Archives du mot-clé cnil

RGPD : la CNIL frappe fort

C’est d’une amende record dont vient d’écoper Google pour non respect des règles européennes posées par le RGPD en matière de protection des données personnelles. Une amende de 50 millions d’euros qui, selon la CNIL, se justifie par « la gravité des faits ».

L’année 2019 commence fort à la CNIL. Ce lundi 21 janvier, elle prononce une amende record désormais possible par application du barème des amendes prévu par le RGPD. Rappelons que les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires mondial (et avec Google on a encore de la marge…).

C’est en mai 2018, et cela dès le 25 (jour de l’entrée en vigueur du RGPD!) que la CNIL avait été saisie de 2 demandes d’associations de défense des internautes : la Quadrature du Web et None of Your business. La Quadrature du Web agissait au nom de 10 000 internautes. Les faits concernent le parcours de l’utilisateur sur un smartphone Android désireux de créer un compte pour utiliser son smartphone. Pour les associations plaignantes, la demande de consentement ne respecte pas les règles imposées par le RGPD.

Alors, que peut-on reprocher en l’espèce au géant du web. En voici un petit florilège dressé par la CNIL :

  • des informations pas aisément accessibles à l’internaute, notamment parce que disséminées dans plusieurs documents, et parfois avec des boutons ou des liens à activer. De quoi décourager l’internaute, même soucieux de la protection de ses données. L’enquête révèle la nécessité, parfois, de 5 à 6 clics pour pouvoir accéder à une information
  • les finalités décrites de manière trop générique,
  • certaines durées de conservation des données qui ne sont pas mentionnées
  • une case pré cochée pour l’acceptation de l’affichage des publicités personnalisées,
  • les catégories de données utilisées pour la personnalisation de la publicité ne sont pas précisées
  • et même une acceptation « en bloc« . Ainsi, avant de créer son compte, l’internaute se voit proposer : « J’accepte les conditions générales d’utilisation de Google » ou encore « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ».

Ces pratiques sont en effet loin des exigences du RGPD qui requiert un consentement « positif » et « univoque ». La CNIL en déduit que l’internaute n’est pas en mesure de comprendre l’ampleur des traitements mis en place par Google alors que ceux-ci sont massifs et intrusifs.

Pour la CNIL, le consentement de l’internaute n’est pas, dans ces conditions, donné de manière éclairée et prononce donc une amende record de 50 millions d’euros, dont le montant se justifie « par la gravité des manquements constatés qui concernent les principes essentiels du RGPD : la transparence, l’information, le consentement »

Le 24 janvier Google a déclaré son intention de faire appel de la décision de la CNIL auprès du Conseil d’État.

A lire également :

  • RGPD – de nouvelles obligations pour les marques – 5 mars 2018
  • RGPD – 1, le consentement en 10 questions, 28 mai 2018
  • RGPD – 2, le traitement en 10 questions, 3 juin 2018

Le règlement européen et les données personnelles

Le Règlement Européen entrera en application le 25 mai 2018. Il vise à la fois à protéger les personnes et à responsabiliser les acteurs. Il devrait permettre une meilleure protection des données personnelles et donc de la vie privée.

bruxelles

Le Règlement Européen est sans nul doute un texte fondamental imposant des règles communes à l’ensemble des Etats membres de l’Europe. Une évidence sur un sujet qui ne connaît pas de frontières. Déjà la CNIL adapte ses règles pour que les acteurs français soient au rendez-vous dans 18 mois.

CNIL

S’il supprime l’obligation de déclaration préalable des fichiers, la responsabilité des entreprises est renforcée vis à vis des fichiers. Les entreprises devront notamment rendre publique l’identité du responsable du traitement du fichier, en préciser la finalité et les destinataires (entendez les personnes utilisant les données). Les données conservées doivent être nécessaires en fonction de la finalité du fichier. La durée de conservation des fichiers devra être déterminée et conforme à la finalité du fichier. En d’autres termes, lorsque la finalité sera atteinte, le fichier ne pourra être conservé.

