : clôture de la mise en demeure du centre commercial E. LECLERC http://www.cnil.fr/nc/linstitution/actualite/article/article/surveillance-excessive-des-salaries-cloture-de-la-mise-en-demeure-du-centre-commercial-elecl/ La CNIL a adopté le 12 juillet 2013 une mise en demeure publique à l’encontre de la société SAS BRESSE DIS exploitant un centre commercial sous l’enseigne E. LECLERC qui avait mis en œuvre un dispositif de vidéosurveillance disproportionné. Des correctifs ayant été apportés, la CNIL clôture cette mise en demeure. ]]> La Présidente de la CNIL a mis en demeure le centre commercial E. LECLERC de Bourg-en-Bresse notamment en raison de la mise en œuvre d’un dispositif de vidéosurveillance installé dans le local de sécurité du centre commercial.

La mise en demeure pointait le caractère disproportionné du dispositif de vidéosurveillance, qui conduisait à placer les salariés filmés sous surveillance constante et était aussi utilisé pour contrôler leurs horaires de travail. Elle avait également relevé : une information insuffisante des personnes filmées, une durée de conservation des images excessive, et une sécurité insuffisante des données ainsi collectées.

Depuis, le centre commercial a démontré qu’il avait mis en œuvre des correctifs permettant de se conformer à toutes les exigences de la mise en demeure. La Présidente de la CNIL a considéré que l’organisme s’était mis en conformité avec la loi « Informatique et Libertés ». Elle a ainsi décidé de procéder à la clôture de la décision de mise en demeure dès lors que seules les portes d’accès aux locaux réservés au personnel sont filmées. ]]>
Actualités Mise en demeure Surveillance des salariés Salariés Fri, 11 Apr 2014 15:59:00 +0200
Condamnation pour des annuaires en ligne illégaux http://www.cnil.fr/nc/linstitution/actualite/article/article/condamnation-pour-des-annuaires-en-ligneillegaux/ La CNIL a reçu en 2011 de nombreuses plaintes et témoignages à l'encontre de sites qui diffusaient en toute illégalité les coordonnées de personnes. Elle a donc dénoncé ces faits à la justice. La Cour d'appel de Bordeaux a ordonné la suppression des coordonnées collectées de façon déloyale et condamné le responsable de ces sites à 10 000 euros d’amende.]]> En 2011, la CNIL a reçu 150 plaintes et de très nombreux appels concernant plusieurs sites internet dont Webinbox, Habitant-ville, Eopin.info, I décideur et Frenchcity. Ces sites diffusaient, pour chaque ville, des annuaires comportant les noms des habitants, leurs coordonnées, y compris des numéros de téléphone sur liste rouge. Le responsable de ces sites avait développé un logiciel lui permettant de collecter les données à partir de diverses sources (le journal des associations, Google, l'annuaire universel, l'INSEE). Il remettait en forme ces données, puis les rediffusait sans avoir recueilli l’autorisation préalable des personnes concernées. Ces sites généraient des bénéfices à partir des publicités qui y paraissaient. La CNIL a initié de nombreuses démarches auprès des sites pour faire cesser ces diffusions susceptibles d’avoir de graves conséquences : diffusion de coordonnées d'une victime de violences conjugales, d'un travailleur sous mandat judiciaire, de fonctionnaire de police, d’avocats, etc. En l'absence de réponse, la CNIL a saisi le procureur de la République de ces faits. L'Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) a été chargé de l'affaire. Le responsable des sites étant identifié et localisé, le dossier a été confié à la police judiciaire de Bordeaux. La Cour d'appel de Bordeaux a confirmé le 18 décembre 2013 le jugement du Tribunal correctionnel de Bordeaux du 26 novembre 2012, en considérant qu’il était déloyal de recueillir les coordonnées des personnes sur les espaces publics d’internet à leur insu, car ce procédé fait obstacle à leur droit d’opposition. La Cour d’appel a ordonné :
  • la suppression de toutes les données personnelles des victimes déloyalement collectées,
  • la publication de l'arrêt par extrait sur le site de la CNIL.
Elle a condamné le responsable des sites à une amende de 10 000 euros avec sursis pour :
  • collecte de données personnelles par un moyen frauduleux, déloyal et illicite,
  • traitement de données malgré l'opposition des personnes concernées,
  • abus de confiance,
  • traitement de données sans déclaration préalable auprès de la CNIL,
  • divulgation illégale volontaire de données à caractère personnel nuisibles (vie privée).
Cette décision traduit la nécessaire prise en compte des droits reconnus aux personnes par la loi « informatique et libertés ».]]>
Actualités Internautes Presse Annuaires Moteurs de recherche Mon, 07 Apr 2014 09:53:00 +0200
La CNIL rencontre son homologue américain http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-rencontre-son-homologue-americain/
Le lundi 24 mars, Isabelle Falque-Pierrotin, Présidente de la CNIL et du G29, a reçu Julie Brill, Commissaire de la Federal Trade Commission, l’agence fédérale des Etats-Unis en charge, notamment, de la protection de la vie privée des consommateurs.]]>
Cette rencontre entre les deux régulateurs avait pour objectif de permettre à chacun de présenter ses activités phares dans le domaine de la protection des données personnelles. Elle a permis aux autorités d’échanger sur leurs méthodes, leurs points communs et leurs différences. Ces échanges constituent le point de départ d’une étroite coopération entre les deux commissions. ]]> Actualités Coopération internationale Mon, 24 Mar 2014 16:19:00 +0100
Un pouvoir d'investigation renforcé grâce aux contrôles en ligne http://www.cnil.fr/nc/linstitution/actualite/article/article/un-pouvoir-dinvestigation-renforce-grace-aux-controles-en-ligne/ La loi du 17 mars 2014 relative à la consommation donne à la CNIL la possibilité de procéder à des contrôles en ligne.]]> Au titre de ses missions, la CNIL doit contrôler les conditions dans lesquelles les fichiers sont créés et utilisés. En 2013, elle a ainsi effectué 414 missions de vérification. Jusqu’à présent, en fonction du contexte et de la nature des vérifications à mener, la loi Informatique et Libertés donnait à la CNIL le pouvoir de procéder à :
  • des contrôles sur place, au cours desquels la délégation de la CNIL a accès aux matériels (serveurs, ordinateurs, applications…) où sont stockés les fichiers. Ce type de contrôle représente actuellement la grande majorité des vérifications réalisées.
  • des contrôles sur pièce, permettant d’obtenir la communication de documents ou de fichiers sur demande écrite ;
  • des contrôles sur audition, consistant à convoquer dans les locaux de la CNIL les personnes mettant en œuvre un fichier ou leurs représentants aux fins d’obtention de tout renseignement utiles ;
La loi n° 2014-344 du 17 mars 2014 modifie la loi Informatique et Libertés et donne à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations seront relevées dans un procès-verbal adressé aux organismes concernés et leur seront opposables. Cette modification crée les conditions juridiques qui permettent d’adapter le pouvoir d’investigation de la CNIL au développement numérique. Elle lui offre l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. La Commission pourra ainsi rapidement constater et agir en cas de failles de sécurité sur internet. Elle pourra aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique. Ce nouveau pouvoir s’appliquera aux « données librement accessibles ou rendues accessibles » en ligne ; il ne donnera évidemment pas la possibilité à la CNIL de forcer les mesures de sécurité mises en place pour pénétrer dans un système d’information]]>
Actualités Vie de la CNIL Missions Contrôles Internet Sécurité du SI Presse Tue, 18 Mar 2014 15:06:00 +0100