D’ores et déjà la loi numérique a renforcé les pouvoirs de sanctions de la CNIL. Ainsi, les contrevenants encourent-ils une amende pouvant atteindre 4% du chiffre d’affaires. Et pour éviter la dilution des responsabilités, est posé le principe de la coresponsabilité des prestataires. Le donneur d’ordre doit donc s’assurer que le prestataire choisi respecte les obligations en matière de protection des données.

Dans une économie qui se digitalise rapidement, ces mesures devenaient nécessaires. Elles ont pour enjeu la confiance des internautes, donc des consommateurs. Confiance sans laquelle le E-commerce et le M-commerce ne seront en mesure de tenir leurs promesses.

Bras de fer entre la CNIL et Facebook

numerama.com

La tension entre la CNIL et Facebook monte encore d’un cran avec une mise en demeure de la CNIL, à l’encontre du réseau social, de se conformer à la loi française dans un délai de 3 mois, soit avant le 8 mai prochain. Quels sont les griefs de la CNIL?

Pour la CNIL, Facebook manque de clarté et de transparence. L’internaute n’est pas suffisamment et clairement informé de l’usage possible de ses données. Les reproches sont nombreux et convergents :

  • Facebook suit la navigation des internautes sur des sites tiers. Même si l’internaute n’a pas de compte Facebook, il pourra être suivi dès-lors qu’il aura visité une page Facebook publique. L’internaute n’est pas informé
  • Facebook recueille certaines données qui en France sont classées « sensibles » : opinions politiques, religieuses, orientation sexuelle. Certes rien ne peut empêcher un membre de révéler cette part de son identité, mais le réseau devrait avertir l’internaute des risques
  • Facebook ne sollicite pas l’accord de l’internaute lors du dépôt de cookies à des fins publicitaires
  • Le réseau social n’informe pas clairement ses membres de la combinaison de ses données personnelles aux fins de proposer des publicités ciblées
  • Le choix du password n’est pas assez exigeant et en conséquence l’internaute peut être trop aisément exposé à des risques de récupération de ses données personnelles
  • Facebook exporte les données des membres aux Etats-Unis en se basant sur le Safe Harbor. Or, cet accord a été invalidé par la CJCE en octobre dernier. La Cour a en effet estimé que la protection des données aux Etats-Unis n’était pas suffisante.

Quelle sera la réaction de Facebook? En cas de sourde oreille – ce qui est loin d’être exclu – de quels moyens de pression dispose la CNIL? Une question que doivent se poser les 30 millions de Français titulaires d’un compte… Rendez-vous au printemps!

AFFICHAGE NUMERIQUE, LA CNIL VEILLE AU GRAIN

 sans-titre 2

source visuel : http://www.jcdecaux.fr

JC Decaux exploite sur le parvis de la Défense des mâts « Agora Digitale« , dont la vocation est double, à la fois espaces publicitaires et espaces d’information du public. La Société a présenté une demande à la CNIL pour être autorisée à capter les adresses des mobiles des passants dans un rayon de 25 mètres. Dans une décision du 16 juillet publiée seulement fin septembre, la CNIL reconnaît d’abord le bien fondé de cette demande. En effet, pour bien vendre un espace publicitaire par affichage, les annonceurs ont besoin de connaître le passage.

Mais sur le fond, la CNIL rejette la demande au motif que, selon elle, l’anonymat des données récoltées n’est pas respecté. Techniquement, c’est un peu compliqué, mais on va faire simple. Les données captées sont envoyées toutes les 2 mn à Francfort, où elles sont tronquées puis effacées des archives. Mais les adresses des personnes qui passent plusieurs fois devant les mâts génèrent un même identifiant. La CNIL considère donc qu’un individu peut ainsi être isolé d’un ensemble, ce qui est contraire à un total anonymat.

En conséquence, selon la loi, les passants doivent être avertis et pouvoir s’opposer au captage de leur adresse mobile. JC Decaux avait installé un avis d’information, mais celui-ci étant au format A4, la CNIL considère qu’il ne peut être visible dans un rayon de 25 mètres.

 

La CNIL veut protéger le client face aux beacons et autres capteurs…

CNIL  source visuel : Cnil.fr

 

Actuellement en expérimentation dans certains points de vente, les beacons permettent d'interagir avec le smartphone du consommateur qui vient d'entrer en boutique ou qui se présente devant un rayon. Le client peut alors recevoir des SMS lui proposant tel produit ou telle promotion.

En juillet dernier, la CNIL  a anticipé, en posant un certain nombre de règles à respecter :

– ces dispositifs doivent être déclarés à la CNIL

– les données enregistrées doivent être détruites dès que le client sort du magasin

– les données captées doivent être anonymées

– le client doit être prévenu par un affichage et doit manifester son accord par une action

– l'affichage doit mentionner la finalité du dispositif mis en place et l'identité du responsable.

Les plaintes à la CNIL se multiplie

La CNIL vient de publier un bilan des plaintes reçues au cours de l'année 2011.

Leur nombre s'élève à 5738 plaintes, soit une hausse de 19% par rapport à l'an dernier.

Les principaux motifs de plaintes sont

– l'exploitation des fichiers commerciaux

– les banques et le crédit

– mais aussi la gestion des ressources humaines en entreprise.

On peut bien sûr interpréter ces hausse de deux façons : une accentuation de l'utilisation des fichiers et/ou des réseaux sociaux par les entreprises, ou une plus grande vigilance de l'internaute. La vérité est peut être d'ailleurs à mi-chemin?

FICHIERS : un rappel à l’ordre pour les Pages Jaunes

Les faits

   source visuel : www.iphon.fr

En mars 2010, les Pages Jaunes lancent le service "webcrawl" sur son site www.pagesblanches.fr.

Ce service vient compléter les informations personnelles que l'on trouve de façon traditionnelle sur les Pages Blanches.

L'ennui, c'est que ces informations avaient été collectées par aspiration sur les 6 principaux réseaux sociaux. L'aspiration eétait colossale puisque plus de 30 millions de personnes auraient ainsi vu certaines de leurs données récupérées à leur insu, des données telles que la profession, le numéro de mobile, l'employeur, l'établissement scolaire.

L'infraction

Rappelons que la loi Informatique et Libertés interdit de collecter des informations à l'insu des intéressés et à fortiori  de les exploiter sans l'accord des intéressés. Pages Jaunes était donc en l'espèce en infraction.

C'est à juste titre que la CNIL l'a rappelé à l'ordre en lui adressant un avertissement.

les libertés individuelles menacées par les nouvelles technologies?

Un livre accusateur

Alex TURK, président de la CNIL vient de publier le 6 avril dernier un livre qui pourrait être appelé à faire débat. Son titre : "La vie privée en péril. Des citoyens sous contrôle". Le titre en dit long…

Pour lui, un certain nombre de nouvelles technologies menaceraient nos libertés individuelles.

Bien sûr, Facebook et Google sont visés, mais pas que. Alex TURK met également en cause la vidéosurveillance ou encore la géolocalisation.

Une solution européenne?

Alex TURK appelle les pays européens à se mettre d'accord dans le cadre de l'union européenne pour tenter de résister et d'adapter nos réglementations. L'Europe comme bouclier à nos libertés individuelles.

vie privée : Google condamné par la CNIL

Les faits

Les faits ont maintenant un an.

On a découvert que, dans le cadre de Google Street View, les voitures "Google Cars" qui sillonnent la France, en profitaient pour enregistrer des données personnelles captées sur des réseaux WiFi mal protégés.

Au total ce sont 600 gigaoctets qui auraient ainsi illégalement enregistrés, et pas des moindres : des identités, des adresses, des numéros de téléphone, des adresses mails, des contenus de courriels, des mots de passe. On était habitué au "Souriez, vous êtes filmé". On va devoir maintenant s'habituer au "Souriez, vous êtes capté"….

  source du visuel : www.unsimpleclic.com – les Google Cars

Intervention de la CNIL

Dès mai 2010, la CNIL avait demandé à Google de cesser ces captures et de lui transmettre les données illégalement récupérées.

La sanction

La Commission contentieuse de la CNIL vient de condamner Google à 100 000€ d'amendes pour atteinte à la vie privée.

Google s'est engagé à détruire toutes les données ainsi récupérées.

OUF!